Quando a GDPR (Regulamento Geral sobre a Proteção de Dados ou RGPD) passou a valer na União Europeia em 2018, a promessa era fazer com que a privacidade e proteção dos consumidores fossem mais respeitadas. Nos anos que se seguiram, vimos a indústria de anúncios publicitários digitais (adtech) tentando minar e escapar de algumas regras – em grande parte devido à formulação aberta de alguns trechos da legislação.

Agora, as autoridades europeias estão intervindo para evitar interpretações amplas de alguns trechos da lei. Na segunda-feira (4), o Conselho Europeu de Proteção de Dados – o comitê de supervisão da UE para questões relacionadas ao GDPR – lançou um manual de 31 páginas chamando a atenção para algumas das práticas mais sutis usadas pelas empresas de adtech para enganar o consentimento dos usuários.

Essas novas diretrizes chamam a atenção especificamente para sites que assumem que o usuário concordou em ser rastreados com base na forma como eles navegam em uma página web, em vez de dependerem de sua aprovação explícita para esse acordo.

Também são apontados no memorando os chamados “muros de cookies” ou “cookie walls” – uma tática em que os sites impedem que os navegadores acessem o conteúdo, a menos que eles concordem em permitir cookies e rastreadores.

Ambas são táticas que atuam diretamente sobre o conceito de consentimento do usuário. A GDPR foi escrita para exigir que os websites obtenham o consentimento do visitante antes que eles lidem com os dados e antes que eles passem esses dados pela cadeia de suprimentos de terceiros no ecossistema adtech.

Como você pode imaginar, a GDPR estabelece cuidadosamente o que se qualifica ou não como consentimento, exigindo que, em resumo, esses sites expliquem a tecnologia utilizada para rastrear os visitantes de forma clara e direta. Requer também que eles ofereçam a esses visitantes uma maneira fácil de optar por entrar ou sair desse tipo de tecnologia.

Pode parecer fácil seguir essas regras, mas o histórico mostra que parte da indústria de publicidade digital não se importa em burlar algumas práticas. Às vezes, isso significa usar uma rolagem ou um clique em algum lugar da página como um acordo tácito para ser rastreado. Outras vezes, isso significa ignorar o pedido de uma pessoa para não ser rastreada, ou nem mostrar essa opção quando os usuários visitam um site. E para outros, isso significa usar o “muro de cookies”, que obriga os consumidores a fornecer seus dados para acessar o conteúdo de um determinado site.

Pode ser fácil colocar toda a culpa nos sites, mas a verdade é que não é tão simples assim. Diversos negócios na web têm dificuldade de obter receitas e, muitas vezes, optam por serviços de algumas companhias que acabam fazendo essa coleta de dados.

Uma pesquisa do MIT descobriu que uma das principais razões para os tropeços relacionados à GDPR por parte dos sites do Reino Unido foi causado pelas plataformas de terceiros que ofereceram serviços para tornar a página compatível com a GDPR.

As novas diretrizes do EDPB (Comitê Europeu de Proteção de Dados) visam, aparentemente, cortar esse ruído e dar menos espaço de manobra aos lados mais sombrios da indústria, mas já vimos que essas restrições podem ter o efeito não intencional de fazer com que as táticas para burlar as regras fiquem ainda mais sofisticadas.