Diretiva ePrivacy
Diretiva sobre Privacidade e Comunicações Eletrônicas
Visão Geral
A Diretiva ePrivacy (ePD), frequentemente chamada de "lei dos cookies", complementa o GDPR ao fornecer regras específicas para a privacidade nas comunicações eletrônicas. Ela abrange a confidencialidade das comunicações, o uso de tecnologias de rastreamento e o marketing direto.[1]
Como uma diretiva, a implementação varia entre os Estados-Membros. O Regulamento ePrivacy proposto foi oficialmente retirado em fevereiro de 2025, o que significa que a Diretiva continua sendo a lei aplicável.
Relação com o GDPR
- ePD é lex specialis: Tem precedência sobre o GDPR para comunicações eletrônicas
- Princípios do GDPR aplicam-se: O consentimento sob a ePD deve atender aos padrões do GDPR
- Aplicação combinada: Ambos os conjuntos de regras são aplicados pelas autoridades de proteção de dados
Requisitos Principais
Consentimento para Cookies (Artigo 5(3))[2]
O consentimento é necessário antes de colocar ou acessar informações no dispositivo do usuário:
| Tipo de Cookie | Consentimento Necessário? |
|---|---|
| Estritamente necessário | Não (isento) |
| Preferência/funcionalidade | Sim |
| Análise/estatísticas | Sim (algumas jurisdições permitem isenções) |
| Publicidade | Sim |
| Rastreamento de terceiros | Sim |
Requisitos de Consentimento
O consentimento válido deve ser:
- Prévio: Obtido antes dos cookies serem definidos
- Livremente dado: Escolha real sem prejuízo por recusar
- Específico: Claro sobre os propósitos e tipos de cookies
- Informado: Usuários entendem quais dados são coletados
- Não ambíguo: Ação afirmativa clara requerida
- Retirável: Usuários podem mudar preferências facilmente
Melhores Práticas para Banner de Cookies
| Faça | Não Faça |
|---|---|
| Forneça escolhas granulares | Pré-marcagem de caixas de consentimento |
| Torne "Rejeitar Tudo" igualmente visível | Esconder rejeição atrás de múltiplos cliques |
| Armazene prova de consentimento | Defina cookies antes do consentimento |
| Permita retirada fácil | Torne a retirada mais difícil que o consentimento |
| Linguagem clara e simples | Jargão técnico |
Confidencialidade das Comunicações (Artigo 5)
- Proibição de interceptação e vigilância
- Armazenamento técnico necessário para transmissão é permitido
- Conteúdo e metadados protegidos igualmente
Marketing Direto (Artigo 13)
| Tipo | Requisito |
|---|---|
| Marketing por Email/SMS | Consentimento prévio opt-in requerido |
| Clientes existentes | Opt-in suave para produtos similares (com fácil opt-out) |
| Marketing B2B | Regras variam conforme o Estado-Membro |
Comunicações Não Solicitadas
- A identidade do remetente não deve ser disfarçada
- Mecanismo válido de opt-out requerido
- Registros nacionais de "não perturbe" devem ser respeitados
Propostas de Alterações do Digital Omnibus (2025)
A Comissão Europeia propôs simplificar as regras de cookies através do pacote "Digital Omnibus":[3]
- Transferir certas disposições da ePD para o GDPR
- Expandir isenções para cookies de análise e segurança
- Permitir sinais centralizados de consentimento para reduzir a "fadiga de consentimento"
Nota: Essas propostas ainda não foram adotadas. Os requisitos atuais da ePD permanecem em vigor.
Exemplos de Aplicação
| Autoridade | Entidade | Multa | Motivo |
|---|---|---|---|
| CNIL (França) | €150M | Violações de consentimento para cookies | |
| CNIL (França) | €60M | Dificuldade para rejeitar cookies | |
| ICO (Reino Unido) | Vários | Avisos | Botões de rejeição ocultos |
| AEPD (Espanha) | Vários | €10K-100K | Coleta inadequada de consentimento |
Lista de Verificação para Implementação por Desenvolvedores
Banner de Consentimento para Cookies
- Obter consentimento antes de definir cookies não essenciais
- Fornecer controles granulares por categoria
- Tornar "Rejeitar Tudo" igualmente acessível
- Armazenar e registrar data/hora do consentimento
- Permitir retirada fácil do consentimento
- Bloquear scripts de terceiros até o consentimento
Requisitos Técnicos
- Auditar todos os cookies e tecnologias de rastreamento
- Categorizar por propósito e necessidade
- Documentar propósitos e retenção dos cookies
- Garantir que scripts respeitem sinais de consentimento
- Implementar sincronização de consentimento para subdomínios