Alerta Jurídico nº 86 – Agosto de 2025. 

 

Cookies e segmentação de usuários da internet: situação atual.

Em 1º de setembro, a CNIL impôs uma multa de 325 milhões de euros ao Google e de 150 milhões de euros à subsidiária irlandesa do grupo Shein, dois valores que elevarão significativamente a média das sanções aplicadas pela CNIL nos últimos meses.

O Google foi sancionado por exibir anúncios inseridos entre os e-mails dos usuários do Gmail e por instalar cookies na criação de contas do Google, sem o consentimento válido dos usuários franceses.

A CNIL também exige que o Google remova essa exibição de anúncios em até seis meses e obtenha o consentimento válido dos usuários para a colocação de cookies de publicidade ao criar uma conta do Google, sob pena de multa de 100.000 euros por dia. 

A multa imposta à Shein também se refere ao descumprimento das normas aplicáveis aos cookies, instalados nos dispositivos dos usuários que visitam o site "shein.com".

Essas multas significativas fazem parte das diversas medidas tomadas pela Comissão para regulamentar o rastreamento e a segmentação de usuários da internet, e foram publicadas em seu site em 2019.

Em dezembro de 2021, a CNIL já havia multado o Google em 150 milhões de euros por violar as normas relativas a cookies e em 50 milhões de euros pela falta de transparência e clareza de sua política de privacidade e pela ausência de uma base legal para publicidade personalizada.

Recentemente, também sancionou a empresa Orange por práticas semelhantes de envio de publicidade por e-mail.

Essas decisões nos dão a oportunidade de revisar as práticas de segmentação de usuários da internet e o arcabouço legal.

As regras aplicáveis a casos específicos são específicas: a Comissão recorda que as operações relacionadas com a utilização de rastreadores e a prospeção eletrónica não se enquadram no RGPD, mas sim noutras normas: a diretiva "ePrivacy", transposta para o artigo 82.º da Lei de Proteção de Dados no que diz respeito aos rastreadores, e a Lei 34-5 do CPCE no que diz respeito à prospeção comercial por meios eletrónicos.

As práticas consideradas não conformes dizem respeito principalmente à instalação de rastreadores sem o consentimento do usuário, mas também à prática crescente de usar "muros de cookies", que condicionam o acesso do usuário a um serviço à sua aceitação da instalação de rastreadores em seu dispositivo.

Ao contrário de algumas das suas congéneres europeias, a CNIL não considera esta prática ilegal em si mesma.

No entanto, ela enfatiza que o consentimento deve ser dado livremente e que as alternativas oferecidas ao usuário devem ser apresentadas de forma equilibrada, sem incentivá-lo a usar uma opção em detrimento de outra (por exemplo, tornando uma escolha mais complexa do que a outra).

É também necessário que o consentimento seja informado, o que significa que as pessoas devem ter uma compreensão plena e clara das consequências de suas escolhas.

Essas decisões da CNIL também são o culminar de reclamações apresentadas pela ONG noyb há mais de dois anos a diversas autoridades de proteção de dados (APD) na Europa, principalmente relacionadas ao fenômeno dos "cookie walls" ou "pay or okay" e à questão da transparência na coleta de dados.

Assim, em meados de agosto, o Tribunal Administrativo Federal Austríaco seguiu o parecer da Autoridade Austríaca de Proteção de Dados e considerou que a existência de várias finalidades para a colocação de cookies exige consentimento separado.

Segundo o tribunal, agrupar diferentes finalidades de processamento infringiria a liberdade de decisão e invalidaria o consentimento.

"Essa granularidade está intimamente ligada à exigência de que o consentimento seja dado para uma finalidade específica", afirma a exposição de motivos da sentença.

Esses desenvolvimentos recentes confirmam a posição das autoridades de supervisão de que o quadro legal, e em particular a Diretiva ePrivacy, aplica-se estritamente ao consentimento, especialmente para cookies não essenciais.

As autoridades já não toleram consentimentos "padrão" ou interfaces de informação vagas.

       

Ele foi interrogado pelo Senado neste verão. Anton Carniaux, diretor de assuntos públicos e jurídicos da Microsoft França, admitiu que não podia "garantir" que os dados de cidadãos franceses hospedados na Europa jamais seriam transmitidos ao governo americano. Nos termos da Lei da Nuvem, embora "isso nunca tenha acontecido".

Nesse contexto de dependência de gigantes americanos, o governo dinamarquês anunciou o lançamento oficial de uma iniciativa para avaliar a integração de soluções de código aberto em seus serviços públicos.

Em 9 de setembro, a DGE e a DGCCRF publicaram a proposta de designação das autoridades nacionais responsáveis pela implementação do regulamento europeu sobre IA.

O documento inclui um diagrama que mostra as – numerosas – autoridades competentes de acordo com os artigos relevantes do regulamento e as finalidades do processamento de IA.

Graças ao trabalho do chefe adjunto da missão jurídica da DINUM, agora é possível consultar o mapa de fiscalizações da CNIL por ano e setor de atividade.

O mapeamento se concentra nesses controles e não inclui todas as ações da CNIL, como sensibilização no terreno, notificações formais, sanções, etc.

Baseia-se nos dados que a CNIL publica em data.gouv.

 

Instituições e órgãos europeus

As notícias europeias estão agitadas nesta época do ano, devido à atividade das instituições e, em particular, do Tribunal de Justiça da União Europeia (TJUE).

A proposta de regulamentação sobre o controle das comunicações (“Controle de bate-papo”), destinada a prevenir e combater o abuso sexual contra crianças, volta à agenda do Conselho Europeu de 12 de setembro de 2025, sob a Presidência dinamarquesa.

A proposta revisada prevê a possibilidade de escanear as comunicações no terminal do usuário antes de serem enviadas e constitui, aos olhos de muitos cientistas e da sociedade civil, um retrocesso em comparação com o texto da presidência polonesa.

Uma nova carta aberta (a quarta sobre o assunto), assinada por mais de 600 cientistas de 34 países, foi publicada em 8 de setembro.

Ela destaca a ineficiência e os riscos dessa proposta em termos de criptografia e menciona possíveis alternativas.

Em 4 de setembro, a Comissão Europeia iniciou o processo de adoção de uma decisão de adequação em matéria de proteção de dados com o Brasil.

Uma vez adotada, esta decisão será a primeira decisão de adequação para a América Latina desde as relativas à Argentina, em 3 de junho de 2003, e ao Uruguai, em 21 de agosto de 2012.

As autoridades brasileiras também iniciaram um processo com o objetivo de adotar uma decisão equivalente que permita o livre fluxo de dados brasileiros para a UE.

Os próximos passos envolverão o envio da minuta de decisão para revisão pelo Conselho Europeu de Proteção de Dados (EDPB) e pelo Conselho de Ministros que representa os Estados-Membros da UE.

O Parlamento Europeu também analisará a proposta.

Em 5 de setembro, A Comissão Europeia anunciou que irá multar o Google em 2,95 bilhões de euros. por violar as regras antitruste da UE ao distorcer a concorrência no setor de tecnologia de publicidade ("adtech").

Alega-se que o Google favoreceu seus próprios serviços de tecnologia de publicidade online em detrimento de fornecedores concorrentes de tecnologia de publicidade, anunciantes e editores online.

A Comissão ordenou ao Google que pusesse fim a essas práticas de autopreferência e implementasse medidas para eliminar os conflitos de interesse inerentes à sua cadeia de fornecimento de tecnologia publicitária.

O Google tem agora 60 dias para informar a Comissão sobre como pretende proceder.

Essa sanção provocou uma reação imediata dos Estados Unidos, com Donald Trump indicando sua intenção de tomar medidas retaliatórias contra a UE.

Em 3 de setembro, na sua decisão T-553/23 | Latombe contra a Comissão, a O Tribunal de Justiça da União Europeia rejeitou a ação movida pelo eurodeputado Philippe Latombe, que visava anular a terceira versão do acordo sobre transferência de dados entre a UE e os Estados Unidos. O Quadro de Proteção de Dados (DPF, na sigla em inglês), considerando que os Estados Unidos "garantiram um nível adequado de proteção de dados pessoais".

O Sr. enfatizou, em particular, que o órgão de apelação americano, o "Tribunal de Revisão de Proteção de Dados" (DPRC), não é imparcial e depende do poder executivo.

Ele também apontou para a prática dos serviços de inteligência de coletar grandes quantidades de dados pessoais provenientes da União Europeia, sem a autorização prévia de um juiz ou de uma autoridade administrativa independente e, portanto, sem diretrizes suficientemente claras e precisas.

O Tribunal indefere o pedido de anulação.

Ele destaca que a operação do DPRC está sujeita a uma série de salvaguardas, que a Comissão Europeia monitora a aplicação do DPF e considera suficiente que as atividades de inteligência realizadas por agências americanas estejam sujeitas à revisão judicial posterior pelo DPRC.

A decisão do Tribunal de Justiça da UE pode ser contestada junto ao TJUE, e o deputado Philippe Latombe já manifestou a sua intenção de apresentar tal recurso.

Em 4 de setembro, em uma decisão importante (Processo C-413/23 P | EDPB/CRU), o Tribunal de Justiça da União Europeia (TJUE) anulou uma decisão do Tribunal da UE relativa ao conceito de dados pessoais.

O tribunal está analisando o recurso interposto pelo Supervisor Europeu da Proteção de Dados (SEPD) contra a decisão do Tribunal de Justiça da UE que anulou sua decisão de 2020.

Nessa decisão, o CEPD concluiu que o Conselho Único de Resolução Europeu (SRB) violou o RGPD das instituições europeias ao comunicar a uma empresa de contabilidade os comentários de credores e acionistas sobre o processo de falência de um banco espanhol.

O Tribunal de Justiça da União Europeia considera que as opiniões pessoais dos indivíduos constituem informações pessoais e que o Tribunal deveria tê-las tratado como tal.

Acredita ainda que o risco de reidentificação relacionado ao processamento e à transferência de dados pessoais deve ser avaliado caso a caso no momento da coleta, e que o Tribunal errou ao anular a decisão inicial do CEPD, em parte porque não determinou se o conteúdo dos comentários pseudonimizados continha, de fato, informações pessoais.

No entanto, o Tribunal de Justiça da União Europeia (TJUE) concordou com a Comissão Real Britânica (CRU) sobre a questão de em que condições os dados pseudonimizados também podem ser considerados dados pessoais, escrevendo na sua decisão que "Os dados pseudonimizados não devem ser considerados como constituindo, em todos os casos e para cada pessoa, dados pessoais para efeitos da aplicação (do RGPD)." Na medida em que a pseudonimização possa, dependendo das circunstâncias do caso, impedir eficazmente que pessoas que não sejam o responsável pelo tratamento identifiquem o titular dos dados de tal forma que, para elas, o titular dos dados não seja ou deixe de ser identificável.

Em outra decisão também datada de 4 de setembro (Acórdão C 655/23, IP contra Quirin Privatbank AG), o Tribunal decidiu sobre a existência de um direito de medida cautelar preventiva para impedir o tratamento dos dados por parte do responsável pelo tratamento, bem como sobre a extensão dos danos morais.

O Tribunal considera que o RGPD não oferece uma medida judicial preventiva contra o tratamento ilícito futuro, mas que os Estados-Membros podem prever essa possibilidade.

Ela também esclareceu que sentimentos como humilhação ou preocupação podem ser suficientes para comprovar dano moral, desde que haja provas.

Ela acrescenta que a gravidade da falta do responsável pelo tratamento dos dados ou a obtenção de uma liminar não devem influenciar o valor da indenização, que permanece exclusivamente compensatória.

 

Notícias dos países membros da União Europeia.

Na Alemanha, o Tribunal Federal do Trabalho decidiu que um empregador havia processado ilegalmente os dados de saúde de um funcionário ao monitorá-lo para verificar se ele estava fingindo sua incapacidade para o trabalho.

Ela também concedeu ao funcionário € 1.500 em danos morais.

A Autoridade Belga de Proteção de Dados (APD) repreendeu um político que coletou o endereço de e-mail de uma pessoa a partir de uma fonte pública e enviou mensagens políticas a ela, violando os princípios do RGPD (Regulamento Geral sobre a Proteção de Dados) de legalidade, limitação da finalidade e transparência.

Na Espanha, a Loro Parque, empresa que administra um zoológico e um parque aquático, foi multada em € 250.000 pela APD (Autoridade de Proteção de Dados) por coletar impressões digitais sem informação ou consentimento prévio: as pessoas em questão eram obrigadas a fornecer suas impressões digitais caso possuíssem ingressos promocionais que davam acesso aos dois parques com um único ingresso.

Além disso, a APD multou a Câmara de Comércio Espanhola em 500 mil euros por transferir os números de identificação fiscal de trabalhadores autônomos para empresas privadas sem fundamento legal.

Na Itália, a APD multou uma empresa automotiva em 50.000 euros.

Esta última empresa organizou entrevistas de "retorno ao trabalho" com seus funcionários após o período de afastamento, resultando em uma coleta excessiva de dados, incluindo dados sensíveis.

A APD também aponta para uma violação dos princípios da transparência e da validade do consentimento do funcionário.

A Autoridade Lituana de Proteção de Dados (DPA) ordenou que a Vinted pare de coletar os números de telefone de seus clientes para fins de verificação de conta.

Inicialmente, ela considerou que os motivos invocados pela Vinted, nomeadamente a verificação das contas de utilizador e a garantia da segurança da plataforma, não constituíam um aspeto essencial do contrato entre o responsável pelo tratamento dos dados e o titular dos dados.

Ela também observou que os termos de uso mencionavam outros meios possíveis de verificar a identidade de um usuário e que, portanto, o processamento de dados pessoais não atendia ao critério de necessidade estabelecido no Artigo 6(1)(b) do RGPD.

O Supremo Tribunal Administrativo dos Países Baixos decidiu que uma instituição de saúde mental não era obrigada a cumprir um pedido de eliminação de dados.

A retenção de dados era necessária em virtude do contrato de tratamento médico e para a gestão dos serviços da unidade de saúde.

Na Polônia, o ING Bank Śląski foi multado em € 4.300.000 por digitalizar documentos de identidade sem motivo legítimo ou avaliação de risco..

A APD constatou que o banco processou dados sensíveis, incluindo números PESEL e detalhes de documentos, de forma desnecessária, violando assim a abordagem baseada no risco exigida pelos regulamentos de combate à lavagem de dinheiro.

 

A China está reforçando suas regras em torno da transferência de dados para o exterior.

A filial da Dior em Xangai é acusada pelas autoridades de segurança pública chinesas de transferir ilegalmente dados de clientes para a sede na França, sem cumprir as normas obrigatórias de avaliação de segurança, notificação ao usuário e criptografia.

A filial foi sujeita a uma sanção administrativa.

Nos Estados Unidos, 44 procuradores-gerais enviaram uma carta a 13 empresas de IA, incluindo OpenAI, CharacterAI, Replika e Meta, informando-as de que seriam responsabilizadas caso causassem danos a crianças.

A carta destaca revelações recentes sobre as diretrizes técnicas da Meta para a Meta AI e os chatbots do Facebook, WhatsApp e Instagram.

Este documento, aprovado pelas equipes jurídica, política e técnica da empresa, autorizava os chatbots a convidar crianças para interações românticas ou sedutoras com o chatbot, incluindo comentários sobre a aparência das crianças, bem como cenários de dramatização.

O blog "Tech Community" da Microsoft anunciou no final de agosto que a atualização mais recente do MS Word para Windows salva automaticamente os arquivos do Word dos usuários na nuvem (OneDrive) por padrão.

A Microsoft apresenta esta atualização como uma melhoria na segurança, no acesso, no trabalho em equipe e no uso de IA.

Embora seja possível modificar essas configurações nas preferências do Word, o envio padrão de documentos para uma nuvem americana levanta questões relacionadas ao GDPR, no que diz respeito à confidencialidade dos dados e à questão da acessibilidade desses dados por autoridades públicas dos EUA.

Os óculos inteligentes "Halo" estão gerando preocupação entre especialistas em inteligência artificial.

L. Jarosvsky relata que esses novos óculos estão sempre ligados, gravam tudo e não possuem nenhum indicador para alertar as pessoas de que estão sendo gravadas.

Em entrevista ao TechCrunch, os fundadores da Halo teriam se isentado de qualquer responsabilidade, afirmando que, nos estados americanos onde é ilegal gravar conversas secretamente sem o consentimento da outra pessoa, cabe ao usuário obter esse consentimento antes de usar os óculos.