Uma decisao historica do Tribunal de Justica da UE (TJUE) no caso Bundeskartellamt estabeleceu que cookies de analytics web podem, e frequentemente coletam, dados pessoais sensiveis sob o GDPR. Essa decisao tem implicacoes profundas para toda organizacao que usa ferramentas de analytics ou marketing baseadas em cookies.

Contexto do Caso

O caso originou-se de uma constatacao de 2019 pela autoridade alema de concorrencia de que uma grande empresa de midia social estava abusando de sua posicao dominante no mercado. A autoridade ordenou mudancas nos termos de servico da empresa, especificamente decidindo que a coleta de dados fora da plataforma por meio de cookies e rastreadores exigia consentimento do usuario. Quando o caso chegou ao TJUE, o tribunal emitiu decisoes que foram muito alem do escopo original.

A Constatacao sobre Dados Sensiveis

O tribunal determinou que tecnologias de rastreamento coletam dados sensiveis quando usuarios visitam certas categorias de sites ou usam aplicativos especificos. De forma crucial, o tribunal especificou que um conjunto de dados inteiro deve ser tratado como dado sensivel se contiver qualquer informacao sensivel. Se mesmo um visitante em milhares esta navegando conteudo relacionado a saude ou visitando sites relacionados a orientacao sexual, crencas politicas ou afiliacoes religiosas, todos os dados de navegacao coletados devem receber as protecoes elevadas exigidas para dados sensiveis sob o GDPR.

Esse raciocinio se aplica nao apenas ao rastreamento de midia social, mas a qualquer servico de analytics baseado em cookies, ja que os mecanismos de rastreamento subjacentes operam de forma identica.

Consequencias para Analytics Baseado em Cookies

Dados sensiveis so podem ser processados sob bases legais muito especificas, e para analytics web a unica opcao realista e o consentimento explicito -- um padrao mais alto que o consentimento comum. O ecossistema publicitario atual ja tem dificuldades em obter consentimento basico valido por meio de banners de cookies. Atingir o padrao de consentimento explicito e funcionalmente impossivel para a maioria das implementacoes.

Alem disso, o processamento em larga escala de dados sensiveis aciona avaliacoes obrigatorias de impacto na protecao de dados (DPIAs) sob o Artigo 35 do GDPR. Muitos sites que usam analytics baseado em cookies precisariam avaliar e justificar formalmente os riscos de privacidade de alimentar dados de navegacao de visitantes em redes de publicidade.

As Implicacoes Mais Amplas

Essa decisao torna a posicao de conformidade de ferramentas de analytics baseadas em cookies significativamente mais precaria. Organizacoes que operam sites relacionados a saude, politica, religiao ou outros topicos sensiveis enfrentam o risco mais imediato. No entanto, como virtualmente qualquer site pode ser visitado por usuarios cujos padroes de navegacao revelam informacoes sensiveis, a decisao efetivamente se aplica de forma generalizada. A autoridade norueguesa de protecao de dados ja emitiu orientacoes refletindo essa interpretacao.

Abordagens de analytics sem cookies que evitam coletar dados pessoais completamente contornam essa questao por nao criar conjuntos de dados que possam conter informacoes sensiveis.