Se Bershka ou Pull&Bear fossem os membros mais jovens e rebeldes de uma grande família cuja cabeça fosse Zara (o parente mais boyante e influente, uma mulher moderna, estilosa e capaz de adaptar às tendências internacionais sem perder a practicidad), Massimo Dutti seria esse tio já entrado em anos, com a cabellera de prata, sofisticado e sobrio. Não obstante, o carácter distinto e elegante da assinatura de Inditex parece desvanecer-se quando está em jogo a privacidade dos utentes que visitam seu site: a Agência Espanhola de Protecção de Dados (AEPD) tem proposto uma multa de 5.000 euros à empresa.
Fazer porque Massimo Dutti tem vulnerado a Lei de Serviços da Sociedade da Informação e do Comércio Electrónico (LSSI). A resolução publicou-se no final de agosto, mas os factos remontam-se a 2021, quando um utente detectou que no site tinha um banner que não dava a opção de "recusar todas as cookies" que não fossem técnicas ou necessárias. Ademais, segundo recolhe o documento, este internauta denunciou que o desenho dos enlaces era enganoso.
Que são as cookies
As cookies, tal e como as define Google, são pequenos fragmentos de texto "que os lugares site que visitas enviam ao navegador". Permitem que se recorde informação sobre a visita, "o que pode fazer que seja mais fácil voltar a visitar os lugares e fazer que estes te resultem mais úteis". Esta seria a versão dulcificada. Soa menos bonito dizer que realizam um rastreamento dos movimentos do utente pelo lugar e que podem violar sua privacidade.
Isso é o que fez Massimo Dutti. Segundo a resolução da AEPD, quando o utente denunciou, não era tão fácil retirar seu consentimento como o dar. Isto é, que a empresa não punha o mesmo interesse em que os internautas, ao navegar por seu lugar, dissessem não ao armazenamento de sua informação. Por se fosse pouco, uma vez que uma pessoa tinha clicado na opção "aceitar todas as cookies" ou "aceitar algum grupo de cookies" através do painel de controle, não tinha a opção do retirar. O consentimento deixava de ser tal: impedia-se-lhe ao cliente modificar sua decisão.
Conhecer os gustos do utente
Gonzalo Oliver é especialista em Privacidade, Ciberseguridad e Protecção de Dados, além de sócio da Associação Espanhola de Delegados de Protecção de Dados. Este experiente explica a Consumidor Global que as cookies se regulam no artigo 22.1 da LSSI. "As empresas utilizam-nas para conhecer os gustos do utente, seus padrões de consumo e informação similar com a que depois podem mostrar publicidade específica que possa lhes interessar", conta.
Mas Massimo Dutti não queria essa informação para si mesmo, sina para a prestar a outros. Há três cookies de terceiros que costumam estar presente a este tipo de sites, indica Oliver, as três de Google Analytics: _ga, que se aloja durante 2 anos, gid (24 horas) e _gat (1 minuto).
Consentimento expresso
E o regulamento, recorda este experiente, mudou em outubro de 2020, quando se estabeleceu que as cookies de terceiros que não fossem necessárias para o funcionamento do lugar precisariam ter o consentimento expresso do utente. "O que indica a resolução da AEPD é que, neste caso, a instalação de cookies foi automática, e, ainda que o utente as graduó, a opção das tirar não aparecia", afirma.
E não está permitido que seja algo instantâneo. "Ao entrar na página principal e sem realizar nenhuma acção sobre as mesmas, nem aceitar as cookies, pôde-se constatar que se utilizavam cookies, entre as que se encontram duas cookies de rendimento", diz a sentença. O funcionamento é outro. "Acedes ao site. Salta um aviso emergente, e até que não dizes que sim, não se te pode instalar nada", resume Oliver.
"Ausência de informação suficiente"
Depois da denúncia do internauta, a APED pesquisou. Analisou como alojava a informação a assinatura de Inditex, que fazia bem e daí não. Em março de 2023 apreciou "indícios razoáveis de vulneración do estabelecido no art. 22.2 da LSSI" ao achar "ausência de informação suficiente na primeira capa a respeito das finalidades da instalação das cookies".
Massimo Dutti alegou, deu suas explicações, e a agência voltou a olhar a fundo para ver que ocorria. Assim, constatou que, se um internauta que inicialmente tinha aceitado as cookies queria dar marcha atrás, "o site segue utilizando as cookies de terceiros instaladas quando se aceitaram ao começo, imposibilitando ao utente, se se deseja mudar de opinião, negar agora o consentimento uma vez prestado".
Massimo Dutti rectifica
Mais tarde, iniciado o procedimento sancionador, Massimo Dutti rectificou e mudou algumas coisas: a AEPD, que revisou várias vezes seu site, constatou que "uma vez prestado o consentimento para o uso das cookies que não são técnicas ou necessárias, se se deseja retirar o consentimento prestado, o site já NÃO utiliza as cookies que se consentiram, voltando a utilizar somente as cookies técnicas ou necessárias detectadas ao princípio, desaparecendo as cookies de terceiros".
Mas, ainda que a assinatura de Inditex tinha-se adaptado ao regulamento, "isso não faz que desapareça o incumprimento que tem ficado provado, desde que esta Agência realizou a primeira verificação do site o 16/03/23". Isto é, que o delito, ainda que emendado, tinha sido cometido e a empresa caçada.
Multas de até 30.000 euros
Por todo isso, a AEPD impôs uma multa de 5.000 euros por uma infracção do artigo 22.2 da LSSI, qualificada como "leve" no artigo 38.4 g. Nestes supostos, indica Oliver, a lei contempla multas de até 30.000 euros, um custo bastante inferior, expõe, ao estabelecido no França para estes mesmos delitos.
Ademais, recorda que Massimo Dutti não é a primeira que incumpre o regulamento: em 2020, a AEPD impôs a Iberia uma multa de 30.000 euros por obrigar aos internautas que acedessem a seu site a aceitar as cookies. Oliver acha que são custos muito baixos se comparam-se com os ganhos das empresas. "Não tem nada que ver com todo o benefício que sacam através das cookies. Compensa-lhes a nível comercial? Acho que está claro".