pt
en
pt
en
pt
en

LGPD

Os Cookies violam minha privacidade?

19/07/2021

Se você já se indagou se o seu dispositivo eletrônico te escuta, pois basta você mencionar que deseja algo que logo surgem anúncios nas redes sociais te indicando exatamente o produto que você havia pensado ou se deparou com uma notificação de cookies em qualquer website, e apenas a aceitou, sem ter conhecimento do que se tratava, você provavelmente já deve ter pensado que a sua privacidade está sendo violada.


O nome do fenômeno que possibilita essas sensações são os cookies. Contudo, inicialmente, faz-se necessário recuar e contextualizar a existência dos cookies no âmbito da privacidade e da proteção de dados.


Os cookies são pequenos identificadores que podem ser gerados a partir do navegador ou do dispositivo. Esses arquivos de texto têm o objetivo de armazenar a atividade do usuário (você) na internet, como, por exemplo, o seu histórico de navegação, logins/senhas e produtos esquecidos no carrinho de lojas virtuais. O Facebook Ads, o Google Ads e o Google Analytics são alguns serviços bastante conhecidos que disparam cookies.


Cristalino que a Lei Geral de Proteção de Dados Pessoais protege e resguarda integralmente os direitos à privacidade e à proteção de dados pessoais. Aderindo a uma linha de interpretação expansionista da lei, a LGPD classifica os cookies como dados pessoais. Dados estes que, quando reunidos, podem tornar uma pessoa identificável. Não se restringem à pessoais os dados que os cookies englobam. No entanto, se você se identifica em um determinado website (como o cadastro do seu endereço de e-mail), este dado pessoal poderá ser coletado pelos cookies.


O processo de coleta de dados se desenvolveu expressivamente diante da sofisticação das estruturas administrativas, estatais e privadas. A coleta é uma das diversas atividades de tratamento de dados, as quais devem estar fundamentadas em uma das hipóteses do rol taxativo de bases legais (art. 7º da LGPD). Frisa-se que o consentimento (opt-in) do usuário é apenas uma das hipóteses de base legal.


Sem prejuízo, os cookies podem ser (i) operacionais, essenciais ou estritamente necessários; (ii) de análise ou (iii) de marketing. Os cookies essenciais são utilizados para disponibilizar a página ao usuário, com a resolução apropriada no aplicativo, conforme o sistema operacional do dispositivo em conexão. A sua coleta não depende do consentimento do usuário, ou seja, podem se valer da base legal do legítimo interesse. Já os cookies analytics são utilizados para analisar a audiência da página da web e/ou gerar estatísticas.


Em virtude dos cookies, o usuário tem a capacidade de acessar uma mesma conta em determinada rede social sem que haja a necessidade de digitar o seu e-mail de usuário em todos os acessos. Ainda, possibilitam o acesso off-line e a reconexão direta de arquivos, ao armazenar uma vasta quantidade de informações nos sistemas de retenção de dados na nuvem, como o Google Drive.


Por outro lado, a coleta dos cookies de marketing ocorre com o escopo de adquirir uma maior audiência, através da publicidade direcionada. Contudo, as distinções entre as metodologias de direcionamento de publicidade são um obstáculo à escolha de uma base legal apropriada. Por exemplo, o uso dos cookies para fins de marketing indireto (targeting marketing), que se refere ao direcionamento da publicidade por rede de análise comportamental que é, muitas vezes, invisível ao usuário, não deve se valer da base legal do legítimo interesse.


O que não é explicado é que a sensação de estar sendo escutado pelo seu dispositivo eletrônico se reflete, simplesmente, em uma expressão: análise comportamental e montagem do seu perfil, sendo que (i) a análise comportamental é o estudo das condutas e práticas habituais dos usuários em plataformas e aplicativos com a finalidade de oferecer produtos e/ou serviços que sejam do interesse específico e individual de cada usuário e que (ii) a composição da estrutura de um perfil mediante a avaliação do comportamento não é ilícita se for realizada de maneira transparente ao usuário. O profiling é somente uma representação básica das múltiplas possibilidades de obtenção dos dados pessoais.


É nesta lógica que leciona Danilo Doneda:


“Remete-se à elaboração de perfis de comportamento de uma pessoa, a partir de informações que ela disponibiliza ou que são colhidas. O profiling pode ser aplicado a indivíduos e a grupos, nos quais os dados pessoais serão tratados com o auxílio de métodos estatísticos, técnicas de inteligência artificial etc., com o fim de obter uma ‘metainformação’ que consistiria numa síntese dos hábitos, preferências pessoais e outros registros da vida dessa pessoa. O resultado pode ser utilizado para traçar um quadro das tendências de futuras decisões, comportamentos, e destinos de uma pessoa ou grupo. Pode se tronar uma verdadeira representação virtual do usuário. Adotando um comportamento predefinido, acarreta uma efetiva diminuição da sua liberdade de escolha.”



Por conseguinte, a utilização oculta da ferramenta dos cookies ou até mesmo condicionar o usuário ao acesso do website apenas com a habilitação dos cookies é uma violação ao princípio constitucional do direito à intimidade (art. 5º, inciso X da Constituição Federal).


Caso o agente de tratamento tenha elegido a base legal do consentimento para a utilização dos cookies e o titular não o tenha fornecido de maneira informada, livre, inequívoca, específica e expressa, será ilícita a realização da coleta.


Caso o website informe que coleta os cookies para “melhorar a sua experiencia como usuário e oferecer serviços personalizados para você”, vale salientar que esta finalidade por si só não é legitimada pela lei vigente de tratamento de dados pessoais (LGPD).


E, por fim, caso haja uma notificação no website lhe informando que irão presumir o seu consentimento à coleta dos cookies em virtude da inércia da sua resposta e do rolamento da página, cristalino que essa realização não está em conformidade com a legislação brasileira. Isto porque inexiste o consentimento presumido, sendo essencial haver uma conduta positiva do usuário. Conforme o estabelecimento do IAPP (Internacional Association of Privacy Professionals), a formatação de notificações que não manifestam claramente o direito do titular à oposição tendem a ser consideradas inadequadas e que possivelmente serão classificadas, pelos órgãos fiscalizadores, como equívocas.


A Corte de Justiça da União Europeia também se posicionou nesse sentido, salientando que o consentimento implícito não é uma ação positiva e não determina a base legal adequada para a atividade de tratamento em comento. O opt-out (revogação do consentimento) deve ser inserido e acessado com a mesma facilidade que o opt-in.


Por conclusão, o ideal é a que a empresa enderece o cookie notice da forma mais transparente, informada e acessível possível para o titular dos dados pessoais, seja em um banner de visualização imediata ou um aviso na nota de rodapé. No mais, seria extremamente interessante que a notificação indicasse facilmente os documentos da Política de Privacidade e Termos de Uso. Desta feita, estrutura-se uma rede de aderência máxima à Lei Geral de Proteção de Dados Pessoais, agregando um ecossistema online mais saudável e justo, evitando assim que os cookies violem a nossa privacidade.




Por: Lucas Paglia e Giorgia Tranchitella