Este artigo é um pouco diferente do normal. O meu objetivo é compartilhar a minha breve experiência com as novas leis de privacidade do Brasil e da União Europeia e discutir alguns aspectos sobre as mesmas.
Recentemente, eu realizei alterações nos scripts do blog para poder adequá-lo às novas leis. Ambas as leis estabelecem, entre outras coisas, que o tratamento e a coleta de dados pessoais só podem ser realizados se a pessoa consentir.
A lei brasileira teve forte inspiração na lei de proteção de dados da União Europeia (a famosa GDPR, que entrou em vigor no dia 25 de maio de 2018).
O meu algoritmo de consentimento
Os novos scripts utilizam o seguinte algoritmo quando um leitor acessa alguma página do blog
- Realize o bloqueio do Google Analytics e do Google AdSense;
- Se o usuário já deu o consentimento em alguma visita anterior, então
- Desbloqueie o Google Analytics e o Google AdSense;
- Senão
- Se o usuário NÃO estiver na Europa, então
- Desbloqueie anúncios NÃO personalizados do Google AdSense;
- Solicite o consentimento para o uso de cookies e coleta de dados
- Se o usuário aceitar, então
- Registre o consentimento por um ano num cookie.
- Desbloqueie o Google Analytics e o Google AdSense (se necessário).
- Se o usuário NÃO estiver na Europa, então
Os anúncios não personalizados são anúncios que não utilizam dados pessoais na segmentação, baseando-se em informações contextuais, como o assunto da página.
O impacto
Uma das consequências da implementação desse algoritmo no blog foi a redução em 60%-70% no número de visualizações registradas no meu Google Analytics. Em relação ao AdSense, eu não tenho como mensurar o impacto porque os valores que eu ganho normalmente são ínfimos.
A porcentagem de queda foi expressiva e provavelmente reflete a preocupação das pessoas sobre como os seus dados são utilizados. Ou simplesmente indica que o aviso está sendo ignorado.
GDPR + diretiva ePrivacy = AdBlock na Europa
Observe que o script que estou utilizando funciona como um AdBlock do AdSense para quem está na Europa. A razão para isso é que mesmo não utilizando dados pessoais, os anúncios não personalizados utilizam cookies (para evitar fraudes, por exemplo) e o artigo 5(3) da diretriz europeia ePrivacy (não confunda com a GDPR) estabelece que devemos solicitar o consentimento para utilizar o armazenamento local do dispositivo do usuário.
Essa é uma das grandes dúvidas que os editores do AdSense possuem, uma vez que o primeiro artigo de ajuda publicado pela Google sobre assunto não deixava claro se podíamos ou não utilizar anúncios não personalizados na Europa sem o consentimento.
Entretanto, em outro artigo de ajuda que encontrei recentemente, a Google deixa claro que precisamos pedir o consentimento:
Lembre-se de que você precisa do consentimento do usuário para usar cookies, mesmo para anúncios não personalizados em países onde a diretiva de eprivacy da UE o exigir.
Quais países adotaram essa diretiva? Eu não achei a lista. A diretiva ePrivacy é a principal diferença entre a nova lei brasileira e as leis de privacidade da União Europeia.
A nossa lei não afeta os cookies de forma direta, a não ser que os mesmos sejam utilizados para o tratamento de dados pessoais. Nesse caso, ele passa a ser um dado pessoal (pelo menos foi isso que eu entendi ao ler o texto da nova lei).
Mensagens de consentimento
Outro ponto importante dessas novas regras é o consentimento. Tanto a lei brasileira como a europeia estabelecem que o consentimento deve ser explícito e represente a livre vontade do usuário. Isto é, você não pode forçar o usuário aceitar que seus dados sejam coletados. De acordo com o artigo 8:
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
O "vício de consentimento" é quando não há liberdade de escolha. Muitas soluções para consentimento na internet (incluindo as soluções oficiais do Blogger e do Wordpress) não possuem uma opção explícita para recusar a coleta de dados. Consequentemente, o usuário tem que aceitar ou ficar sendo perseguido por uma mensagem de consentimento enquanto rola a página.
Eu particularmente ia fazer o mesmo no blog, entretanto eu não acho uma boa ideia irritar os leitores que não queiram que seus dados sejam coletados. Se eu tivesse feito isso, provavelmente o impacto no meu Analytics não seria tão grande.
Saliento que de forma alguma estou julgando quem faz isso e muito menos alegando que isso é errado. Eu não tenho conhecimentos em direito para ponderar se isso é certo ou não. Há inclusive uma discussão no Reddit sobre se é necessário incluir um botão de recusa aos cookies e coleta de dados no banner da mensagem de consentimento.
Os consentimentos falsos
Todavia, existe um erro bastante comum na internet: os falsos pedidos de consentimento. Basicamente, você entra no site, uma mensagem de consentimento é exibida e, independente da sua escolha, os seus dados são coletados e cookies são armazenados.
Nem sempre isso ocorre de má fé. Para estar 100% de acordo com as leis, você precisa ter controle total sobre a plataforma e códigos de terceiros utilizados. Infelizmente, para quem utiliza o Blogger, por exemplo, é impossível ter total controle sobre os cookies e coleta de dados realizados pela plataforma (nem este blog se salva nesse quesito, veja a imagem a seguir).
Eu consigo controlar o AdSense e o Analytics, porque insiro os códigos desses serviços manualmente. No caso do Wordpress, existem plugins (normalmente pagos) que conseguem resolver esse problema.
Considerações finais
No mais, acredito que essas leis são positivas, pois tornam o processo de tratamento e coleta de dados mais transparente, dando poder ao usuário sobre seus próprios dados. Certamente, elas irão gerar impactos negativos para quem trabalha com marketing online, uma vez que agora não podemos ter estatísticas baseadas em 100% do tráfego.
Se você foi afetado pelas novas leis de alguma forma, deixe o seu comentário contando a sua experiência.
Nenhum comentário:
Postar um comentário