Pop-ups irritantes de sites do Reino Unido não estão seguindo regras da GDPR, diz estudo

Já passou mais de um ano e meio desde que a Lei Geral de Proteção de Dados da União Europeia (GDPR) entrou em vigor, mas a internet ainda está muito longe de conseguir seguir as regras à risca.

Essa é a conclusão do “Dark Patterns após a GDPR“, um novo relatório produzido por pesquisadores do MIT (EUA), University College London (Reino Unido) e Aarhus University (Dinamarca).

• O que é a GDPR, a lei de proteção de dados europeia, e por que ela importa
• O Brasil tem uma lei de proteção de dados. O que muda agora?
• Dark Patterns: os truques dos sites para abrirmos mão de nossa privacidade

Depois de monitorar os pop-ups de” autorização” de coleta de dados em centenas de sites do Reino Unido, eles descobriram que apenas 11,8% das páginas analisadas cumpriam os “requerimentos mínimos” que os pesquisadores estabeleceram para que um site fosse compatível com a GDPR — especificamente, o consentimento do usuário para a coleta de dados por meio de cookies e outras tecnologias deve ser dado livremente e de forma explícita, além de o site ter opções fáceis para revogar essa permissão.

Acontece que um dos maiores culpados, quando se trata de má gestão dessa permissão, aparece assim que alguém abre uma página. Os pop-ups que pedem permissão de coleta de dados de rastreamento (que, para falar a verdade, todos provavelmente clicam para aceitar), são muitas vezes executados por intermediários de tecnologias de anúncios, conhecidos como Plataformas de Gerenciamento de Consentimento, ou CMPs (na sigla em inglês).

Acontece que esses CMPs muitas vezes são ativados para obter um consentimento pouco “explícito” — muitas vezes inferindo o consentimento por, digamos, um usuário ignorando o pop-up ou fechando-o.

Depois de pegar os 10 mil sites mais populares do Reino Unido segundo o ranking da Alexa, os pesquisadores encontraram os CMPs mais populares do mercado, desenvolvidos por apenas cinco empresas: QuantCast, OneTrust, TrustArc, Cookiebot, e Crownpeak.

Entre os sites que exibem pop-ups gerados por essas empresas, quase um terço — 32,5% assumiam que diferentes ações do usuário eram equivalente a clicar no botão de “autorização”, apesar de isso não ser reconhecido pela legislação da União Europeia, de acordo com os pesquisadores.

Além disso, 9% dos sites aceitaram mais de uma forma destas variáveis de “consentimento implícito”, incluindo: “apenas visitar o site, navegar dentro do site, revisitar/atualizar a página, rolar ou clicar na página ou fechar o pop-up ou banner.”

Como se isso não bastasse, os autores do artigo explicam que os sites que trabalham com estes CMPs ainda podem escolher entre estas opções de consentimento implícito, mesmo após indicarem que o CMP deve verificar se o IP de um visitante está dentro do âmbito da União Europeia, o que tornaria esse visitante protegido pela GDPR.

Além de assumirem uma permissão que não foi dada explicitamente, esses CMPs não facilitam a revogação da coleta, de acordo com o estudo. Mais da metade (50,1%) dos sites pesquisados não tinha a opção de “rejeitar todos” os cookies ou rastreadores em uma página da web.

Mesmo para os sites que tinham uma das opções, mais de 75% dos sites tornavam a opção “rejeitar todos” mais difícil do que “aceitar todos” os rastreadores — às vezes, havia centenas de rastreadores para um determinado site.

Não é surpreendente que a web ainda deixe muito a desejar quando se trata de seguir as regras baseada no consentimento dos usuários. Quanto à coleta de dados das pessoas, há uma tonelada de elos na cadeia digital que desempenham um determinado papel em todos os momentos da navegação.

A GDPR, por sua vez, deixa uma coisa muito clara: esses elos precisam estar de acordo com essas novas regras, ou se arriscam a pagar uma multa pesada.

O que não fica tão claro são as responsabilidades que cada um desses elos tem quando se trata de consentimento. Por exemplo, se um site segue a GDPR à risca, mas seu CMP não, quem leva a culpa? Se esse mesmo site estiver trabalhando em parceria com um agente externo e passa os dados de um usuário (para a realização de um pagamento em uma plataforma como PayPal) e esse agente externo não estiver em conformidade com a lei, quem deve ser considerado responsável?

Essa opacidade da lei acabou fazendo com que alguns desses intermediários de tecnologias de anúncio saíssem da União Europeia quando a GDPR passou a valer — e, mais de um ano depois, as coisas não melhoraram.

Potências publicitárias como o Facebook e o Google são capazes de reformular suas infraestruturas gigantescas para garantir que suas plataformas se adequem totalmente à lei, mas concorrentes menores podem ter dificuldades para preencher todas as lacunas — como os sites pesquisados nesse estudo.

Em maio, Laura Jehl, sócia do escritório de direito na área de privacidade e proteção de dados BakerHostetler, disse à CNBC que “no início, vários reguladores [da União Europeia] informalmente disseram ‘sabemos que vocês não estão prontos para a GDPR e, para ser sincera, nós também não estamos realmente prontos'”, o que implica que esse período de carência logo chegaria ao fim.

Entre as multas gordas a serem aplicadas aos gigantes da tecnologia por não cumprir com a GDPR e a falta de orientações para empresas e sites menores, parece que não estamos nem perto de cumprirmos a lei à risca.