.
Entrevista Na semana passada, o defensor da privacidade (e muito ocasional Registro colunista) Alexander Hanff apresentou uma reclamação à Comissão Irlandesa de Proteção de Dados (DPC) condenando a implantação de código JavaScript no YouTube para detectar o uso de extensões de bloqueio de anúncios pelos visitantes do site.
Em 16 de outubro, de acordo com o Wayback Machine do Internet Archives, o Google publicou uma página de suporte declarando que “Ao bloquear anúncios do YouTube, você viola os Termos de serviço.”
“Se você usar bloqueadores de anúncios”, continua, “pediremos que você permita anúncios no YouTube ou se inscreva no YouTube Premium. Se você continuar a usar bloqueadores de anúncios, poderemos bloquear a reprodução do seu vídeo”.
Os Termos de Serviço do YouTube não proíbem explicitamente extensões de bloqueio de anúncios, que permanecem legal nos EUA [PDF], Na Alemanha, e em outros lugares. Mas a linguagem diz que os usuários não podem “contornar, desabilitar, interagir de forma fraudulenta ou interferir de outra forma em qualquer parte do Serviço” – o que provavelmente inclui os anúncios.
Imagem do pop-up ‘Bloqueadores de anúncios não são permitidos’ – Clique para ampliar
A hostilidade aberta do YouTube aos bloqueadores de anúncios coincide com a recente implantação experimental de um aviso pop-up apresentado aos usuários da web que visitam o site com uma extensão de bloqueio de anúncios em seus navegadores – mensagens testadas em um público limitado pelo menos tão longe como maio.
Para apresentar esse pop-up, o YouTube precisa executar um script, mudou pelo menos duas vezes por dia, para frustrar os esforços de bloqueio. E esse script, acredita Hanff, viola a Diretiva de Privacidade Eletrônica da UE – porque o YouTube não pediu primeiro consentimento explícito para conduzir tal interrogatório do navegador.
Ajustando um padrão?
Essa interação técnica não consensual tem sido uma preocupação de Hanff pelo menos nos últimos sete anos.
“No início de 2016 escrevi à Comissão Europeia solicitando um esclarecimento jurídico formal sobre a aplicação do artigo 5.º, n.º 3, do Diretiva de privacidade eletrônica (2002/58/EC) e se o consentimento seria ou não necessário para todo acesso ou armazenamento de informações no dispositivo de um usuário final que não fosse estritamente necessário”, disse Hanff Strong The One.
“Especificamente, se a implantação de scripts ou outras tecnologias para detectar um bloqueador de anúncios exigiria consentimento (uma vez que não é estritamente necessário para a prestação do serviço solicitado e é puramente do interesse do editor). A Comissão Europeia enviou-me um documento formal resposta escrita concordando com minha posição de que tais atividades exigiriam consentimento.”
Na altura, acrescentou, visitou o DPC irlandês em Dublin e as autoridades de dados da UE noutros países para discutir a resposta da Comissão Europeia. Agora que o YouTube implantou a detecção de bloqueio de anúncios, Hanff pediu ao DPC irlandês que tomasse medidas.
“Em uma ligação que tive com o DPC irlandês no final da semana passada (depois de registrar minha reclamação contra o YouTube), eles não discordaram da minha análise e concordaram em entrar em contato com o YouTube (Alphabet)”, disse Hanff. “Desde então, recebi outra atualização informando que eles entraram em contato com o YouTube na segunda-feira e me atualizarão no final da semana com qualquer informação adicional.”
Um porta-voz da DPC irlandesa disse Strong The One que a reclamação de Hanff foi recebida, mas se recusou a comentar mais enquanto ela está sendo avaliada.
captura de tela do formulário de reclamação de Hanff – Clique para ampliar
Questionado sobre como ele espera que o DPC irlandês responda, Hanff respondeu por e-mail: “Espero que o DPC investigue e emita um aviso de execução ao YouTube exigindo que eles cessem e desistam dessas atividades sem primeiro obter consentimento (conforme [Europe’s General Data Protection Regulation (GDPR)] padrão) para a implantação de seus spyware scripts de detecção; e ainda ordenar ao YouTube que cancele o banimento de quaisquer contas que tenham sido banidas como resultado destas detecções e que elimine quaisquer dados pessoais processados ilegalmente (ver Artigo 5(1) do RGPD) desde que começou a implementar o seu spyware scripts de detecção.”
O uso da formatação tachada por Hanff para reconhecer a dificuldade legal de usar o termo “spyware” para se referir ao código de detecção de bloco de anúncios do YouTube. A terminologia padrão de defesa contra difamação do setor de segurança para esse tipo de coisa é PUPs, ou programas potencialmente indesejados.
Hanff, que relatórios tendo um mestrado em Direito focado na proteção de dados e privacidade, acrescentou que a Diretiva Privacidade Eletrônica é lex especialis para GPDR. Isso significa que onde as leis se sobrepõem, a específica tem precedência sobre a mais geral. Assim, argumenta, os dados pessoais recolhidos sem consentimento são ilegais nos termos do artigo 5.º, n.º 1, do RGPD e não podem ser tratados licitamente para qualquer finalidade.
No que diz respeito à afirmação do YouTube de que o uso de um bloqueador de anúncios viola os Termos de Serviço do site, Hanff argumentou: “Quaisquer termos e condições que restrinjam os direitos e liberdades legais de um cidadão da UE (e o ponto do Artigo 5 (3) da Diretiva de Privacidade Eletrônica visa especificamente proteger o direito fundamental à privacidade nos termos do artigo 7.º da Carta dos Direitos Fundamentais da União Europeia) são nulos ao abrigo da legislação da UE.”
Portanto, em essência, “quaisquer termos que restrinjam os direitos dos cidadãos da UE de limitar o acesso aos seus equipamentos terminais seriam, como resultado, nulos e inexequíveis”, acrescentou.
Parece que não são apenas cookies
A alegação de Hanff de que a detecção de bloqueadores de anúncios sem consentimento é ilegal na UE foi desafiado em 2016 pelo criador de uma ferramenta de detecção chamada BlockAdblock. O argumento do fabricante do software é que o código JavaScript não é armazenado da forma considerada no Artigo 5(3), que a empresa sugere ser destinado a cookies.
Hanff discorda e mantém que “A Comissão e os legisladores foram muito claros que qualquer acesso ao equipamento terminal de um utilizador que não seja estritamente necessário para a prestação de um serviço solicitado requer consentimento.
“Isso também é vinculado pelo TJUE Processo C-673/17 (Planet49) a partir de outubro de 2019, que *todos* os Estados Membros são legalmente obrigados a cumprir, sob o [Treaty on the Functioning of the European Union] – não há espaço para desvios nesta questão”, elaborou.
“Se um guião ou outra tecnologia digital for estritamente necessária (tecnicamente necessária para fornecer o serviço solicitado), então está isenta dos requisitos de consentimento e, como tal, não representaria qualquer problema para os editores que se envolvam em atividades legítimas que respeitem os direitos fundamentais ao abrigo da Carta.
“Já passou da hora de as empresas cumprirem as suas obrigações legais relativamente aos seus serviços online”, insistiu Hanff. “Isso é lei desde 2002 e foi esclarecido em 2009, 2012 e novamente em 2019 – basta.”
O Google não respondeu a um pedido de comentário. ®
.
