Os reguladores dos Estados Unidos intensificam a pressão sobre o setor AdTech em privacidade, opt-outs e proteção de menores
A mensagem dos reguladores para a indústria da publicidade digital é cada vez mais clara e mais homogénea. Tanto responsáveis federais como procuradores-gerais estaduais e a nova autoridade californiana de privacidade estão a alinhar o discurso em torno de várias prioridades: proteger menores, respeitar os mecanismos de opt-out, cumprir realmente as promessas incluídas nas políticas de privacidade, limitar a recolha de dados ao estritamente necessário e evitar que o exercício de direitos de privacidade se torne um processo complexo para o utilizador.
Esse tom ficou refletido durante o IAB Public Policy & Legal Summit realizado em Washington, onde Tom Kemp, Executive Director da California Privacy Protection Agency, resumiu o critério regulatório com uma ideia simples: os consumidores não deveriam ter de ultrapassar uma série interminável de obstáculos para exercer os seus direitos. A recomendação para as empresas foi direta: colocarem-se no lugar do utilizador.
Uma das frentes onde os reguladores estão a marcar linhas mais duras é a da privacidade infantil. Quando o utilizador é um menor ou um adolescente, a margem para ambiguidade reduz-se ao mínimo. John Eakins, Deputy Attorney General do estado de Delaware, questionou abertamente as empresas que asseguram não saber se existem menores a utilizar os seus serviços. Segundo explicou, a equipa pergunta de forma explícita se as empresas processam dados de crianças ou adolescentes e, de forma recorrente, recebe a mesma resposta negativa, mesmo em casos em que é evidente que esse público está presente na plataforma.
Para John Eakins, essa posição é cada vez menos sustentável. Se uma empresa pode segmentar audiências com enorme precisão comercial, torna-se difícil sustentar, ao mesmo tempo, que não possui conhecimento real sobre a idade dos utilizadores. Na opinião de John Eakins, essa contradição acabará por provocar mais investigações e maior pressão regulatória.
O segundo grande eixo é o tratamento dos opt-outs, e em particular do Global Privacy Control (GPC), o mecanismo universal que permite aos utilizadores rejeitar a venda ou partilha dos seus dados sem ter de repetir o pedido em múltiplos sites. Embora existam vozes que alertam para possíveis efeitos anticoncorrenciais caso os navegadores ativem este sistema por defeito, para a autoridade californiana o GPC é já um sinal chave, porque permite escalar a privacidade e reduz a carga operacional sobre o consumidor.
Tom Kemp deixou claro que respeitar o GPC não é um detalhe menor, mas sim um critério central de enforcement. De facto, grande parte das ações recentes na Califórnia têm girado precisamente em torno de falhas neste domínio. Entre os casos mencionados encontram-se a Disney, sancionada com 2,75 milhões de dólares, a Healthline com 1,55 milhões, a Tractor Supply com 1,35 milhões e a Jam City com 1,4 milhões, todos relacionados com erros nos mecanismos de exclusão, sinais GPC ignorados ou sistemas de escolha insuficientes para o utilizador.
A pressão, além disso, vai aumentar. Em fevereiro, a California Privacy Protection Agency colocou em funcionamento uma nova divisão de auditorias e nomeou Sabrina Ross como Chief Privacy Auditor. O objetivo será realizar verificações técnicas em ambientes reais para confirmar que sinais como o GPC são efetivamente respeitados e não apenas na documentação corporativa.
Os reguladores estão também a intensificar o controlo sobre a coerência entre o que as empresas dizem e o que realmente fazem com os dados. Dispor de controlos de privacidade visíveis serve de pouco se, na prática, as operações de recolha, partilha ou retenção de informação contradizem o que a empresa declara na política de privacidade.
O caso recente da Federal Trade Commission contra a OkCupid e a Match Group ilustra bem esse ponto. Embora a política de privacidade da OkCupid descrevesse limites claros sobre quem podia aceder a fotografias de perfil e outros dados pessoais, a empresa acabou por partilhar essa informação com um terceiro. Não houve multa económica, mas tanto a OkCupid como a Match ficaram sujeitas a dez anos de reporting de conformidade e supervisão em matéria de privacidade. Ben Wiseman, Associate Director da Division of Privacy & Identity Protection da Federal Trade Commission, resumiu a lição de forma clara: se uma empresa faz promessas de privacidade aos consumidores, tem de as cumprir.
A discussão regulatória não se limita a para onde vão os dados, mas também a quantos dados são recolhidos e durante quanto tempo são conservados. A maioria das novas leis estaduais de privacidade nos Estados Unidos já incorpora princípios de minimização de dados, segundo os quais as empresas apenas devem recolher os dados pessoais que sejam adequados, relevantes e razoavelmente necessários para os fins comunicados ao utilizador.
Kashif Chand, Chief Deputy Attorney General da Data Privacy & Cybersecurity Section do procurador-geral de Nova Jérsia, sublinhou que este princípio depende em grande medida da transparência. Se a política de privacidade for vaga e não explicar claramente o que é feito com os dados, o utilizador não tem forma real de compreender se a minimização está a ser aplicada ou não.
Além disso, a obrigação não termina na fase inicial. John Eakins insistiu que a minimização de dados deve acompanhar a informação ao longo de toda a cadeia de valor do AdTech. Quando os dados pessoais passam de um interveniente para outro, deve existir também um enquadramento contratual que garanta que essas mesmas limitações continuam válidas no elo seguinte. Por outras palavras, não basta recolher menos dados; é necessário garantir que os parceiros que os recebem ficam sujeitos às mesmas condições de utilização.
Ferramentas como o Multi-State Privacy Agreement do IAB procuram facilitar essa tarefa ao incorporar cláusulas de minimização e limitação de finalidade nos contratos do ecossistema. Ainda assim, o desafio continua a ser complexo, uma vez que o padrão legal não é uniforme entre estados. Chandler Crenshaw, Assistant Attorney General e Consumer Privacy Unit Manager na Virgínia, reconheceu que esse mosaico regulatório complica o trabalho dos responsáveis pelo tratamento de dados. Enquanto Maryland exige que a recolha seja “estritamente necessária”, a Virgínia aplica um critério mais baseado no que é “razoável”.
Este contraste, mesmo entre estados vizinhos, reflete um dos problemas estruturais do mercado norte-americano: a ausência de um critério federal único. Por esse motivo, alguns responsáveis públicos consideram que um sinal claro do Congresso ajudaria a estabelecer um quadro mais estável, especialmente em áreas sensíveis como a minimização de dados.
No conjunto, a mensagem dos reguladores para o setor AdTech já não deixa muitas zonas cinzentas. O foco está na proteção efetiva do utilizador, em especial dos menores, no respeito real pelas decisões de privacidade, na coerência entre discurso e prática e na redução do volume de dados recolhidos e partilhados. Para a indústria, isso significa que a privacidade já não pode ser tratada apenas como uma camada legal ou reputacional, mas como uma exigência operacional que impacta diretamente o design de produto, a cadeia contratual e a própria lógica de ativação publicitária.
