A sucessão de notícias relacionando a empresa Spinumviva da família do Primeiro-Ministro e a Solverde levou a CpC: Iniciativa Cidadãos pela Cibersegurança a abordar o site do casino online da empresa em duas vertentes: as Tracking Cookies (um tema que já abordámos várias vezes em https://cidadaospelaciberseguranca.com/2024/02/25/privacidade-e-transparencia-em-jogo-a-necessidade-de-eliminar-cookies-de-rastreamento-em-sites-de-partidos-politicos/ e em https://cidadaospelaciberseguranca.com/2023/04/19/o-que-sao-os-rastreadores-da-web-web-trackers-quais-surgem-nos-principais-sites-da-internet-portuguesa-e-porque-aparece-o-youtube-no-site-das-financas-e-o-tiktok-no-da-worten/) e a Política de Privacidade do site do Casino Online que, segundo alguns Media, foi elaborada pela Spinumviva em 2020.

Numa primeira abordagem, uma visita ao site da https://www.solverde.pt leva a Extensão Privacy Badger, uma extensão da Electronic Frontier Foundation (uma organização sem fins lucrativos que automaticamente detecta e bloqueia tracking cookies invisíveis) a detectar e bloquear algumas das 9 tracking cookies:
connect.facebook.net (bloqueada)
ka-p.fontawesome.com
kit.fontawesome.com
www.googletagmanager.com
fonts.gstatic.com
api.xtremepush.com (IP na Irlanda e bloqueada)
www.youtube.com
solverdehelp.zendesk.com (IP nos EUA)
widget-mediator.zopim.com (IP nos EUA)

A presença destes “tracking cookies” num site de um casino online levanta várias preocupações, tanto em termos de conformidade legal quanto à privacidade dos seus utilizadores:
1. Falta de Consentimento Explícito (Possível colisão com o RGPD e a ePrivacy Directive) que exigem que qualquer cookie que não seja estritamente necessária só possa ser armazenada com o consentimento explícito do utilizador mas o site da Solverde.pt não oferece uma opção clara para aceitar ou recusar estas cookies antes da sua activação, o que pode colidir com estas regulações europeias.
2. Partilha de Dados com Terceiros (Risco de Transferência de Dados para Fora da UE): Alguns destas trackers pertencem a empresas como Facebook, Google e Zendesk (provavelmente através do chat ao vivo e de um sistema de tickets para resolver dúvidas e problemas dos jogadores), que podem recolher e processar dados fora do Espaço Económico Europeu. Se os dados dos jogadores forem transferidos para países sem um nível adequado de proteção de dados (por exemplo, os EUA), a Solverde pode estar em desconformidade com o RGPD.
3. Perfis Comportamentais e Publicidade Direcionada: O uso de trackers como “Facebook Pixel” e o “Google Tag Manager” sugere que a Solverde pode estar a recolher informações sobre o comportamento dos jogadores no site para publicidade direcionada. Ora num site de jogos de azar, isso pode ser problemático porque jogadores com tendências ao jogo problemático podem ser alvos de anúncios baseados no seu comportamento, incentivando gastos excessivos e a política de privacidade não detalha claramente se os dados são utilizados para remarketing ou criação de perfis comportamentais.
4. Segurança e Risco de Exposição de Dados Sensíveis uma vez Trackers de terceiros podem compilar informações sobre hábitos de navegação, IP, dispositivos e preferências de jogo, potencialmente criando riscos de segurança para os utilizadores: Se um hacker comprometer um desses serviços de terceiros, os dados dos utilizadores podem estar em risco, especialmente em sites onde transações financeiras são comuns.
5. Se a Solverde estiver a usar tracking cookies para remarketing (exibir anúncios a jogadores que saíram do site), pode estar a promover o jogo de maneira agressiva o que pode entrar em conflito com regulações de jogo responsável.

Soluções e Boas Práticas que a Solverde poderia seguir:
1. Implementar um gestor de consentimento de cookies transparente, onde os jogadores possam aceitar ou recusar diferentes categorias de cookies: Isto parece ser feito quando se entra no site mas ferramentas de análise indicam que mesmo antes dessa aprovação há tracking cookies a serem colocadas no computador do visitantes.
2. Rever a política de privacidade para esclarecer como estas cookies são usadas e se há ou não transferência de dados para fora da UE.
3. Evitar remarketing agressivo para jogadores que demonstram sinais de comportamento de jogo compulsivo.
4. Usar apenas os cookies estritamente necessários por padrão e permitir que os jogadores escolham ativamente activar os restantes (de novo isso aparenta estar a ser parcialmente feito mas não a todas as cookies): Um teste no https://www.cookiehub.com/ ao site www.solverde.pt indicou que o “website is not GDPR compliant. Based on the scan, your website sets analytical and/or marketing cookies before consent, or an unknown cookie was detected, making it challenging to verify compliance. This may indicate non-compliance with GDPR, requiring action. Find the full list of detected cookies below.” (“Other 24“: Ver imagem)

Por outro lado, lendo a Política de “Privacidade da proteção de dados pessoais” do site da Solverde encontramos uma extensa lista de dados pessoais recolhidos: “nome completo (conforme cartão de cidadão/bilhete de identidade ou passaporte); data de nascimento; nacionalidade; profissão; morada de residência; país de residência; número de identificação civil, do passaporte ou de outro documento admitido nos termos do RJO; endereço de correio eletrónico, palavra-passe (não usam hashes?) e, no caso de residentes em Portugal, número de identificação fiscal e o código postal. Poderá também indicar os elementos identificadores da conta de pagamento na altura do registo” assim como “dados gerados pela navegação do Jogador no Site, tais como a origem da conexão, endereço IP, tipo e versão do navegador e o dispositivo utilizado. Para além disso, a SOLVERDE S.A. irá arquivar determinadas informações ligadas à navegação dos utilizadores que utilizam “cookies”. A SOLVERDE S.A. usa “cookies” por necessidades de navegação no nosso Site (…). Por exemplo, utilizamos “Session Identification Cookies” para monitorar (“monitorar” é mais comum no português do Brasil. Em Portugal, a palavra mais usada com o mesmo significado seria “monitorizar”: isto levanta dúvidas sobre a origem do texto)”
(…)
“O período de tempo durante o qual os cookies são armazenados no seu dispositivo é de 30 (trinta) dias” (contudo o teste da Cookiehub indica várias cookies permanentes e outras com 6 meses de vida)

“Data da última revisão da Política de Privacidade: 15 de Setembro de 2020”: o que parece uma data demasiado recuada (estamos em março de 2025:
https://www.solverde.pt/politica-privacidade?gad_source=1&gclid=CjwKCAiAw5W-BhAhEiwApv4goDlO2mVj6bwejziTd1EW-PjWYszlWboxPsIBiYSHaxP1Z-vTh4fs_xoCyw8QAvD_BwE

Analisando este texto, globalmente, há alguns pontos que podem merecer atenção e uma eventual revisão e melhoria desta Política de Privacidade e de práticas do site da Solverde:

1. Falta de clareza na base legal para certos tratamentos de dados: A política menciona que os dados podem ser usados para envio de comunicações promocionais com base no consentimento do jogador, mas também fala em tratamento baseado em “interesse legítimo” sem especificar claramente quando cada base legal se aplica. Poderia ser mais explícito sobre quais dados são tratados com base em obrigação legal e quais dependem de consentimento.

2. Modificações unilaterais na política: A política menciona que pode ser alterada “livre e unilateralmente, a qualquer momento”, o que pode ser problemático. O RGPD exige que mudanças significativas na política de privacidade sejam notificadas de maneira clara e que, em certos casos, novo consentimento seja solicitado. Não é claro como funciona o mecanismo para que o jogador aceite ou recuse mudanças significativas: surge uma pop-up indicando exactamente o que foi alterado? Surge novamente o popup de aceitação da cookies?

3. Definição de Perfis e Decisões Automatizadas: A política afirma que são criados perfis de jogadores e que decisões automatizadas são tomadas em relação à atribuição de bónus e verificação de identidade ora o RGPD exige que, quando decisões automatizadas têm efeitos legais ou impactam significativamente os indivíduos, os titulares dos dados tenham o direito de solicitar intervenção humana e contestar a decisão. A política não menciona explicitamente este direito.

4. Período de retenção de dados excessivo: O documento menciona que os dados serão armazenados por dez anos devido a obrigações legais. Embora possam haver, de facto, razões legais para certas retenções (exemplo: legislação de combate ao branqueamento de capitais), seria importante esclarecer se todos os dados são mantidos por esse período ou apenas os estritamente necessários e se sim: quais exactamente.

5. Direitos dos titulares não totalmente detalhados: Embora a política liste correctamente os direitos dos jogadores (acesso, retificação, oposição, etc.), não explica claramente como é que o jogador pode exercer alguns desses direitos na prática, como, por exemplo, o direito à portabilidade: O contacto do Encarregado da Proteção de Dados é fornecido, mas não há detalhes sobre prazos de resposta ou procedimentos internos para lidar com essas solicitações.

6. Tratamento de Cookies sem uma opção clara de recusa: A política afirma que o jogador pode configurar o seu browser para impedir a instalação de cookies, mas não menciona se há um gestor de preferências de cookies no próprio site: O RGPD e a Diretiva ePrivacy exigem que cookies não essenciais (como cookies de rastreamento para marketing) sejam opcionais e aceites pelo utilizador de forma explícita. Os testes da Cookiehub, por seu lado, apontam para cookies instaladas sem autorização prévia.

7. Falta de transparência na comunicação dos dados a terceiros: A política menciona que os dados podem ser comunicados a autoridades como o Serviço de Regulação e Inspeção de Jogos (SRIJ) e a Comissão Nacional de Proteção de Dados, mas não esclarece se há partilha com terceiros privados, como prestadores de serviços, parceiros comerciais ou plataformas de análise de dados. Sobretudo, seria importante esclarecer se os dados são transferidos para fora do Espaço Económico Europeu (EEE) e, em caso afirmativo, quais garantias são aplicadas (exemplo: cláusulas contratuais padrão da UE).

Alertas enviado à CNPD.