O panorama de privacidade do Reino Unido pós-Brexit

Quando o Reino Unido deixou a União Europeia, não deixou a proteção de dados para trás. O Reino Unido incorporou o EU GDPR na legislação nacional como o UK GDPR, ao lado da Data Protection Act 2018. Especificamente para cookies, a Privacy and Electronic Communications Regulations (PECR) — a implementação britânica da Diretiva ePrivacy — continua a aplicar-se. O resultado é um quadro de privacidade que espelha de perto o da UE, mas é aplicado de forma independente pelo Information Commissioner's Office (ICO) do Reino Unido.

Para operadores de websites, isto significa que servir visitantes britânicos requer atenção a um conjunto distinto de regras, orientações e padrões de fiscalização. Embora a substância seja semelhante ao EU GDPR, as nuances importam.

UK GDPR vs EU GDPR: Diferenças principais

O UK GDPR é substancialmente idêntico ao EU GDPR nos seus princípios e requisitos fundamentais. No entanto, várias diferenças surgiram desde o Brexit:

• Autoridade de supervisão: O ICO é a única autoridade de supervisão para o UK GDPR, substituindo o papel das autoridades de proteção de dados da UE. Não pode ser multado tanto pelo ICO como por uma DPA da UE pela mesma atividade de processamento de dados que afeta apenas residentes do Reino Unido.
• Adequação de dados: A UE concedeu ao Reino Unido uma decisão de adequação em junho de 2021, permitindo o fluxo livre de dados pessoais da UE para o Reino Unido. Esta decisão está sujeita a revisão periódica. O Reino Unido reconheceu reciprocamente o EEE como adequado.
• Transferências internacionais: O Reino Unido tem o seu próprio quadro para transferências internacionais de dados, com o Secretary of State (em vez da Comissão Europeia) a tomar decisões de adequação. O Reino Unido sinalizou uma abordagem mais flexível às transferências internacionais, embora as salvaguardas fundamentais permaneçam.
• Abordagem de fiscalização: O ICO tem historicamente favorecido o envolvimento e orientação sobre multas agressivas. As multas máximas ao abrigo do UK GDPR espelham as da UE: até 17,5 milhões de GBP ou 4 por cento do volume de negócios anual global, o que for superior.
• Potencial divergência: O governo britânico considerou reformas através do Data Protection and Digital Information Bill, que poderia introduzir alterações nas avaliações de interesse legítimo, isenções de investigação e o papel dos Encarregados de Proteção de Dados. Os operadores de websites devem monitorizar esta legislação para futuras alterações.

PECR: A lei de cookies do Reino Unido

Enquanto o UK GDPR fornece o quadro geral para o processamento de dados pessoais, o PECR governa especificamente cookies e tecnologias semelhantes. O PECR é anterior ao GDPR e implementa a Diretiva ePrivacy da UE na legislação britânica. Os seus requisitos principais para cookies são:

• O consentimento é necessário antes de definir quaisquer cookies não essenciais no dispositivo de um utilizador. Isto inclui cookies de análise, cookies de publicidade e cookies de redes sociais.
• Devem ser fornecidas informações sobre quais cookies estão a ser definidos e para que são utilizados, em linguagem clara e simples.
• O consentimento deve ser livre, específico e informado. Caixas pré-assinaladas não constituem consentimento válido.
• Cookies estritamente necessários estão isentos. Cookies essenciais para um serviço explicitamente solicitado pelo utilizador (como cookies de sessão para funcionalidade de login ou cookies de carrinho de compras) não requerem consentimento.

O padrão de consentimento do PECR alinha-se com a definição de consentimento do GDPR, o que significa que, na prática, os requisitos são muito semelhantes aos da Diretiva ePrivacy da UE. Um banner de cookies em conformidade com as regras da UE será geralmente conforme com o PECR.

Orientações do ICO sobre banners de cookies

O ICO publicou orientações detalhadas sobre conformidade com cookies que vão além do texto do próprio PECR. Pontos-chave das orientações do ICO incluem:

O consentimento deve ser afirmativo

Simplesmente continuar a navegar num website não constitui consentimento. O ICO afirma explicitamente que o consentimento implícito não é válido. Os utilizadores devem realizar uma ação clara e positiva (como clicar num botão "Aceitar") antes que cookies não essenciais possam ser definidos.

A rejeição deve ser igualmente fácil

O ICO tem sido cada vez mais vocal sobre dark patterns em banners de cookies. Especificamente:

• Uma opção "Rejeitar Todos" ou equivalente deve estar disponível ao mesmo nível que "Aceitar Todos". Esconder a opção de rejeição atrás de um ecrã de "Gerir Preferências" não é aceitável.
• O design visual não deve usar cor, tamanho ou posicionamento para manipular os utilizadores em direção à aceitação.
• A linguagem deve ser neutra e não concebida para culpabilizar ou pressionar os utilizadores a consentir.

Controlo granular de categorias

Os utilizadores devem poder consentir com categorias específicas de cookies (análise, marketing, funcional) em vez de serem forçados a uma escolha tudo ou nada. Embora o ICO não exija um número específico de categorias, fornecer controlo granular demonstra boas práticas e pode ser exigido ao abrigo do princípio de limitação de finalidade do GDPR.

Paredes de cookies são problemáticas

O ICO considera paredes de cookies — onde o acesso a um website é negado a menos que o utilizador aceite todos os cookies — como improvável de constituir consentimento válido porque o consentimento não seria dado livremente. Exceções podem existir para conteúdo pago onde uma alternativa genuína sem cookies é oferecida.

Ações de fiscalização recentes do ICO

O ICO tem aumentado constantemente o seu foco na conformidade com cookies nos últimos anos. Ações notáveis incluem:

• Auditorias setoriais: O ICO conduziu auditorias dos 100 principais websites britânicos em múltiplos setores, publicando conclusões que destacaram a não-conformidade generalizada. Problemas comuns incluíram cookies definidos antes do consentimento, falta de opção de rejeição e informações inadequadas sobre os fins dos cookies.
• Cartas de aviso: Após as auditorias, o ICO emitiu cartas de aviso a organizações cujas práticas de cookies ficaram aquém. A maioria das organizações colocou as suas práticas em conformidade após receber estas cartas.
• Investigações adtech: O ICO conduziu investigações contínuas no ecossistema de real-time bidding, levantando preocupações sobre o volume de dados pessoais partilhados através de cookies de publicidade programática sem consentimento adequado.
• Fiscalização no setor público: O ICO não isentou websites governamentais, emitindo orientações e avisos a organizações do setor público sobre as suas práticas de cookies.

Embora o ICO ainda não tenha emitido multas financeiras significativas especificamente por violações de cookies, a tendência é claramente para uma fiscalização mais rigorosa. O regulador declarou que espera que as organizações estejam em conformidade agora e que ações de fiscalização seguir-se-ão para aqueles que não melhorarem.

Transferências internacionais de dados: Reino Unido para a UE e além

O consentimento de cookies interseta-se com transferências internacionais de dados de forma importante. Quando cookies de análise ou publicidade enviam dados para servidores fora do Reino Unido — como o Google Analytics envia dados para os servidores da Google, e o Facebook Pixel envia dados para os servidores da Meta — estes constituem transferências internacionais de dados ao abrigo do UK GDPR.

Arranjos atuais:

• Reino Unido para o EEE: Os dados fluem livremente ao abrigo do reconhecimento de adequação do EEE pelo Reino Unido.
• Reino Unido para os EUA: A UK Extension to the EU-US Data Privacy Framework fornece um mecanismo para transferências para organizações americanas certificadas. A Google e a Meta são certificadas ao abrigo deste quadro.
• Reino Unido para outros países: Salvaguardas adequadas como Standard Contractual Clauses (versão britânica) ou regras corporativas vinculativas são necessárias.

Para fins práticos, se estiver a utilizar o Google Analytics, Google Ads ou outras grandes plataformas de publicidade, os mecanismos de transferência internacional estão em vigor. No entanto, deve documentar estas transferências na sua política de privacidade e garantir que o seu banner de cookies menciona que os dados podem ser transferidos internacionalmente.

FlexyConsent geo-targeting para conformidade específica do Reino Unido

O FlexyConsent fornece geo-targeting dedicado para visitantes britânicos, assegurando a conformidade com o quadro regulatório específico do Reino Unido:

• Banner compatível com PECR: Os visitantes britânicos veem um banner de consentimento que cumpre os requisitos do ICO, incluindo uma opção de rejeição igualmente proeminente e controlos de categoria granulares. Nenhum cookie é definido até que o consentimento afirmativo seja recebido.
• Separado da configuração da UE: Embora os requisitos sejam semelhantes, o FlexyConsent mantém a capacidade de configurar experiências de consentimento do Reino Unido e da UE de forma independente. Isto prepara a sua implementação para o futuro contra uma potencial divergência regulatória Reino Unido-UE.
• Design alinhado com o ICO: Os modelos de banner padrão do FlexyConsent seguem as orientações do ICO sobre evitar dark patterns. As opções de aceitar e rejeitar são visualmente iguais, a linguagem é neutra e o design não manipula as escolhas dos utilizadores.
• Integração Consent Mode V2: Como um CMP certificado pela Google, o FlexyConsent envia sinais de consentimento adequados para os serviços Google para visitantes britânicos. Isto garante que a modelação de conversões e o Smart Bidding continuem a funcionar corretamente respeitando os requisitos de consentimento do Reino Unido.
• Suporte IAB TCF 2.3: Para editores que utilizam publicidade programática, o FlexyConsent gera strings de consentimento TCF apropriadas para o Reino Unido que são reconhecidas por plataformas demand-side e supply-side que operam no mercado britânico.

O FlexyConsent está disponível com planos a partir de 0 EUR por mês, com integrações nativas para WordPress, Shopify e PrestaShop. Para empresas britânicas em particular, implementar um CMP certificado demonstra conformidade proativa perante o ICO — um fator que o regulador indicou considerar ao decidir ações de fiscalização.

Conclusão principal: O quadro de privacidade do Reino Unido pós-Brexit espelha de perto o da UE, mas opera sob o seu próprio regulador, os seus próprios padrões de fiscalização e potencialmente a sua própria direção legislativa futura. Tratar os visitantes britânicos como sujeitos às mesmas regras que os visitantes da UE é seguro por agora, mas manter a capacidade de configurar experiências de consentimento específicas do Reino Unido posiciona o seu site para se adaptar à medida que os dois quadros potencialmente divergem. Um CMP geo-consciente é a forma mais prática de gerir esta complexidade.