Um novo estudo que examinou as plataformas de gerenciamento de consumidores usadas pelos 10.000 sites principais do Reino Unido descobriu que quase um terço praticava consentimento implícito, o que não é permitido pelo GDPR. Mas a responsabilidade recai nos sites ou em seus fornecedores?

O consentimento é um inquilino popular de leis de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR), mas o "como" e "por que" por trás dele pode estar causando problemas às organizações com seus esforços de conformidade.

Um novo estudo realizado por pesquisadores da Universidade de Aarhus, do Instituto de Tecnologia de Massachusetts e da University College London examinou os 10.000 sites do Reino Unido e as plataformas de gerenciamento de consumidores que utilizam. Uma das conclusões foi que o consentimento implícito - que o estudo define como "continuar a usar um site sem objeção ativa a um aviso" - foi praticado por quase um terço dos sites.

O GDPR identificou especificamente formas de consentimento implícito, como caixas pré-selecionadas, como inválidas. Porém, a existência contínua desses recursos pode ter menos a ver com os fornecedores de plataformas de gerenciamento de consentimento do que com entidades on-line que ainda estão lutando para determinar quando o consentimento é e não é necessário, e como obtê-lo da melhor maneira sem atrapalhar significativamente o usuário experiência.

"Há uma tendência de terceirizar a tecnologia, mas também o processo de pensamento de algumas empresas, segundo o qual eles confiam na empresa de gerenciamento de consentimentos para lhes dizer o que fazer, em vez de realmente pensar por si mesmos quais são suas obrigações", disse Elizabeth Harding, acionista da Polsinelli.

Dependendo da plataforma de gerenciamento de consentimento com a qual uma empresa está envolvida, isso pode ser uma ação arriscada, já que a privacidade muitas vezes exige que tanto as empresas quanto os provedores de tecnologia considerem as leis individuais como existem em várias jurisdições. Tomu Johnson, consultor da Parsons Behle & Latimer e CEO da subsidiária de tecnologia da empresa Parsons Behle Lab, destacou que antes do GDPR, as regulamentações em países como o Canadá e as Filipinas eram aceitáveis ​​com consentimento implícito.

Como resultado, empresas ou sites individuais nem sempre podem ter clareza de quando e onde precisam pedir consentimento, o que, mesmo sob o RGPD, não é necessário para todos os usos de dados. Para complicar ainda mais as acrobacias legais, estão as considerações legítimas de negócios enfrentadas pelas empresas on-line que tentam recuperar o consentimento sem pisar muito na experiência do usuário com caixas pop-up que exigem muito em termos de cliques adicionais.

"Sempre precisamos tentar ser criativos sobre como você pode colocar essas informações e se você está contando com o consentimento obtido adequadamente, sem que seja um tipo completo de desativação para o cliente", disse Harding.

Parte desse trabalho recai sobre as próprias plataformas de gerenciamento de consentimento, com o CEO da TrustArc, Chris Babel, listando considerações que variam do tamanho e cor da fonte ao local exato em que uma caixa de consentimento aparece na página. São conversas que se desenrolam de cliente para cliente e o mesmo relacionamento se aplica também à peça de consentimento real do quebra-cabeça. O TrustArc acompanha de perto as leis de privacidade global, mas os clientes também se apresentam com sua própria interpretação dos regulamentos.

“Trabalhamos com eles para garantir que seja certo para eles e como eles querem estar em conformidade com a lei. Obviamente, em nossa capacidade, fornecemos tecnologia. Fornecemos as soluções e os recursos da tecnologia para poder cumprir com qualquer lei aplicável a nossos clientes. Porém, como eles decidem incorporar e como implementam depende deles ”, disse Hilary Wandall, vice-presidente sênior de privacidade e consultor geral da TrustArc.

No entanto, a dinâmica entre entidades on-line e plataformas de gerenciamento de consentimento em geral pode enfrentar um escrutínio maior. De acordo com Harding, os reguladores europeus estão particularmente focados em como a permissão do consumidor é obtida, uma vez que as empresas tradicionalmente consideram o consentimento como um tipo de captura para o processamento de dados.

Mas se uma empresa sofre críticas regulamentares por consentimento implícito, é o site ou a plataforma de gerenciamento de consentimento que tem responsabilidade? A resposta é um tanto complicada, já que regulamentos como o GDPR costumam sobrecarregar a garantia de que o consentimento seja recuperado corretamente no controlador de dados (ou seja, no site).

Ainda assim, Johnson, da Parsons Behle, indicou que um controlador normalmente cria uma provisão em seu acordo com um processador de dados (ou seja, plataforma de gerenciamento de consentimento) que requer conformidade com as leis de privacidade aplicáveis, com a penalidade de ter que reembolsar multas regulatórias incorridas. Ele acredita que será a pressão do cliente nesse vão que, finalmente, força mais plataformas de gerenciamento de conformidade a evoluir sua abordagem de consentimento.

Enquanto isso, as entidades baseadas na Web podem estar fazendo uma reavaliação própria quando se trata de coletar permissão do consumidor para o uso de dados.

"O que forçou muitas empresas a fazer é reavaliar os cookies de que eles precisam e não precisam ... e tentar limitá-los ao que é absolutamente necessário", disse Johnson.

FONTE:https://www.law.com/legaltechnews/2020/01/17/even-with-consent-management-platforms-websites-still-run-afoul-of-gdpr/