Thiago Roberto Faria Lima*
Yasmin Fernandes Soares da Silva**
Na última semana (18/10), a Autoridade Nacional de Proteção de Dados (ANPD) publicou seu guia orientativo sobre “Cookies e Proteção de Dados Pessoais”.
O material foi confeccionado com o intuito de orientar os agentes de tratamento de dados a respeito das boas práticas quanto à utilização destes arquivos no ambiente digital, além de desenhar um panorama geral sobre tema, tratando desde o conceito e significado da tecnologia até pontos mais técnicos, como as questões de governança e privacidade que devem ser empregadas na sua utilização.
Dentre os diversos aspectos abordados pela ANPD no guia, por certo, um dos mais polêmicos reside acerca das hipóteses legais de tratamento aplicáveis à utilização dos cookies nos websites.
Resumidamente, embora a ANPD reconheça que, a depender do contexto, outras bases legais podem ser aplicáveis, a Autoridade destaca, no guia, o consentimento e o legítimo interesse como hipóteses possíveis de justificar o tratamento de dados pessoais por cookies.
Coleta de cookies nos websites
Adicionalmente, o guia também dispõe que “embora inexista hierarquia ou preferência entre as hipóteses legais previstas na LGPD, o recurso ao consentimento será mais apropriado quando a coleta de informações for realizada por cookies não necessários”, afirmando que “o legítimo interesse dificilmente será a hipótese legal mais apropriada nas hipóteses em que os dados coletados por meio de cookies são utilizados para fins de publicidade”.
Vale ainda destacar que o recente guia servirá de embasamento para futuras atuações da ANPD em processos fiscalizatórios, o que gera um alerta especial quanto ao racional de aplicação de base legal emitido no documento.
Ao indicar a base legal do consentimento (art. 7º, I, LGPD) como a hipótese mais adequada ao emprego de cookies para fins de publicidade, certo que a Autoridade manifesta uma postura demasiadamente conservadora e semelhante ao racional já adotado no espaço europeu. Tal posição diverge frontalmente das práticas de mercado adotadas pelos grandes players do momento.
Cookie Law
Vale lembrar que a União Européia conta com uma normativa específica que discorre sobre a obrigatoriedade do pedido de consentimento ao titular para a ativação de cookies e demais arquivos de rastreamento e identificação (a famosa “Cookie Law”). Por outro lado, aqui no Brasil, temos que a Lei Geral de Proteção de Dados, no rol de seu artigo 7º, apresenta mais opções de fundamentação legal para o tratamento de dados para publicidade digital que não apenas o consentimento.
Limitações
Voltando ao Guia emitido pela ANPD, apesar da recomendação pelo emprego do consentimento para a ativação de cookies de publicidade, independentemente da natureza do arquivo (1st ou 3rd party), entendemos que tal limitação pode ser bastante nociva. Para tanto, basta imaginar eventual aplicação deste racional para outras atividades publicitárias que não façam uso dessa tecnologia, como, por exemplo, o simples envio de e-mail marketing de uma empresa para os seus clientes mais assíduos. Seguindo o entendimento emitido pela Autoridade, podemos também presumir que o uso do legítimo interesse para estas atividades também estaria afastado.
Em oposição a esta concepção, entendemos que, em muitos casos, especialmente para cookies de natureza 1st party, observadas as premissas necessárias, seguramente a base legal do legítimo interesse (art. 7º, IX, LGPD) pode ser utilizada como justificativa legal adequada para a ativação e coleta de informações pessoais com a finalidade de impactar o titular com publicidade digital.
Direitos fundamentais
Ademais, não deixa de causar estranheza a generalidade apresentada no guia ao expor que formação de perfis comportamentais, análise e previsão de preferências e comportamentos ou o rastreamento do usuário por páginas eletrônicas distintas são atividades que implicam maiores riscos a direitos fundamentais. Se uma definição de perfil comportamental tiver como objetivo a prática de atos discriminatórios ilícitos e/ou abusivos ou for utilizada para esses fins, a coleta de tais informações violaria direitos fundamentais. Porém, se o profiling objetivar a apresentação de uma experiência mais adequada ao usuário, não se observa, à primeira vista, o desrespeito a direitos fundamentais.
Portanto, a visão é generalista, porque se afasta de um dos elementos do princípio da finalidade: a de que o tratamento deve ser específico, ou seja, para uma situação concreta e delimitada. A avaliação da aplicabilidade de bases legais deve considerar a especificidade do uso dos cookies.
Base legal do consentimento x legítimo interesse
É comum o entendimento de que a utilização da base legal do consentimento seja mais segura em comparação ao legítimo interesse. Porém, conforme se buscou expor, isso não é verdade. Há inúmeros fatores complicadores na coleta de consentimento para utilização de cookies não essenciais – a título de exemplo, podemos listar a dificuldade de se coletar adequadamente um consentimento nos moldes legais, que seja livre, informado e inequívoco, além da sua desvinculação a uma atividade de tratamento essencial para a prestação do serviço oferecido na plataforma digital (geolocalização, por exemplo).
Da forma como comumente vem sendo “obtido”, o consentimento não é útil à empresa para resguardo jurídico e comercial, uma vez que pode ser revogado a qualquer momento, gerando enorme insegurança. O legítimo interesse, por outro lado, pressupõe reflexão sobre transparência, essencialidade dos dados coletados, resguardando também o direito de oposição pelo titular, além de impor ônus à empresa controladora dos dados no que se refere ao dever de responsabilização e prestação de contas (accountability).
Leia outro artigo dos autores:
LGPD e a gestão de terceiros envolvidos no tratamento de dados das organizações
Thiago Roberto Faria Lima é, atualmente, Coordenador de Privacidade e Proteção de Dados no Grupo Carrefour Brasil, pós-graduado em Compliance Digital pela Universidade Presbiteriana Mackenzie. Certificado com a credencial internacional Data Protection Officer (DPO) – EXIN.
Yasmin Fernandes Soares da Silva é bacharel em Direito pela Faculdade de Ciências Humanas e Sociais da Universidade Estadual Paulista “Júlio de Mesquita Filho” (FCHS/UNESP) e Analista de Privacidade e Proteção de Dados no Grupo Carrefour Brasil.
