As APIs de relevância e medição do Sandbox de privacidade e os controles de usuário atualizados agora estão disponíveis em geral no Chrome. Os participantes do ecossistema perguntaram sobre a abordagem do Chrome em relação à conformidade com o Sandbox de privacidade e às responsabilidades deles. Embora não possamos fornecer orientação jurídica, podemos compartilhar nossas respostas a perguntas frequentes e oferecer informações sobre as APIs que podem ajudar os responsáveis pelas decisões de compliance relacionadas à privacidade.
Perguntas e respostas
Os sites e outros autores de chamada da API de medição e relevância do Sandbox de privacidade têm obrigações de ePrivacy?
As leis de privacidade eletrônica no Espaço Econômico Europeu (EEE) e no Reino Unido exigem consentimento para armazenar ou acessar dados no navegador de um usuário, a menos que seja estritamente necessário, e não diferenciam tecnologias legadas, como cookies de terceiros, e tecnologias emergentes que melhoram a privacidade (PETs, na sigla em inglês), como as APIs do Sandbox de privacidade.
O uso de cada uma das APIs do Sandbox de privacidade envolve o acesso a dados armazenados no dispositivo do usuário.
Para referência, as empresas podem conferir como os próprios serviços de anúncios do Google, que operam independentemente do Chrome, estão incorporando tecnologias do Sandbox de privacidade como parte das Políticas de consentimento do usuário da UE.
Sites e autores da chamada de API podem contar com isenções aos requisitos de consentimento da ePrivacy?
As exceções aos requisitos de consentimento nas leis de privacidade eletrônica são restritas e geralmente limitadas a casos de uso que são "estritamente necessários" para a prestação de um serviço on-line solicitado explicitamente pelo usuário. Entendemos que o uso das APIs do Sandbox de privacidade para publicidade com base em interesses não está isento de consentimento.
Esperamos que apenas um pequeno subconjunto de casos de uso seja considerado estritamente necessário, por exemplo, usar a API Private State Tokens para segurança da conta ou prevenção de spam ou usar a API Federated Credential Management para autenticação. O uso dessas APIs para outras finalidades exige uma análise separada e provavelmente exige o consentimento do usuário. É sua responsabilidade determinar se seu caso de uso específico está isento, considerando as regulamentações locais e as orientações regulamentares de proteção de dados, quando apropriado na avaliação. Mesmo que você conclua que seu caso de uso está isento dos requisitos de ePrivacy, ainda é necessário fornecer informações claras aos usuários sobre o uso das APIs de acordo com as leis europeias de proteção de dados.
Preciso informar os usuários quando uso as APIs do Sandbox de privacidade?
Sempre que usar as APIs do Sandbox de privacidade, garanta que elas sejam justas e transparentes. A transparência e a justiça são particularmente importantes se você estiver usando as APIs do Sandbox de privacidade para identificar os interesses de um público-alvo ou indivíduo específico, principalmente para influenciar o comportamento deles. Os usuários nem sempre entendem como as informações deles foram usadas dessa forma. Por isso, talvez seja necessário tomar medidas adicionais para chamar a atenção deles. Requisitos específicos de informações se aplicam sempre que você busca o consentimento de pessoas para usar as APIs. No entanto, mesmo que seu caso de uso esteja isento dos requisitos de consentimento (por exemplo, porque é estritamente necessário fornecer um serviço solicitado pelo usuário), você ainda precisa fornecer informações claras aos usuários sobre o uso das APIs.
Como faço para buscar o consentimento do usuário final para as APIs do Sandbox de privacidade?
O uso de cada uma das APIs do Sandbox de privacidade envolve o acesso a dados armazenados no dispositivo do usuário. As leis de privacidade eletrônica exigem que você obtenha o consentimento do usuário final antes de acessar esses dados, assim como você precisa de consentimento para cookies. A maioria das empresas vai depender de plataformas de gerenciamento de consentimento para receber consentimento para as APIs, semelhante à forma como elas buscam consentimento para cookies atualmente. É sua responsabilidade receber o consentimento para seu próprio acesso e uso das APIs do Sandbox, incluindo os tópicos. Não basta que o usuário tenha concordado em ativar o Topics no dispositivo: você precisa buscar seu próprio consentimento, específico para suas atividades. Ao pedir consentimento, você precisa deixar claro como vai usar as APIs. É particularmente importante destacar qualquer uso de tópicos (ou outras APIs) para fins não relacionados a anúncios, já que os usuários podem não esperar isso. Além disso, é necessário garantir que os usuários finais possam revogar o consentimento com facilidade e a qualquer momento.
Os usuários podem retirar o consentimento ou controlar as APIs de relevância e medição do Sandbox de privacidade?
Sim. Os usuários podem acessar chrome://settings/adPrivacy, que oferece controles individuais
e detalhados para desativar as APIs do Sandbox de privacidade, bloqueando temas
e sites específicos de definir grupos de interesse. Os usuários podem excluir
dados de medição de anúncios excluindo dados de navegação.
Os sites vão precisar determinar quais opções oferecem aos usuários, como essas preferências são armazenadas, como a preferência de um usuário é sinalizada para os fornecedores de adtech do site que podem chamar as APIs do Sandbox de privacidade e como esses fornecedores são responsáveis. Os sites e os fornecedores deles precisam decidir o que a escolha de um usuário significa em termos de se e como uma determinada API do Sandbox de privacidade é usada.
Alguns programas de autorregulamentação com desativação, como o AdChoices, dependem de cookies de terceiros. Recomendamos que você pergunte a esses programas como eles estão se preparando para a descontinuação dos cookies de terceiros.
As escolhas do usuário relacionadas ao Sandbox de privacidade podem ser mantidas em vários sites?
Os usuários podem acessar chrome://settings/adPrivacy, que oferece controles para desativar
as APIs do Sandbox de privacidade ou bloquear tópicos individuais. Os usuários podem excluir dados de navegação e, consequentemente, dados de medição de anúncios.
Os sites vão precisar determinar se assumem a responsabilidade de estender as escolhas dos usuários expressas nos próprios sites para o restante da Web. Alguns programas autorreguladores com base na recusa, como o AdChoices, têm como objetivo oferecer aos usuários opções sobre como as empresas de adtech processam dados de usuários em sites (como anúncios com base em interesses). Tradicionalmente, esses programas são específicos para empresas de adtech que escolhem participar, e não para sites. Recomendamos que você pergunte a esses programas como eles estão se preparando para a descontinuação dos cookies de terceiros.
Os usuários podem excluir dados relacionados às APIs de relevância e medição do Sandbox de privacidade?
Os usuários podem acessar chrome://settings/adPrivacy, que oferece controles individuais e granulares
para desativar as APIs do Sandbox de privacidade, bloqueando temas individuais e
sites específicos de definir grupos de interesse. Os usuários podem excluir dados de medição de anúncios
excluindo os dados de navegação. Além disso, o Chrome exclui automaticamente os temas de interesse, os grupos de interesse e os eventos de relatórios dos usuários após um período definido.
Para sites e outros autores de chamada da API de relevância e medição do Sandbox de privacidade, as seguintes funções técnicas estão disponíveis:
- No caso da Protected Audience, um site ou a adtech dele que pode adicionar grupos de interesse desse site também pode chamar a função
leaveAdInterestGroup. - No armazenamento compartilhado, um site ou a adtech dele pode chamar o método
deleteem uma chave ou o métodoclearpara limpar todas as chaves. - Na API Attribution Reporting, um site ou a adtech dele pode usar
o
cabeçalho
Clear-Site-Data.
Sites e outros autores de chamadas de API precisarão determinar se os mecanismos atuais de direitos de exclusão são adequados se e quando eles escolherem armazenar dados recuperados das APIs do Sandbox de privacidade ou dados relacionados à chamada das APIs.
Como o Sandbox de privacidade está abordando a conformidade com a privacidade no Chrome?
No caso dos Tópicos, essa é uma nova experiência para os usuários do Chrome, e o Chrome queria oferecer um momento separado para que os usuários aprendam e escolham o que é melhor para eles. Os tópicos são uma nova maneira de o Chrome ativar experiências relevantes com base no histórico de navegação de um usuário. O Chrome decidiu pedir consentimento dos usuários no Reino Unido/EEE e na Suíça antes de ativar a API.
As APIs Protected Audience e de medição representam versões mais particulares de comportamentos de processamento existentes no navegador e em ambientes protegidos e confiáveis. No geral, todos os usuários terão controles robustos e poderão desativar a experiência do Sandbox de privacidade a qualquer momento.
Saiba mais sobre os controles de anúncios do Sandbox de privacidade na Central de Ajuda.
Mais informações sobre a API
Saiba mais sobre as APIs de relevância e medição do Sandbox de privacidade:
- Temas: gere indicadores para publicidade com base em interesses sem cookies de terceiros ou outros identificadores de usuários que rastreiam indivíduos em vários sites.
- Público-alvo protegido: selecione anúncios para veicular casos de uso de remarketing e público-alvo personalizado, projetados para mitigar o rastreamento de terceiros entre sites.
- Relatório de atribuição: correlacione os cliques ou as visualizações de anúncios com as conversões. As adtechs podem gerar relatórios de resumo ou no nível do evento.
- Agregação privada: gere relatórios de dados agregados usando dados da API Protected Audience e dados entre sites do Shared Storage.
- Armazenamento compartilhado: permite acesso de gravação ilimitado entre sites com preservação de privacidade.
- Frames isolados: incorpore conteúdo com segurança em uma página sem compartilhar dados entre sites.