Com a entrada em vigor do GDPR – General Data Protection Regulation – no último dia 25 de maio de 2018 na União Europeia, duas questões iniciais despontam quando o assunto é publicidade e proteção à privacidade do usuário. A primeira delas diz respeito ao artigo 95 da própria GDPR, que vincula a proteção de dados do usuário à Directive 2002/58/EC, em não havendo regulamentação especial ao caso concreto.
O décimo terceiro artigo desta diretiva limita o uso de sistemas automatizados (fac-símile, fax ou e-mails) com o propósito de marketing direto – aquele feito pelos meios descritos neste parágrafo, além do newsletter – vinculado a possibilidade deste tipo de comunicação ao consentimento prévio do usuário.
A segunda questão é o consentimento que, conforme o artigo 4 do GDPR, deverá ser específico e feito mediante uma ação afirmativa.
Tal requisito convencionou-se chamar “consentimento ativo”, ou opt-in, e significa que o usuário deverá aprovar uma requisição específica com o propósito de receber qualquer informação relacionada a marketing direto, como no exemplo abaixo.
PUBLICIDADE PROMOVIDA POR TERCEIROS
Outra faceta da publicidade na internet é a indústria da publicidade online (ou ads), responsável por movimentar cerca de 204 bilhões de dólares só em 2017. Um dos grandes apelos deste modal de marketing para a promoção de produtos e serviços, por exemplo, são os cookies que, de forma simples, permitem rastrear padrões de uso, acesso e comportamento do usuário.
Com estas informações em mãos, é possível direcionar propagandas específicas a um público alvo extremamente refinado. É o caso, por exemplo, da pessoa que faz uma busca por “geladeira” em sites de venda do varejo e, a partir daí, passa a receber inúmeras propagandas sobre geladeiras por onde quer que navegue.
A título de exemplificação, apresentamos uma extensão para navegadores chamada Ghostery, que permite verificar quais serviços de rastreamento com uso de cookies estão ativos em dada página da web. Testamos a funcionalidade em um grande varejista do mercado com a referida extensão e mediante a procura do termo “geladeira”, sendo alvo de 27 serviços de rastreamento diferentes, 7 deles relacionados a serviços de publicidade.
Tal prática é perfeitamente possível e legal de acordo com o Recital 30 da própria GDPR. Acontece que, conforme termos do artigo primeiro desta lei, indica que tal rastreio enquadra-se no conceito de recolhimento de “dados pessoais” (personal data), aplicando-se a mesma restrição de captação da informação, exceto em caso de consentimento ativo, nos mesmos termos do marketing direto, e é por isso que tornou-se tão comum, em parte, uma mensagem introdutória de política cookies quando do acesso a sites estrangeiros.
Em outras palavras, antes da entrada do GDPR, o mero consentimento de termos de uso genéricos já bastava para o rastreio do comportamento de uso dos usuários e posterior emprego das informações coletadas para publicidade direcionada, o que não é mais verdade para quem se encontra sob a jurisdição da nova lei de dados. Por certo, isso cria maiores empecilhos para o recolhimento de informações pessoais e seu posterior uso em publicidade direcionada.
A TERCEIRA VIA
Uma alternativa às limitações publicitárias impostas pelo consentimento ativo e que não opera mediante o rastreio do comportamento com cookies é o uso de publicidade não-personalizada (NPA), que permite a produção de publicidade não baseada em comportamentos passados – o que exigiria consentimento ativo para rastreio – mas utiliza “informações contextuais” do usuário: como geolocalização e conteúdo acessado independente dos cookies.
O grande diferencial deste tipo de publicidade é que não necessariamente usará cookies ou outras formas de rastreio para identificar o comportamento do usuário na web. Comparativamente, enquanto o uso de cookies envolve o rastreio do comportamento do usuário em um site, a publicidade não-personalizada pode basear-se, por exemplo, no direcionamento de informações de cadastro, e seu compartilhamento com terceiros, para fins publicitários.
Tal prática pode facilitar a implementação de publicidade direcionada sem o uso de cookies, permitindo, por exemplo, o cruzamento de informações de fontes distintas para estabelecer algo próximo de um perfil de comportamento do usuário. Acontece que estes tipos de dados, como aqueles utilizados para cadastro em um site, requerem também o consentimento específico para ser compartilhado com terceiros.
Todavia, e aqui entra vem o grande diferencial desta abordagem à publicidade dentro do escopo protetivo do GDPR: nos termos do Recital 32, basta o consentimento amplo do usuário, que deve ter acesso facilitado a explicações descritivas acerca do uso de seus dados em uma política de privacidade, por exemplo.
Em um post anterior do blog DTI, iniciamos uma discussão sobre as práticas comerciais da indústria de jogos eletrônicos. Mas por mais que não haja relação direta entre estes posts, uma grande desenvolvedora de jogos pratica a exata política acima descrita. Trata-se da Bethesda Softworks, famosa por séries como The Elder Scrolls e Fallout. Desde março de 2018, a referida empresa prevê em sua política de privacidade de dados mais atualizada, artigo 6:
“Trabalhamos com redes de anúncios de terceiros, parceiros de canais, serviços de medição e outros ("empresas de anúncios de terceiros") para exibir publicidade em nossos Serviços e gerenciar nossa publicidade em sites de terceiros, aplicativos móveis e serviços online. Nós e essas empresas de anúncios de terceiros podemos usar cookies, tags de pixels e outras ferramentas para coletar informações de atividades em nossos Serviços (e também em sites e serviços de terceiros), bem como endereço IP, identificação do dispositivo, cookies e identificações de publicidade, e outros identificadores, informações gerais de localização e, com o seu consentimento, as informações de localização geográfica de seu dispositivo; nós e essas empresas de anúncios de terceiros usamos essas informações para fornecer anúncios e conteúdo mais relevantes e para avaliar o sucesso desses anúncios e conteúdo.
Por exemplo, podemos trabalhar com o Facebook (veja a política de privacidade em http://www.facebook.com/policy.php) e a página de preferências de anúncios (http://www.facebook.com/settings?tab=ads) para exibir anúncios direcionados para você no Facebook. Podemos também trabalhar com outros, como Google Ads e DoubleClick (consulte a política de privacidade em http://www.google.com/policies/privacy) e a página de preferências de anúncios em http://www.google.com/settings/u/0/ads/authenticated?hl=en, para exibir anúncios em outros sites de terceiros, com base em seu uso de nossos Serviços, informações sobre atividades e outras interações conosco”. (Grifos nossos)
Desta sorte, mesmo que um usuário prontamente rejeite a política de cookies e os específicos termos de marketing direto da empresa, mas aceite a política de privacidade, ainda assim teria dado permissão para compartilhamentos de dados pessoais para serem utilizados com o propósito de publicidade direcionada em sites de terceiros.
Por certo que tal fenômeno deve ainda passar por uma discussão a respeito do interesse legítimo do uso destes dados neste caso. Mas tendo em conta o enorme esforço protetivo em nome da segurança dos dados e da privacidade do usuário que vem da essência do GDPR, questiona-se se os legisladores anteviram a possibilidade desta “solução criativa” para que, no final das contas, dados pessoais de usuários ainda acabassem sendo compartilhados para fins de publicidade direcionada com tamanha facilidade.