Julianne Maria Oliveira Nunes*
O que são cookies de internet?
Cookies de internet são pequenos arquivos armazenados no computador do usuário através do navegador de internet enquanto acessa o site.
Esses cookies podem ser temporários, ou seja, expiram quando o navegador é fechado ou podem ser persistentes, permanecendo no disco rígido até uma data ou até serem excluídos a partir de configuração do computador.
Os cookies persistentes são criados para rastrear o comportamento de um usuário e usados por anunciantes que registram os hábitos de navegação para oferecer produtos e/ou serviços de forma mais atrativa e assertiva.
Além disso, os cookies persistentes podem ser usados para melhorar a experiência do usuário armazenando suas preferências de idioma, buscas recentes etc.
Além disso, os cookies de internet também podem ser colocados no dispositivo do usuário pelo site que está sendo visitado ou por terceiros, geralmente anunciantes ou algum sistema analítico.
De uns tempos para cá, você deve ter observado o aparecimento de banners de solicitação de consentimento de cookies nos sites que acessa. Vamos entender, a seguir, o porquê disso.
General Data Protection Regulation e E-PRIVACY
Assim como qualquer tema de proteção de dados pessoais e privacidade, não há como falar de cookies de internet sem fazer referência às normas da União Europeia.
Na Europa, a única menção direta que é feita acerca dos cookies – ou testemunhos de internet, como também são chamados – no General Data Protection Regulation (GDPR) é no Considerando 30, esclarecendo que os cookies podem ser usados para identificação de pessoas e, por conseguinte, a depender a finalidade, é um dado pessoal devendo obedecer aos ditames da norma de proteção de dados pessoais. Vejamos o texto na íntegra:
“As pessoas singulares podem ser associadas a identificadores por via eletrônica, fornecidos pelos respectivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo internet) ou testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência. Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e a identificação das pessoas singulares.”
Por outro lado, existe a Diretiva 58/2002/EC, documento legislativo que impõe regras ao tratamento de dados pessoais e proteção da privacidade no setor de comunicações eletrônicas, incluindo os cookies de internet.
A referida diretiva estabelece que devem ser fornecidas informações claras e precisas acerca da finalidade dos cookies ao titular. Também exige o consentimento dos usuários – que deve ser livre, específico e informado – para a coleta de dados através deste dispositivo e outras tecnologias parecidas.
Também existe a Opinion 04/2012 on Cookie Consent Exemption, elaborado pelo Grupo de Trabalho do Art. 29, no qual constam entendimento e recomendações referentes aos cookies, bem como as categorias de cookies.
Assim, é possível observar que no ordenamento jurídico europeu há regulamentos específicos para utilização de cookies de internet.
Lei Geral de Proteção de Dados (LGPD)
Já no ordenamento jurídico brasileiro, não há, ainda, nenhum documento específico como existe na Europa.
No entanto, a partir da leitura dos documentos legislativos europeus bem como do conceito de dado pessoal da lei brasileira de proteção de dados e considerando que através de alguns cookies, é possível identificar o indivíduo a ponto de conseguir direcionar um anúncio de forma assertiva, logo os cookies destas categorias devem sim ser abrangidos pela Lei Geral de Proteção de Dados (LGPD)
Além disso, o Marco Civil da Internet (Lei n° 12.965 /2014) faz referência aos cookies no art. 7º, inciso VII, exigindo o consentimento livre, expresso e informado do compartilhamento de dados pessoais, incluindo registros de conexão, de acesso e aplicações de internet, com terceiros.
Dito isto é possível concluir que, em que pese alguns cookies que identificam uma pessoa, devendo ser submetido à LGPD e, diferente do que acontece na Europa, ainda não há nenhuma exigência de que a base legal para a colocação de cookies deva ser o consentimento, de modo que é possível considerar as outras bases do art. 7º da lei de proteção de dados brasileira.
Recomendações da ANPD
Recentemente, a Autoridade Nacional de Proteção de Dados Pessoais emitiu recomendações à Secretaria de Governo Digital (SGD/ME) para adequação do Portal Gov.br às disposições da Lei Geral de Proteção de Dados Pessoais.
As recomendações referem-se justamente ao tratamento de dados pessoais decorrentes dos cookies.
A ANPD identificou dois pontos de atenção: O primeiro no banner de primeiro nível que é apresentado ao usuário quando este acessa o site e o segundo na política de cookies.
Diante disso, a ANPD recomenda que, para a adequação do portal “Gov.br” à LGPD, sejam observadas as boas práticas indicadas, e que se adotem, pelo menos, as seguintes medidas:
- No banner de primeiro nível: i. Disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não-necessários; ii. Desativar cookies baseados no consentimento por padrão (opt- in);
- No banner de segundo nível (Política de Cookies): i. Identificar as bases legais utilizadas, de acordo com cada finalidade / categoria de cookie, utilizando o consentimento como principal base legal, exceção feita aos cookies estritamente necessários, que podem se basear no legítimo interesse; ii. Classificar os cookies em categorias no banner de segundo nível; iii. Permitir a obtenção do consentimento específico de acordo com as categorias identificadas; iv. Disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não necessários.
Um ponto importante no documento encaminhado é que a ANPD informou que sua equipe técnica está elaborando guia a respeito dos cookies de internet.
Julianne Maria Oliveira Nunes: Advogada especialista em Direito Digital. Presidente da Subcomissão de Proteção de Dados e Segurança da Informação da OAB do Amazonas.
