GDPR vs Diretiva ePrivacy: como funcionam em conjunto
O GDPR e a Diretiva ePrivacy são leis complementares da UE que funcionam em conjunto para proteger a privacidade. O GDPR fornece o quadro geral para a proteção de dados pessoais, enquanto a Diretiva ePrivacy abrange especificamente as comunicações eletrónicas, cookies e marketing direto. A Diretiva ePrivacy é frequentemente chamada de 'lei dos cookies' e é implementada através de legislação nacional em cada estado-membro da UE.
| Característica | GDPR | ePrivacy |
|---|---|---|
| Âmbito geográfico | UE/EEE: proteção ampla de dados pessoais em todos os setores | UE/EEE: específica para comunicações eletrónicas, cookies e marketing direto |
| A quem se aplica | Qualquer organização que trate dados pessoais de residentes da UE | Fornecedores de serviços de comunicações eletrónicas e qualquer website que utilize cookies/rastreamento |
| Requisitos de consentimento | Consentimento opt-in como uma das seis bases jurídicas para o tratamento | Consentimento opt-in rigoroso obrigatório para cookies não essenciais e marketing direto |
| Regras de cookies e rastreamento | Regras gerais de tratamento de dados aplicam-se aos dados recolhidos via cookies | Consentimento prévio específico obrigatório antes de colocar cookies não essenciais nos dispositivos dos utilizadores |
| Direitos individuais | Acesso, retificação, apagamento, portabilidade, limitação, oposição | Direito à confidencialidade das comunicações, direito de recusar marketing direto |
| Penalizações máximas | Até EUR 20 milhões ou 4% do volume de negócios anual global | Definidas pela legislação nacional que transpõe a Diretiva; varia por estado-membro |
| Entidade de fiscalização | Autoridades nacionais de proteção de dados | Autoridades nacionais (frequentemente as mesmas DPA, mas a implementação varia por país) |
Principais diferenças
A Diretiva ePrivacy é uma lei setorial específica que prevalece sobre o GDPR em matérias relativas a comunicações eletrónicas. Onde a Diretiva ePrivacy tem regras específicas (como para cookies), essas regras aplicam-se em vez das disposições gerais do GDPR. Contudo, onde a Diretiva ePrivacy é omissa, o GDPR preenche as lacunas.
Para cookies e tecnologias de rastreamento semelhantes, a Diretiva ePrivacy exige consentimento prévio informado antes de armazenar ou aceder a informações no dispositivo do utilizador, com exceções limitadas para cookies estritamente necessários. O GDPR rege então como os dados pessoais recolhidos através desses cookies são tratados. Isto significa que os websites precisam tanto de um mecanismo válido de consentimento de cookies (ePrivacy) como de uma base jurídica para o tratamento dos dados recolhidos (GDPR).
A Diretiva ePrivacy abrange também a confidencialidade das comunicações eletrónicas, dados de tráfego, dados de localização e comunicações de marketing não solicitadas. Estas áreas recebem proteções específicas para além do que o GDPR oferece. Um Regulamento ePrivacy proposto está em negociação desde 2017 e substituiria a Diretiva por regras diretamente aplicáveis em toda a UE, mas ainda não foi adotado.
Como o Pryvii ajuda
O Pryvii verifica o seu website face aos requisitos do GDPR e da ePrivacy. Testa especificamente se o seu mecanismo de consentimento de cookies cumpre as normas da ePrivacy, verificando que os cookies não essenciais são bloqueados antes do consentimento, que o banner fornece informações claras e que o consentimento é dado livremente. Verifica também se o tratamento de dados subjacente cumpre o GDPR.
Perguntas frequentes
Preciso de cumprir tanto o GDPR como a Diretiva ePrivacy?
Sim. Se o seu website utilizar cookies ou tecnologias de rastreamento e for acessível a utilizadores da UE, ambas as leis aplicam-se. A Diretiva ePrivacy rege se pode colocar cookies (exigindo consentimento prévio para os não essenciais), enquanto o GDPR rege como trata os dados pessoais recolhidos através desses cookies.
Qual lei tem prioridade para o consentimento de cookies?
A Diretiva ePrivacy prevalece como a lei mais específica (lex specialis) em matérias relativas a cookies e comunicações eletrónicas. Os seus requisitos de consentimento para cookies aplicam-se em vez das disposições gerais de consentimento do GDPR. Contudo, a definição de consentimento do GDPR e as suas normas para consentimento válido determinam como o consentimento da ePrivacy deve ser obtido.
O que acontecerá quando o Regulamento ePrivacy substituir a Diretiva?
O Regulamento ePrivacy proposto substituiria a Diretiva por regras diretamente aplicáveis em todos os estados-membros da UE, eliminando diferenças na implementação nacional. Espera-se que se alinhe mais estreitamente com o regime de fiscalização do GDPR e possa atualizar regras sobre cookie walls e gestão de consentimento. Contudo, as negociações decorrem desde 2017 e o texto final ainda não foi adotado.
Comparações relacionadas
Verifique a sua conformidade
Analise o seu website face a múltiplos regulamentos em minutos.