Sessões persistentes e consentimento de cookies GDPR

Estou configurando um fórum Discourse em um ambiente muito focado em privacidade. O obstáculo atual que estou encontrando é a configuração de sessões persistentes, ou seja, “lembrar-me” para login. Pelo que pude apurar, o GDPR exige que o usuário dê consentimento explícito para o armazenamento de cookies de funcionalidade/preferência, o que inclui sessões persistentes (já que o cookie usado para gerenciar uma sessão persistente, ou na verdade sua vida útil além da sessão do navegador, não é estritamente necessário).

Isso leva a duas escolhas muito pouco atraentes:

1. Desativar sessões persistentes, forçando cada usuário a fazer login toda vez que visitar o fórum, ou sugerir/forçar o uso do armazenamento de credenciais baseado no navegador se quiserem evitar fazer login manualmente toda vez. No entanto, como usaremos SSO para acesso ao fórum, e existem muitos serviços diferentes acessados através desse login SSO, ter usuários armazenando credenciais SSO apenas para acessar o fórum não é uma boa política. Pode fazer mais mal do que bem.
2. Habilitar sessões persistentes. Mas aqui não vejo um método viável para ter um banner de cookie integrado no Discourse que gerencie um valor de configuração por usuário para o sinalizador de sessões persistentes. Este último é crucial, pois o consentimento deve ser dado pelo usuário, incluindo a possibilidade de retratar esse consentimento, o que requer alguma forma de solução de banner/gerenciamento de cookies.

Eu participo de vários fóruns Discourse que têm sessões persistentes habilitadas, mas não oferecem uma opção de consentimento de cookies (que inclui este meta fórum). E parece-me que eles estão operando em violação do GDPR?

Estou errado na leitura acima (já que não sou advogado)? E realmente não existem boas soluções disponíveis que integrem um banner de consentimento de cookies no Discourse que permita configurar uma configuração de cookie persistente por usuário?

Editar: Eu li Cookie Consent, GDPR, and Discourse, e posts como Session Timeout - #56 by sam antes de postar, mas eles não chegam ao cerne das sessões persistentes.

Aqui agora há duas coisas diferentes.

Legalmente, pela GDPR/privacidade de dados, você não precisa de consentimento para sessões persistentes. É um cookie técnico para um usuário e não é usado para coletar dados pessoais. Claro, você tem que informar que ele existe, mas é trabalho do usuário fazer logout sempre que quiser evitar ser lembrado. Você ainda pode oferecê-lo.

E há isto:

Isso é um jogo e campo de atuação totalmente diferente. Aqui no Norte da Europa, todos os sites que operam em bancos, cuidados de saúde de qualquer forma, órgãos governamentais/locais, etc., farão logout automaticamente após algum tempo ou após um período de inatividade (esperançosamente, isso é verdade em todo o mundo) e então os persistentes são impossíveis. E o mesmo vale para sites que, por suas razões, são muito conscientes da privacidade.

Se isso é verdade no seu caso, não conheço nenhuma solução pronta, mas há muitos profissionais que podem/saberão.

Mas, em geral, você não precisa do consentimento do usuário para isso. Mas pode haver casos especiais em que você nem sequer pode oferecê-lo.

O ponto não é que ele não coleta dados pessoais, o cookie _t identifica você como uma pessoa, pois está diretamente ligado à sessão da sua conta de usuário no servidor Discourse. Portanto, ter o cookie de autenticação definido no seu navegador significa que você é identificável para o servidor sempre que usar seu navegador para visitar o site que o definiu (e, portanto, você não é anônimo). Da Força-Tarefa de Proteção de Dados da Comissão Europeia Opinião WP 29 04/2012 sobre Isenção de Consentimento de Cookies - 00879/12/EN WP 194:

Cookies de login persistentes que armazenam um token de autenticação entre sessões do navegador não são isentos sob o CRITÉRIO B. Esta é uma distinção importante porque o usuário pode não estar imediatamente ciente do fato de que fechar o navegador não limpará suas configurações de autenticação. Eles podem retornar ao site com a suposição de que são anônimos, enquanto na verdade ainda estão logados no serviço. O método comumente visto de usar uma caixa de seleção e uma simples nota informativa como “lembrar-me (usa cookies)” ao lado do formulário de envio seria um meio apropriado de obter consentimento, portanto, negando a necessidade de aplicar uma isenção neste caso.

Note que eles sugerem uma solução simples que os sites podem implementar, uma caixa de seleção “Lembrar-me” no formulário de login, que, é claro, está disponível em quase todos os lugares hoje em dia (mas não no Discourse). Esta foi uma decisão de 2012, portanto, antes da entrada em vigor do GDPR, mas não vejo nenhuma informação de que tenha sido substituída (por exemplo, Cookie Consent Exemptions: Strictly Necessary Cookies - CookieYes atualizado em agosto de 2023 ainda menciona que cookies de autenticação persistentes precisam de consentimento). Mas pode haver algum acompanhamento legal ou desenvolvimentos que eu não conheça.

Errado. É o único ponto.

Isso não é coletar e armazenar dados pessoais que podem ou serão usados para identificar um usuário. Um fórum sabe quem você é de qualquer maneira.

Como um fórum saberá quem você é se você o visita com um navegador no qual esse cookie não está definido? E você deve ser capaz de usar um fórum sem ser rastreado implicitamente, a menos que você tenha dado consentimento explícito para isso, neste caso, que você permite que o cookie _t persista após o término da sessão do navegador.

Para constar, as informações acima estão incorretas.

@paulmelis Acho que você está correto e esta é uma boa observação.

Um cookie persistente precisa de permissão explícita, mesmo que forneça funcionalidade específica ao usuário: o usuário deve ter solicitado explicitamente a funcionalidade.

Para piorar as coisas, as várias soluções existentes de “banner de consentimento de cookies” disponíveis atualmente para o Discourse, incluindo o componente oficial de tema, não estão em conformidade com a GDPR. Eles apenas informarão o usuário sobre esses cookies serem definidos, mas se o usuário não clicar no botão “Eu entendo”, o Discourse definirá esses cookies de qualquer maneira. Em outras palavras, essas soluções não estão pedindo permissão para que algo aconteça, elas estão informando o usuário que algo está acontecendo (ou pior: já aconteceu).

Portanto, mesmo que você tenha um banner de consentimento de cookies em seu fórum, se você tiver sessões persistentes habilitadas, ainda estará em violação da GDPR.

Dito tudo isso, duvido que isso seja um grande problema na prática, mas para aqueles de nós que buscam 100% de conformidade, este é de fato um problema.

Por enquanto, sua única opção será desabilitar a configuração persistent sessions.

À primeira vista, isso parece muito factível em um plugin, embora seria muito melhor se isso estivesse no núcleo do Discourse.

Não, não está. Isso foi implementado via advogados da UE em grandes empresas tantas vezes e nunca mudou.

Ainda tenho que lembrar qual é o objetivo e os propósitos do GDPR e seus seguidores. E por que podemos ter cookies técnicos sem a necessidade de obter consentimento.

@paulmelis forneceu citações de documentos oficiais da UE que afirmam explicitamente que eles não são permitidos pelo GDPR.

Se você tiver informações diferentes, estou ouvindo, mas por favor, cite suas fontes e forneça links para os documentos originais.

Não diz isso.

Sem ofensa, mas isso é tão difícil e, de certa forma, inútil quanto oferecer legislação pública como fonte, assim como é inútil me guiar para os segredos de swap oferecendo man swapon. Há demanda por algum conhecimento e eu posso ler essas man pages, mas não entendo o que estou lendo.

Eu trabalho com isso diariamente e nenhuma dessas perguntas é nova para mim. É por isso que dou duas recomendações:

• compre o software necessário e pergunte qual consentimento é necessário para tudo (isso não ajuda porque, afinal, o importante é como esses dados são usados, não o consentimento em si)
• se uma empresa for grande o suficiente (como a CDCK, por exemplo) para haver risco real de multas, então deve usar a divisão jurídica da empresa ou um terceiro de nível profissional.

Certo, é isso que estou fazendo (infelizmente).

Estou realmente curioso para saber como você leu esse documento então. Quero dizer, 3.2 Cookies de Autenticação deixa isso bem claro:

Cookies de autenticação são usados para identificar o usuário depois que ele fez login (exemplo: em um site de banco online). Esses cookies são necessários para permitir que os usuários se autentiquem em visitas sucessivas ao site e acessem conteúdo autorizado, como visualizar o saldo da conta, transações, etc. Cookies de autenticação são geralmente cookies de sessão. O uso de cookies persistentes também é possível, mas eles não devem ser considerados idênticos, como discutido abaixo.

Reconhece a necessidade de cookies de autenticação (note, não chamados de cookies técnicos). Afirma explicitamente que o tempo de vida desses cookies, ou seja, sessão vs. persistente, implica que eles devem ser tratados de forma diferente.

Quando um usuário faz login, ele solicita explicitamente acesso ao conteúdo ou funcionalidade para a qual está autorizado. Sem o uso de um token de autenticação armazenado em um cookie, o usuário teria que fornecer um nome de usuário/senha em cada solicitação de página. Portanto, essa funcionalidade de autenticação é uma parte essencial do serviço da sociedade da informação que ele está explicitamente solicitando. Como tal, esses cookies são isentos sob o CRITÉRIO B.

No entanto, é importante notar que o usuário solicitou apenas acesso ao site e a funcionalidades específicas para executar a tarefa que ele requer. O ato de autenticação não deve ser considerado uma oportunidade para usar o cookie para outros fins secundários, como monitoramento de comportamento ou publicidade sem consentimento.

Fazer login significa que o usuário deu consentimento para estar logado, não para outros tipos de uso de dados através de quaisquer cookies de autenticação definidos.

Cookies de login persistentes que armazenam um token de autenticação entre sessões do navegador não são isentos sob o CRITÉRIO B. Esta é uma distinção importante porque o usuário pode não estar imediatamente ciente do fato de que fechar o navegador não limpará suas configurações de autenticação. Eles podem retornar ao site com a suposição de que são anônimos, quando na verdade ainda estão logados no serviço. O método comumente visto de usar uma caixa de seleção e uma simples nota informativa como “lembrar-me (usa cookies)” ao lado do formulário de envio seria um meio apropriado de obter consentimento, negando assim a necessidade de aplicar uma isenção neste caso.

CRITÉRIO B sendo:

o cookie é “estritamente necessário para que o provedor de um serviço da sociedade da informação explicitamente solicitado pelo assinante ou usuário forneça o serviço”.

Portanto, o usuário precisa fornecer consentimento antes que cookies de autenticação persistentes possam ser definidos. Razão: você não pode esperar que um usuário saiba as implicações da autenticação persistente por padrão.

Sim, a legislação é difusa e complexa, com muitas atualizações diferentes ao longo de quase duas décadas. E mesmo os sites oficiais da UE que consultei parecem muito confusos em relação a como lidam com cookies e suas políticas declaradas.