Decisão do TJE: Cookies e GDPR – Quem deve dar consentimento agora?

Decisão do TJE: Cookies e GDPR – Quem deve dar consentimento agora?

No dia 30 de maio de 2025, o foco estará na proteção de dados e no tratamento de dados pessoais, especialmente no contexto da publicidade personalizada. O Tribunal de Justiça Europeu (TJE) tomou recentemente uma decisão decisiva que clarifica os requisitos para obter o consentimento do utilizador ao processar estes dados. O acórdão (ref. C-604/22), que se baseia numa decisão prejudicial de um tribunal belga, esclareceu que o consentimento é obrigatório antes da exibição de publicidade personalizada.

O tribunal decidiu que a “string TC”, um padrão atualizado para armazenamento e transmissão de dados do usuário, conta como dados pessoais na acepção do Regulamento Geral de Proteção de Dados (GDPR). Esta classificação significa que a cadeia de TC pode revelar potencialmente a identidade do utilizador e, portanto, está sujeita aos requisitos rigorosos do RGPD. De acordo com a decisão, as empresas de publicidade como o Interactive Advertising Bureau Europe (IAB) devem garantir que obtêm o consentimento dos utilizadores para recolher e processar os seus dados.

Tecnologias de armazenamento de dados

A utilização de cookies de parceiros e identificadores online semelhantes já é generalizada. Estas tecnologias permitem armazenar ou ler informações como tipo de navegador, idioma, tamanho de tela e tecnologias suportadas em dispositivos finais. Esses dados são então usados ​​para entregar publicidade direcionada. Por exemplo, um fabricante de automóveis poderia anunciar especificamente veículos elétricos para usuários urbanos após as 18h30.

Tais medidas publicitárias baseiam-se frequentemente em perfis de utilizadores criados a partir de comportamentos previamente recolhidos na respetiva plataforma. Um exemplo disso é um varejista on-line que mostra publicidade específica de tênis de corrida para usuários que já pesquisaram esses produtos. Além disso, as informações sobre as interações com a publicidade são utilizadas para medir o desempenho da publicidade e melhorar a relevância do conteúdo.

Responsabilidade das empresas de publicidade

A decisão do TJE deixa claro que as empresas que processam dados pessoais, como o IAB, são classificadas como “controladoras” na acepção do GDPR. Isto significa que devem decidir sobre as finalidades e os meios de tratamento dos dados. O não cumprimento pode resultar em medidas e multas, como recentemente impostas pela Autoridade Belga de Proteção de Dados contra o IAB.

Na publicidade digital, é crucial que os utilizadores não sejam apenas informados, mas também possam opor-se ativamente à recolha e ao tratamento dos seus dados. Os dados coletados podem incluir desde localização e idade até histórico de pesquisas e compras realizadas, destacando a complexidade do tema.

Para cumprir os requisitos do GDPR, o IAB desenvolveu a “Estrutura de Transparência e Consentimento” (TCF). Esta plataforma facilita a obtenção do consentimento necessário para o tratamento dos dados e garante o respeito dos direitos dos utilizadores. Isto também cria a base para, por exemplo, realizar avaliações anonimizadas para melhorar produtos e ofertas.

No geral, a discussão atual sobre publicidade, requisitos de proteção de dados e o papel dos responsáveis ​​mostra como é importante lidar de forma transparente com os dados dos utilizadores e, ao mesmo tempo, cumprir os requisitos legais. Uma ligação estreita entre a publicidade e a protecção de dados é mais necessária do que nunca para ganhar e manter a confiança dos utilizadores a longo prazo.