Conformidade de consentimento de cookies: desativando JavaScript e acessibilidade de teclado
Percebi que a maioria das soluções de consentimento de cookie são baseadas em JavaScript e, quando você desabilitou o JS, as configurações de consentimento de cookie podem não estar acessíveis.
Por falar em acessibilidade, algumas soluções de consentimento de cookies não são acessíveis por teclado, o que significa que pessoas com certas deficiências também não seriam capazes de gerenciar seus cookies.
Isso é compatível com o GDPR, a Diretiva de privacidade eletrônica e o CCPA?
Respostas
É improvável que isso represente um problema: a maioria das coisas que exigem consentimento acontecem apenas por JS e o consentimento deve ser ativado de qualquer maneira. No entanto, as preocupações com acessibilidade podem ser legítimas.
Os cookies são geralmente definidos por meio de um campo de cabeçalho na resposta do servidor da web. Esses cookies são normalmente (mas não necessariamente) usados por motivos benignos, como tokens de sessão. E os cookies estritamente necessários não requerem consentimento. Em contraste, os usos problemáticos de cookies geralmente são acionados por código JavaScript na página. Quando o JavaScript está desabilitado, ele não pode definir cookies e pedir consentimento é desnecessário.
Isso nos leva ao próximo motivo: o consentimento é opt-in. A diretiva de privacidade eletrônica exige consentimento para o uso de cookies que não sejam estritamente necessários, e os artigos 4 (11) e 7 do GDPR definem consentimento como uma opção por meio de uma ação ou expressão afirmativa que indique claramente os desejos do visitante. Caixas pré-marcadas ou “continuando a usar esta página ...” os mecanismos de consentimento do estilo não são compatíveis. Se o mecanismo de um site para solicitar consentimento não funcionar, ele não pode presumir que o consentimento foi dado e não tem permissão para realizar o processamento de dados relevante.
Claro, também é possível ter uma visão oposta: que o JavaScript é uma parte central do padrão HTML e que os agentes do usuário sem suporte a JavaScript interrompem o funcionamento correto do site sob risco do visitante. O operador do site não pode razoavelmente garantir a funcionalidade correta do site em tais navegadores fora do padrão. Mas, embora este seja um argumento válido em face das preocupações com acessibilidade, não importa para o consentimento do GDPR: o controlador de dados deve ser capaz de demonstrar que o consentimento foi realmente dado (Artigo 7 (1)). Embora essa prova não precise ser um registro explícito, assumir o consentimento da ausência de evidência parece incompatível.
O GDPR exige acessibilidade? Não explicitamente. Os requisitos de acessibilidade podem ser derivados de outras leis. Mas o GDPR tem alguns princípios básicos que apontam nessa direção. Como um caso especial para declarações escritas que também consideram outras questões, o pedido de consentimento deve ser feito “de uma forma inteligível e facilmente acessível” (Art. 7 (2)), o que indiscutivelmente também se aplica a mídias textuais como websites. De forma mais geral, o princípio da transparência no Artigo 5 (1) (a) pode implicar acessibilidade para informações relativas ao processamento de dados. Para o contexto dos direitos do titular dos dados, o Artigo 12 (1) fornece detalhes sobre como as informações devem ser fornecidas (transparente, inteligível, facilmente acessível, linguagem clara e simples) e o Artigo 12 (2) exige que os controladores de dados “facilitem o exercício de direitos do titular dos dados ”. Essa facilitação significa que o titular dos dados não deve enfrentar barreiras irracionais ao exercício de seus direitos. Um site totalmente inacessível pode ser uma barreira, por exemplo, colocar informações de contato em uma imagem.
No entanto, isso não significa que recursos específicos, como acessibilidade do teclado ou marcação ARIA, sejam exigidos pelo GDPR. Mesmo se interpretarmos o GDPR para exigir algum nível de acessibilidade, uma autoridade de proteção de dados ou tribunal teria que olhar para o contexto: qual nível de acessibilidade pode ser razoavelmente necessário?
Esta resposta cobre principalmente ePrivacy / GDPR, pois não tenho um entendimento mais profundo do CCPA. No entanto, o CCPA é indiscutivelmente mais acessível, porque exige tecnologias (links) e títulos específicos (Não vender minhas informações pessoais), que por acaso são bastante acessíveis. A CCPA também autoriza e exige regulamentações adicionais para garantir que avisos e informações sejam acessíveis aos consumidores com deficiência.