Desenvolvido no contexto do respetivo Grupo de Apoio de Peritos, o Comité Europeu para a Proteção de Dados (CEPD) lançou um software gratuito e de fonte aberta, que proporciona uma ferramenta de “fácil utilização” para autoridades de controlo de proteção de dados (APD) e também para responsáveis pelo tratamento de dados e subcontratantes que pretendam testar a conformidade dos seus sítios Web.
No dia 29 de janeiro, o Comité Europeu para a Proteção de Dados (CEPD) lançou uma ferramenta de auditoria de sítios Web (disponível para descarregamento em code.europa.eu) que permite analisar a conformidade dos sítios web existentes com as disposições aplicáveis em matéria de privacidade eletrónica (e-privacy).
De acordo com o anúncio de lançamento, embora já existam várias ferramentas de auditoria de sítios Web, geralmente elas exigem conhecimentos técnicos especializados. Por conseguinte, o CEPD decidiu desenvolver uma solução que fosse de fácil utilização, a fim de facilitar a atividade de controlo pelas APD nacionais e permitir verificações de conformidade pelos responsáveis pelo tratamento.
A conformidade em causa centra-se no estipulado pela Diretiva relativa à “privacidade e às comunicações eletrónicas” (Diretiva E-Privacy), na sua transposição para as diferentes leis dos Estados‑Membros, no sentido de que «a armazenagem de informações ou [o] (…) acesso à informação armazenada no equipamento terminal de um assinante ou utilizador» – tipicamente, mas não necessariamente, cookies – só são permitidos com base no consentimento (do assinante ou utilizador) salvo quando necessários para fins específicos estabelecidos na legislação [1].
Neste ponto, é importante mencionar a consulta pública recentemente encerrada sobre o conteúdo das Diretrizes 2/2023 do CEPD (disponíveis aqui), que abordam o âmbito de aplicação do disposto no artigo 5.º, n.º 3, da Diretiva E-Privacy a diferentes tecnologias (para além dos cookies), visando proporcionar uma compreensão clara das tecnologias emergentes de rastreio abrangidas pela norma, como o recurso, entre outros, ao rastreio de URL e de píxeis (Web Beacons), rastreio baseado apenas no IP, transmissão de informação por equipamentos da Internet das Coisas (IoT) e identificadores únicos ou persistentes.
Deteção de tecnologias de rastreio utilizadas nos sítios Web
A ferramenta «classifica os dados e gera relatórios sobre os meios de rastreio usados pelos sítios Web» [2]. Inclui funcionalidades que dão uma visão geral dos dados pessoais armazenados ou transferidos no ou pelo navegador permitindo, entre outras, analisar a gravação de capturas de ecrã, o armazenamento de cookies (classificados por domínio, nome e finalidade provável), o armazenamento de chave/valor em cada frame contida na página Web apresentada, a verificação da utilização de SSL, a existência de meios de transmissão de dados através de comunicação não segura (HTTP), a listagem de todos os pixéis de rastreio conhecidos (Web Beacons) na página e outros.
Avaliação da conformidade
Os elementos (provas) são armazenados na ferramenta para posterior avaliação da conformidade com os requisitos legais. A ferramenta auxilia na avaliação e análise da conformidade e ajuda a identificar as finalidades dos trackers encontrados (através de referências cruzadas com bases de conhecimento de cookies conhecidos e das suas finalidades correspondentes). Também é possível adicionar novas tecnologias de rasteio às bases de conhecimento para avaliação posterior.
Controlo pelas autoridades e auditoria preventiva de website pelo responsável do tratamento de dados
Embora, de acordo com a documentação do utilizador disponibilizada, este software «[...] se destine a ser utilizado para facilitar as inspeções de sítios Web» (EDPB Website Auditing Tool), apresenta-se também como uma ferramenta útil para ajudar os responsáveis pelo tratamento de dados a efetuar verificações de conformidade nos seus próprios sítios Web, podendo ser utilizado, como tal, numa abordagem preventiva dessa conformidade.
A ferramenta inclui funcionalidades de elaboração de relatórios e está estruturada para a recolha de evidências. Mais uma vez, também essas vertentes são relevantes para apoiar auditorias preventivas de conformidade de sítios Web próprios.
Ficamos à vossa inteira disposição para mais esclarecimentos.
____________
[1] O artigo 5.º, n.º 3, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (com a redação que lhe foi dada pela Diretiva 2009/136/CE), mais conhecida por Diretiva de E-Privacy.
No caso de Portugal, a Diretiva foi transposta pela Lei n.º 41/2004, de 18 de agosto, correspondendo o previsto naquela norma ao disposto no respetivo artigo 5.
[2] Documentação do utilizador sobre a ferramenta de auditoria do sítio Web do CEPD (EDPB Website Auditing Tool).
