Cookies e LGPD



INTRODUÇÃO

Ao entrar em um determinado site pela primeira vez muito provavelmente você já foi questionado se permite, ou não, o uso de cookies durante sua navegação. Se tal situação já aconteceu, contente-se, na maioria das vezes o questionamento vem com apenas uma opção: a de aceitar.

Naturalmente o primeiro impulso é de aceitar sem demora para que nos sintamos livres de uma janela indesejada na tela e, afinal, pode-se considerar que, na prática, o aceite dos cookies nunca trouxe prejuízo imediato em nenhum nível. Portanto, por que se preocupar?

Não se engane, esse consentimento, muitas vezes dado sem chance de maiores ponderações, tem um objetivo valiosíssimo para quem o questiona. O que parece inofensivo, em uma passada de olhos, na verdade tem um poder de mercado gigantesco.

Os cookies são pedaços de código, armazenados em sites que hospedam, transportam e compartilham dados sobre você. Ao entrar em um site onde se vende livros, por exemplo, e navegar por algum tempo em determinada categoria, ao sair do site e voltar algum tempo depois (dias e até semanas), provavelmente você será bombardeado com algumas sugestões que serão bastante similares à categoria visitada na sua última estadia no site. Isso obviamente não é coincidência.

Caso você tenha adicionado algum produto ao carrinho e fechado o site, pode ser que o produto ainda esteja no carrinho, mesmo que tenham se passado dias desde a sua visita. Esse exemplo reflete uma pequena parcela do poder dos cookies, sua totalidade vai muito além.

Via de regra, todas as ações realizadas por um cookie serão invisíveis para o usuário, o que leva ao pensamento errôneo, e inocente, de que nada está sendo feito e o clique no botão de “aceitar” foi tão inofensivo quanto pareceu.

Nos próximos tópicos será apresentado os diferentes tipos de cookies, como eles trabalham, e suas ligações com as leis existentes sobre proteção e privacidade de dados. Vale ressaltar que, além da lei brasileira LGPD (Lei Geral de Proteção de Dados, Nº 13.709), também será abordada a lei europeia, GDPR (General Data Protection Regulation), que dispões de mais informações acerca do tratamento adequado dos cookies e agregará bastante conteúdo de discussão para o presente artigo.

1. AS ESPECIFICIDADES DOS COOKIES

Os cookies são uma ferramenta altamente eficaz para o direcionamento de anúncios, campanhas de marketing, coletas de informações e afins, sobre um usuário na rede. Segundo Richie Koch, editor chefe do site “gdpr.eu”, pode-se classificar os cookies em três diferentes categorias: duração, proveniência e propósito.

Em cada categoria, pode-se ainda distinguir diferentes subcategorias de cookies. Os cookies de duração podem ser divididos em:

· Cookies de sessão: são cookies temporários que expiram assim que o usuário fechar o navegador ou encerrar a sessão com determinado site;

· Cookies persistentes: são cookies pré-determinados com uma data de expiração. Eles irão permanecer no disco rígido do computador até que expirem, ou sejam forçadamente excluídos. Via de regra, um cookie persistente deve ter uma vida média de 12 meses, mas na prática acabam ficando por muito mais tempo.

As subcategorias de cookies de proveniência são:

· Cookies primários: são os cookies que são colocados no dispositivo por intermédio do site visitado;

· Cookies de terceiros: são cookies colocados em sites por um terceiro, como, por exemplo, um anunciante ou sistema analítico.

Por sua vez, as subcategorias de cookies de propósito são:

· Cookies estritamente necessários: são os cookies que precisam, necessariamente, ser alocados no computador para que o site funcione da forma correta. Recursos de usabilidade e de segurança do site fazem parte dessa subcategoria. Cookies estritamente necessários geralmente são também cookies primários. O aceite desses cookies torna-se obrigatório, uma vez que sem eles o site provavelmente não funcionará;

· Cookies de preferências (ou funcionalidade): são cookies que permitem que o site lembre de escolhas que o usuário faça, como, por exemplo, idioma do site, apresentação de conteúdo, usuário e senha e etc.;

· Cookies de estatística (ou desempenho): são cookies que coletam informações do usuário, identificando como ele interagiu com o site, links que clicou e etc., entretanto, essas informações devem ser anonimizadas e, portanto, não contam como dados pessoais. Esses cookies têm apenas objetivos estatísticos, para melhorias do site, por exemplo;

· Cookies de marketing: são os cookies que rastreiam as atividades realizadas pelo usuário com objetivo de auxiliar anunciantes no fornecimento de publicidades relevantes para determinado usuário. Também registram quantas vezes um anúncio foi visto, clicado e etc. Essas informações geralmente são compartilhadas entre organizações. Cookies de marketing são também persistentes e geralmente provenientes de terceiros.

Os cookies são massivamente utilizados para objetivos de marketing e anúncios. A capacidade de gerar um identificador único para cada usuário, sendo um cookie permanente, faz com que as ações realizadas em um determinado site, através de meses, construam um perfil bastante claro e exato das preferências e gostos daquela pessoa.

Além disso, é possível determinar como uma pessoa interagiu com um site, através da análise de seus cliques e janelas abertas. Desse modo, pode-se compreender, por exemplo, se a pessoa apenas acessou o site, se ela acessou o site e se cadastrou ou ainda se ela acessou o site, se cadastrou e ainda realizou uma compra (ou desistiu da compra após adicionar itens ao carrinho).


2. O QUE A LEI DIZ SOBRE OS COOKIES

Como dito anteriormente, o presente artigo se valerá, além da lei brasileira, LGPD, também da lei europeia, GDPR, para fins de maior esclarecimento acerca do tratamento de cookies. Enquanto na LGPD, o termo “cookie” não é citado nenhuma vez, na GDPR ele é visto apenas uma vez, no memorando 30, que especifica o seguinte:

“As pessoas singulares podem ser associadas a identificadores por via eletrônica, fornecidos pelos respectivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo de internet) ou testemunhos de conexão (cookie) [...] Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e a identificação das pessoas singulares. ”

Naturalmente, a falta de citação do termo na LGPD, não significa que a lei não o reconheça como um dado pessoal, uma vez que o cookie pode carregar informações capazes de identificar, direta ou indiretamente, alguma pessoa física.

Uma vez que a LGPD tem sido construída de forma consonante, guardadas as proporções, com a GDPR, pode-se afirmar que o mesmo efeito interpretativo que a lei europeia faz dos cookies também cabe em território brasileiro. Portanto, na medida em que os cookies são usados de tal forma que podem identificar uma pessoa física, eles devem ser usados apenas após a coleta de um consentimento claro e inequívoco do usuário.

Segundo Reuters Institute (2018), desde a introdução da GDPR na União Europeia, os cookies de terceiros tiveram uma queda de 22% nos sites de notícias europeus, em 2018. Além disso, entre abril e julho, do mesmo ano, sites de notícias britânicos, sozinhos, tiveram uma queda de 45% no uso de tais cookies.


3. COMO MANTER OS COOKIES EM CONFORMIDADE

A maioria esmagadora dos sites ainda utiliza os cookies em não-conformidade quando fazemos uma comparação do modelo atual e como deveria ser, segundo a LGPD ou mesmo a GDPR. Como citado anteriormente, muitas vezes o site até informa sobre os cookies mas apresenta apenas a opção de aceitar. Isso, claramente, não é um consentimento dado de maneira livre.

Segundo a Art. 5º, inciso XII da LGPD, o consentimento deve ser “uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. O ato de apresentar os cookies, mas não dar escolha ao usuário para aceitar ou não (e até mesmo escolher quais cookies ele deseja aceitar), resulta em não-conformidade tanto quanto não apresentar informação nenhuma sobre eles. Abaixo segue um péssimo exemplo de cookie banner (o pop-up que aparece indicando o uso de cookies).




Figura 1 – Cookie banner em não-conformidade com a LGPD e GDPR.


Fonte: cookiebot.com


O consentimento implícito não é mais suficiente. O site não pode valer-se da afirmação “Ao continuar usando este site, você concorda com a política de cookies”. Esse ato é totalmente tendencioso e não cumpre com nenhuma exigência da lei para coleta de consentimento. A escolha deve ser genuína, clara e livre para que o consentimento seja válido.

A imagem abaixo demonstra um exemplo de cookie banner em conformidade.



Figura 2 – Cookie banner em conformidade com a LGPD e GDPR.


Fonte: cookiebot.com


Perceba que no exemplo acima, além de estar detalhadamente explicado a finalidade do uso dos cookies, ainda é possível selecionar quais categorias de cookies o usuário deseja aceitar. Além disso, por padrão, o site mantém apenas os cookies necessários marcados e não se vale de botões mais coloridos ou chamativos para que o usuário seja instigado a aceitar todos os cookies de uma vez. Clicando ainda no botão “Show details”, é possível ler detalhes de cada categoria dos cookies.

Além da clareza na hora de apresentar os cookies, o site deve facilitar ao usuário a retirada do consentimento dos cookies. Segundo Art. 8º, §5º, da LGPD, o consentimento poderá ser “revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado”. Ou seja, o site deve fornecer uma opção de revogação/alteração de consentimento dos cookies. A retirada do consentimento deve ser tão fácil quanto sua concessão.

A granularidade também é muito importante, definindo que, diferentes categorias de cookie, que por regra terão diferentes finalidades, devem necessitar de coletas de consentimento separadas, ou seja, o usuário deve poder definir, por exemplo, dar seu consentimento para cookies de estatísticas, mas não dar seu consentimento para cookies de marketing. Obviamente, a forma como esse consentimento granular é dado deve ser fácil e simples. A imagem abaixo demonstra um exemplo de granularidade na hora de definir o consentimento dos cookies. Perceba que, apenas os cookies necessários estão previamente marcados, outras categorias, além de bem especificadas, são desmarcadas como padrão e o usuário pode ainda decidir para quais consentimentos dará em cada categoria.



Figura 3 – Cookie banner granular em conformidade com a LGPD e GDPR.


Fonte: airbnb.com.br


Richie Koch também identifica alguns pontos necessários para que o site esteja de acordo com os regulamentos, sendo eles:

· Receber o consentimento antes de usar os cookies de fato, com exceção para os cookies estritamente necessários;

· Fornecer informações de forma simples e precisa sobre os dados coletados por cada cookie e sua finalidade;

· Permitir que os usuários acessem o serviço do site mesmo que deem o consentimento apenas para os cookies estritamente necessários;

· Fazer com que seja tão fácil retirar o consentimento quanto foi para dar; e

· Documentar e armazenar o consentimento recebido dos usuários. Este último item será valiosíssimo como evidência de conformidade.


CONCLUSÃO

Os cookies merecem mais atenção do que recebem comumente. Eles têm um poder de marketing gigantesco e, se usados de forma desordenada, podem afligir, diretamente, a privacidade dos usuários de determinado site.

Com o nascimento, recente, de leis que regulamentam o tratamento dos dados pessoais, o gerenciamento dos cookies, por parte dos sites, deve ser feito de forma muito mais regrada e sempre com total conhecimento do titular dos dados.

Por conseguinte, os sites devem se adequar da maneira correta e, junto a isso, os titulares dos dados devem cobrar tal adequação. O processo de adequação pode não ser simplório, mas se faz necessário para a instauração de um mundo virtual mais seguro e privado.


BIBLIOGRAFIA

KOCH, Richie. Cookies, the GDPR, and the ePrivacy Directive. GDPR.EU. Disponível em: < https://gdpr.eu/cookies/>. Acesso em: 27 mar. 2021.


IRWIN, Luke. How the GDPR affects cookie policies. IT Governance, 12 mai. 2020. Disponível em: <https://www.itgovernance.eu/blog/en/how-the-gdpr-affects-cookie-policies>. Acesso em: 27 mar. 2021.


COOKIE LAW. GDPR Compliance Means Cookie Notices Must Change. Cookie Law, 3 nov. 2016. Disponível em: <https://www.cookielaw.org/blog/gdpr-compliance-means-cookie-notices-must-change/>. Acesso em: 27 mar. 2021.


MACDONALD, Isabel. Third-party cookies down by 22% on Europe's news sites since GDPR. Reuter Institute. Disponível em: < https://reutersinstitute.politics.ox.ac.uk/risj-review/third-party-cookies-down-22-europes-news-sites-gdpr?mod=djemCMOToday>. Acesso em: 27 mar. 2021.


BRASIL, Lei Geral de Proteção de Dados, 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 27 mar. 2021.


REGULAMENTO (UE) 2016/679. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN>.


por Fadrique Brito

28 visualizações0 comentário

Posts recentes

Ver tudo