O que é CNIL e como cumpri-la?

Em 1º de outubro de 2020, a Autoridade Francesa de Proteção de Dados (CNIL) publicou uma versão revisada de suas diretrizes de 2019 sobre cookies e tecnologias semelhantes. A versão revisada foi publicada para levar em consideração também o regulamento GDPR sobre cookies.

CNIL ou Commission Nationale de l'informatique et des libertes (Comissão Nacional de Informática e Liberdade) é um órgão regulador administrativo francês que tem o poder de fazer cumprir as leis de proteção de dados na França. A CNIL é responsável por fazer cumprir todas as três leis abaixo no país.

• Lei francesa de proteção de dados
• GDPR
• Diretiva de privacidade eletrônica

Também detém o poder de receber denúncias e aplicar multas por violação de leis.

Se a sua empresa se enquadra em qualquer uma das categorias a seguir, você é obrigado a cumpri-la.

• Está sediado na França e territórios franceses no exterior
• Coleta e/ou processa dados pessoais de cidadãos e residentes da França e territórios franceses no exterior

Estes são os mesmos princípios de aplicabilidade do GDPR.

O usuário deve permitir o consentimento com uma ação positiva afirmativa clara (como clicar em “Aceito” em um banner de cookie). A inação do usuário, rolagem ou navegação continuada, etc., não pode ser considerada como consentimento e nenhum outro cookie além dos necessários deve ser colocado no dispositivo do usuário até que o consentimento explícito seja recebido.

Os usuários devem poder recusar cookies com a mesma facilidade com que os aceitaram em primeiro lugar.

Os usuários devem poder retirar seu consentimento para cookies facilmente e a qualquer momento.

Os usuários devem ser claramente informados sobre os propósitos dos cookies antes de consentir, juntamente com as consequências de aceitar ou rejeitar cookies.

As empresas que buscam o consentimento para cookies devem fornecer, a qualquer momento, comprovação da coleta válida do consentimento livre, informado, específico e inequívoco do usuário.

A seguir está um infográfico que lhe dará uma ideia rápida dos requisitos de conformidade sob a CNIL.

Tanto o CNIL quanto o GDPR têm requisitos semelhantes quando se trata de obter o consentimento dos usuários para a renderização de cookies. Eles são como mostrado abaixo.

• O consentimento deve ser dado livremente. O usuário deve ser livre para escolher se quer dar consentimento para cookies ou não.

• O consentimento deve ser específico. Você deve obter consentimento para cada finalidade de coleta de dados. Isso significa que, se você obteve consentimento para fins de análise, precisará de um novo consentimento para coleta de dados para fins de marketing.

• O pedido de consentimento deve ser bem informado. Isso significa que você deve informar o usuário sobre suas práticas de privacidade no momento da solicitação. Informar a eles que você usa cookies e apresentá-los com um link para sua política de privacidade é uma boa prática.

• O consentimento deve ser inequívoco. Você tem que mostrar um botão ACEITAR e REJEITAR. Mostrar apenas o botão ACEITAR não é suficiente. O usuário deve ser capaz de realizar ações afirmativas em seu site.

Embora a solicitação de consentimento explícito seja necessária sob a CNIL, ela isenta certos cookies a serem permitidos sem o consentimento dos usuários. A seguir está a lista de cookies isentos da coleta de consentimento.

• Cookies destinados à autenticação com um serviço
• Cookies usados ​​para lembrar os itens do carrinho em um site de comércio eletrônico
• Certos cookies destinados a gerar estatísticas de tráfego
• Cookies que permitem que sites pagos limitem o acesso gratuito a uma amostra de conteúdo solicitada pelos usuários
• Cookies que armazenam a escolha de consentimento dos usuários
• Cookies de personalização da interface do usuário
• Cookies de preferência de idioma

A CNIL considera que o consentimento deve provir exclusivamente de um ato positivo. Portanto, qualquer inação deve ser entendida como uma recusa ao uso de cookies.

A seguir estão os dois casos em que você pode definir cookies nos dispositivos de seus usuários.

• O usuário expressou seu consentimento para cookies
• Os cookies pertencem à categoria isenta (conforme listado na seção acima)

Em princípio, é necessário manter as escolhas expressas pelo usuário, seja seu consentimento ou sua recusa. Assim, ao navegar no site, não terá de reformular a sua escolha de página para página.

Em geral, recomenda-se, portanto, salvar a escolha expressa pelo internauta para não solicitá-lo novamente por um determinado período.

O período de retenção das escolhas terá de ser avaliado caso a caso (no que respeita à natureza do website ou aplicação em causa e às especificidades do seu público). Geralmente, é uma boa prática manter as escolhas por um período de 6 meses.

Paredes de cookies são designs de sites que exigem que um usuário aceite cookies antes de poder acessar o conteúdo do site. Enquanto as diretrizes de 2019 proíbem completamente o uso de paredes de cookies. Como resultado da decisão judicial da França contra a lei, a CNIL editou suas Diretrizes para afirmar que a legalidade das paredes de cookies deve ser avaliada caso a caso.

Se uma parede de cookies for usada, o usuário deve ser claramente notificado de que é impossível acessar o conteúdo sem consentimento. Caso contrário, a parede ou banner de cookies deve desaparecer em breve, para que não interfira no acesso do usuário ao conteúdo ou induza o usuário a consentir.

A CNIL apresentou orientações e recomendações. As diretrizes da CNIL sobre cookies e outros rastreadores informam sobre a lei aplicável enquanto um usuário interage com a Internet através da interface de um smartphone, computador, tablet, etc.

A recomendação visa orientar os profissionais envolvidos em seu processo de compliance. Oferece exemplos de métodos práticos para obter o consentimento de acordo com as regras aplicáveis, mas também para atender aos requisitos estabelecidos no artigo 82 da Lei de Proteção de Dados.

A CNIL emite uma multa contra uma organização em caso de violação do GDPR ou da Lei Francesa de Proteção de Dados de duas maneiras.

• Na sequência de uma reclamação ou um relatório de violação à CNIL
• Na sequência de uma investigação realizada pela CNIL

Em ambos os casos, o presidente do CNIL pode designar um relator entre os comissários do CNIL, exceto os membros da comissão restrita, e encaminhar para a comissão restrita. A comissão restrita é composta por cinco comissários do CNIL e um presidente eleito entre eles.

A organização incriminada é informada e os documentos são trocados durante o procedimento escrito entre o relator e a organização. A comissão restrita recebe então todos os documentos.

Durante o procedimento, a organização incriminada poderá ser ouvida se o relator o considerar útil. Neste caso, um relatório escrito confirmará a audiência.

A penalidade pode ser monitória ou não monitória. Em termos de monitoramento, a empresa ou organização incriminada será forçada a pagar uma quantia de até 4% do faturamento total mundial ou até £ 20 milhões, o que for maior. Em termos não monitórios, haverá advertência, liminar com multas periódicas, etc.

Tal como tinha anunciado, estima que o prazo para cumprimento das novas regras (que foram publicadas a 1 de outubro) não deverá ultrapassar seis meses, ou seja, até ao final de março de 2021, o mais tardar.

A CNIL irá então realizar auditorias e propor ações de fiscalização. Como sempre, os operadores também devem garantir que estão em conformidade com a Diretiva de Privacidade Eletrônica e o Regulamento Geral de Proteção de Dados.

Você pode facilitar a jornada de conformidade CNIL para o seu site WordPress com a ajuda do plug-in CookieYes GDPR Cookie Consent and Compliance Notice. O plug-in facilita o gerenciamento de cookies com seu poderoso conjunto de recursos.

O plug-in fornece os seguintes recursos.

• Verificação de cookies automáticos – O plug-in verifica automaticamente seu site em busca de cookies.
• Banner de consentimento do cookie – Você pode criar e personalizar o banner de consentimento para atender aos requisitos mencionados nas diretrizes das leis.
• Opção de consentimento granular – Busque consentimento explícito para cookies informando os usuários sobre o uso de cada tipo de cookie em seu site.
• Registro de consentimento de cookies – Registre o consentimento de seus usuários com dados relevantes, como cookies consentidos, data, hora etc.
• Bloqueio automático de scripts – Você pode ativar o bloqueio de scripts de cookies de plugins e serviços de terceiros
• Gerador de política de privacidade – Gere facilmente uma política de privacidade/cookie a partir do zero.

Na sequência do novo conjunto de diretrizes apresentado pela CNIL, você não tem muito tempo para cumpri-lo. Portanto, comece hoje mesmo sua jornada de conformidade com o plug-in CookieYes GDPR Cookie Consent and Compliance Notice.