A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”1.
Como se percebe do artigo introdutório da LGPD, qualquer pessoa que se possa imaginar está sujeita às suas regras. E isso independe do meio de tratamento de dados, pois a lei abrange tanto aspectos físicos, quanto digitais, bem como do intuito de lucro ou caritativo da atividade desenvolvida.
É bem verdade que o artigo 4º da LGPD informa casos de dispensa do cumprimento da lei. Porém, essas ressalvas não se referem a um tipo de pessoa ou categoria econômica em si, mas estritamente a determinadas atividades desenvolvidas2.
Portanto, a regra é a aplicação da legislação de forma ampla e irrestrita.
O título desse texto faz uma referência às antigas plaquinhas vistas nos mais diversos estabelecimentos comerciais ou industriais, no intuito de informar os visitantes a existência de câmeras de vigilância ao adentrarem fisicamente na loja ou indústria.
Agora, com a vida muito mais digital, tal como aquelas onipresentes plaquinhas, você já deve ter percebido a quantidade de “avisos de cookies” ou “políticas de cookies” ao acessar diversos “estabelecimentos” eletrônicos (websites).
A brincadeira então é no sentido da vigilância que os cookies trazem. E isto porque a navegação em websites que utilizam cookies implica em tratamento de dados e tende a tornar o usuário identificável, sujeitando esse tratamento à LGPD.
Assim, serve esse texto para uma reflexão sobre a utilização de cookies e sua implicação frente a Lei Geral de Proteção de Dados.
Cookies (o que são, tipos e para que servem)
É famosa a cena em que os personagens Neo e Oráculo conversam no filme Matrix (um filme de 1999) e, ao final do diálogo, a Oráculo lhe oferece um cookie. Coincidência?
Um cookie é comumente definido como um pequeno arquivo de texto, utilizado para diversas finalidades, armazenado no navegador do dispositivo toda vez que acessamos uma página eletrônica.
Esse arquivo armazenado no navegador é informado à página eletrônica toda vez que você voltar a visitá-la e, com isso, facilita a interação com o website, já que mostrará suas preferências de navegação (como o idioma, por exemplo). Quando se está fazendo compras em um e-commerce, são os cookies que facilitam a adição de produtos ao carrinho de compras.
Para melhor esclarecer, note a “Privacidade & Termos” do Google, na qual está disposta explicitamente a utilização de “diferentes tipos de cookies para executar os sites do Google e produtos relacionados a publicidade”, destacando-se as seguintes “categorias de uso”3:
– Preferências: permitem que os websites lembrem informações que mudam a forma como o site se comporta ou é exibido, como o idioma preferido ou a região em que o usuário está;
– Segurança: permitem a autenticação dos usuários para evitar a utilização fraudulenta de credenciais de login e proteger os dados do usuário de terceiros não autorizados;
– Processos: ajudam a fazer o website funcionar e fornecer serviços que o visitante espera, como navegar em páginas da web ou acessar áreas seguras;
– Estado da sessão: ajudam no aprimoramento de serviços, a fim de melhorar a experiência de navegação dos usuários.
Além dos acima destacados, outros dois chamam a atenção em relação a possibilidade de criação de perfil dos usuários:
– Google Analytics: ferramenta de análise que ajuda os proprietários de sites e apps a entender como os visitantes se envolvem com os serviços deles. Os dados coletados em serviços do Google pelo Google Analytics também podem ser usados, junto a alguns dos cookies de publicidade, para ajudar a mostrar anúncios mais relevantes nos Serviços do Google (como a Pesquisa Google) e em toda a web, assim como para medir interações com os anúncios mostrados;
– Publicidade: usados para tornar a publicidade mais envolvente para os usuários e mais valiosa para editores e anunciantes, bem como selecionar publicidade com base no que é relevante para o usuário, melhorar os relatórios sobre o desempenho da campanha e evitar a exibição de anúncios que o usuário já viu. O Google também usa cookies de conversão para ajudar anunciantes a definir quantas vezes as pessoas que clicam nos anúncios acabam realizando ações no site (por exemplo, comprando alguma coisa).
Os cookies de publicidade4 são bastante utilizados em páginas web e são os responsáveis por aqueles (in)desejáveis baners de propaganda que perseguem o usuário em suas navegações posteriores. Em termos de privacidade e proteção de dados esses são, provavelmente, os cookies mais invasivos frente aos “direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” preconizados pela LGPD. Por esse motivo, serão o ponto focal do texto daqui por diante.
Cookie realmente é um dado pessoal? Por que?
Inicialmente, necessário relembrar que dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável.
Neste sentido, dizer que uma pessoa é identificada significa apontar diretamente a alguém, de forma inequívoca. Já quando se refere a uma pessoa “identificável”, deve-se ter em conta uma informação que, em conjunto com alguma outra (ou outras), levará a identificação de alguém.
Em verdade, qualquer informação tem o potencial de identificar alguém, a depender do contexto de sua análise e a possibilidade de agregar outros elementos.
No que concerne aos cookies, o Considerando 30 do Regulamento Europeu de Proteção de Dados (GDPR)5 dispõe que “as pessoas singulares podem ser associadas a identificadores por via eletrónica, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo internet) ou testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência. Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e a identificação das pessoas singulares”.
Da mesma forma, o site do European Commission, ao responder “o que é um dado pessoal?”, cita expressamente “a cookie ID”, como exemplo de dado pessoal6.
Assim, se possível com os cookies direcionar publicidade de forma assertiva, selecionando o que é relevante para o usuário, elementarmente se está diante de uma persona categorizada por seu comportamento online, ou seja, identificável.
Por essa razão, cookies são considerados dados pessoais. E, se assim o são, o tratamento desses dados precisa observar os princípios e bases legais da LGPD.
Regras para o tratamento de dados na LGPD
A LGPD tem como fundamento a “autodeterminação informativa”, pela qual é dado ao titular de dados “o poder sobre o fluxo e o uso dos seus próprios dados, mediante o estabelecimento de determinações objetivas aos agentes de tratamento […]. Nas palavras de Stefano Rodotà é um ‘poder permanente de controle sobre seus próprios dados’”7.
Na decisão liminar proferida na Medida Cautelar na Ação Direta de Inconstitucionalidade 6.387-DF, a expressão “autodeterminação informativa” é citada em 07 (sete) oportunidades, registrando-se que “independentemente do seu conteúdo, mutável com a evolução tecnológica e social, no entanto, permanece como denominador comum da privacidade e da autodeterminação o entendimento de que a privacidade somente pode ceder diante de justificativa consistente e legítima”8.
A definição dos parâmetros capazes de superar a privacidade devem ser avaliados a partir da própria LGPD, especificamente em relação a seus princípios e bases legais.
Neste contexto, é de se questionar: qual seria uma justificativa consistente e legítima?
Aparentemente, ao visitar um website sobre notícias gerais o usuário pretende se informar e se atualizar com boas notícias, sejam elas da área política, cultural, policial, etc. Se a visita for a uma página de esportes, imagina-se que o interesse está relacionado a informações sobre o esporte ou time favorito, seja ele de que modalidade for. Se o website é uma rede social, o usuário está em busca de atividades de amigos ou personalidades.
Tendo em vista a inserção de cookies de publicidade nestes websites, a LGPD estaria atendida? Haveria aqui uma justificativa consistente e legítima?
A verdade é que muitas páginas eletrônicas possuem aviso de cookies, mas estes, em geral, limitam-se a informar a existência dos cookies, sem especificação das diversas finalidades existentes, seguida, geralmente, da expressão “ao utilizar esse site, você concorda com nossa política de privacidade”.
Analisando-se o princípio da finalidade, que exige um propósito específico, explícito e informado ao titular, estariam os cookies primando por essas regras? O tratamento estaria adequado, limitado às finalidades pretendidas e transparente? Da mesma forma, esse “consentimento” seria válido?
– Quem cala não consente!
O dito popular “quem cala, consente” não se aplica quando o assunto é privacidade e proteção de dados. Basta ver que consentimento é uma “manifestação livre, informada e inequívoca”, destinada a “uma finalidade determinada”.
Elementarmente, considerar correta a “concordância” com uma política de cookies pelo simples fato de navegar em um website está longe de ser uma “manifestação livre” como exige a LGPD.
É que por “manifestação livre” se deve entender um ato onde havia escolha a ser feita, ou seja, a possibilidade de concordar ou discordar de algo. Simplesmente apresentar uma única opção não condiz com liberdade.
No que diz respeito a expressão “informada”, tal qual se exige em relação a finalidade, está se tratando de prestação de informação clara, acessível, de fácil compreensão, transparente.
Assim, a mera informação quanto a existência de cookies, sem ao menos indicar quais são, o que fazem, quem são seus proprietários, o tempo que os cookies permanecerão nos dispositivos, não corresponde a informação desejada pelo titular para que conscientemente tenha uma “manifestação livre” e opte (ou não) com a instalação de determinados cookies.
No tocante a expressão “inequívoca” se exige que o consentimento seja fornecido de maneira inconteste, sem margem de dúvidas ou ambiguidades. Não há espaço para jeitinho, de modo que presunção de consentimento (pelo fato de permanecer navegando no website) não é um expediente válido.
Assim, “o processo pelo qual os usuários podem consentir para os cookies seria por meio de uma ação positiva ou outro comportamento ativo, desde que tenham sido totalmente informados o que esta ação representa”9.
– Legítimo interesse (próprio e de terceiro)
O legítimo interesse é uma das bases legais possíveis para tratamento de dados e se refere a finalidades legítimas e aplicação a situações concretas, podendo ser do controlador ou de terceiro. Também é a base legal mais subjetiva e, por isso mesmo, polêmica.
No caso dos cookies de publicidade, a finalidade legítima condiz com a comunicação dos produtos e serviços da empresa aos consumidores, no intuito de conquistar mais clientes e vendas. Já a situação concreta guarda relação com a navegação online do titular de dados, buscando ocupar espaços de propaganda nos locais destinados a essa atividade nos websites de terceiros.
Os cookies podem ser próprios e de terceiros, já que existem muitos websites que são de uso “gratuito” para o titular e a disponibilização dos cookies pode ser uma forma de gerar receitas para o website. Aparentemente, tudo em ordem até aqui. Afinal, vender produtos e serviços é atividade crucial de qualquer empresa, capaz de mantê-la ativa e cumprir com seu objetivo empresarial.
Entretanto, não se pode esquecer que a mesma LGPD determina a observação das “legítimas expectativas dele (do titular) e os (seus) direitos e liberdades fundamentais”.
Aí voltamos ao questionamento da justificativa consistente e legítima. Haveria uma resposta positiva quando se confronta o interesse da empresa e a expectativa do titular?
Partindo-se da premissa que o cookie de publicidade é pautado no perfilamento das pessoas, temos uma conduta de análise que resulta em dados objetivos de comportamento, os quais são bastante invasivos e perturbadores.
Para melhor entender, o exemplo trazido por Palhares10 é muito elucidativo: “Imagine o seguinte cenário: você participa de uma reunião presencial, na qual um dos participantes lhe entrega um cartão de visita que tem um rastreador invisível dentro, que permite que todos os seus passos sejam monitorados, especialmente as lojas que você vai, os produtos que compra e as pessoas com que você se comunica, sem lhe informar nada sobre a existência do rastreador. Você se sentiria confortável?”
Parece evidente que essa situação extrapola a “legítima expectativa do titular”, afinal o acesso ao website tem, para o titular, cunho informativo, de busca de informações, de conhecimento sobre um determinado assunto, inclusive quando for sobre um produto que o titular dos dados deseja adquirir.
Nesses casos, o titular não presume (ou não deseja) que o acesso ao website gerará uma perseguição publicitária.
E isso ainda piora quando existe o compartilhamento da informação da navegação com diversas empresas de publicidade tecnológica11, situação em que, mesmo quando o titular exerce sua oposição, a mesma publicidade é oferecida na navegação seguinte, mas administrada por outra empresa de publicidade tecnológica. Ou seja, o titular precisará exercer diversos atos de oposição até que a publicidade não mais lhe apareça, excedendo em muito a legitimidade do ato do controlador ou terceiro.
Um outro ponto bastante relevante diz respeito aos dados sensíveis, pois o legítimo interesse não é base legal para o tratamento desse tipo de dado pessoal (artigo 11 da LGPD).
Então, apenas como exemplo, imagine que um ateu tenha por hábito acessar um determinado website de notícias e sempre que encontra alguma informação sobre o Papa Francisco a acessa (por admiração ao seu trabalho, por exemplo) e, eventualmente, faça comentários.
Considerando o perfilamento criado pelos cookies, não se estaria criando uma persona com base em suposições de convicção religiosa? Essa pessoa deseja receber publicidade de produtos católicos? Imagine a mesma situação para os demais dados pessoais sensíveis…
Este exemplo apenas reforça a ideia de não utilização do legítimo interesse como base legal para os cookies, bem como do não compartilhamento dos dados com terceiros, de modo a preservar a privacidade dos titulares de dados.
Entretanto, se ainda assim a organização entender possível a utilização do legítimo interesse12 como base legal e quiser assumir esse risco, por prudência e transparência, o ideal seria disponibilizar um baner de cookies, antes do início da efetiva navegação, informando esse uso e oferecendo ao usuário a possibilidade de sua oposição ao tratamento de dados – e note que nem se aborda aqui o privacy by design, o qual rende outras importantes reflexões a respeito.
Conclusão
Essa pequena reflexão serve para chamar um pouco de atenção quanto às políticas de cookies mais usuais que encontramos ao navegar da internet.
Sabe-se que a temática ainda é nova e que a cultura de privacidade e proteção de dados ainda está dando seus primeiros passos.
Não obstante, deve-se perceber que o “consentimento”, na forma como praticado, não está em conformidade com a LGPD. Isso, pois, a manifestação que deveria ser livre é ofuscada pela ausência de possibilidade de escolha. Da mesma forma, apoiar-se no legítimo interesse pode não ser um bom caminho, tendo em vista a não observância das expectativas do titular dos dados, e, ainda, o perfilamento de titulares com base em navegações que possam revelar dados pessoais sensíveis.
Assim, tratar bem das “plaquinhas” de monitoramento, do novo “sorria, você está sendo filmado”, mostra-se importante para a adequação de cookies (e outros meios de monitoramento de navegação) à LGPD, especialmente quanto ao dever de informação e transparência, propiciando ao titular dos dados a manifestação de sua oposição, caso assim desejar.
“Numa época em que existe um crescente desequilíbrio no «capacidade de informação», em que quer governos quer organizações empresariais vêm acumulando volumes sem precedentes de dados sobre as pessoas e têm cada vez mais condições para elaborar perfis pormenorizados que permitirão prever os seus comportamentos (reforçando o desequilíbrio de informação e reduzindo a sua autonomia), é mais importante do que nunca assegurar que o interesse das pessoas em preservar a sua privacidade e a sua autonomia seja protegido”13.