Tecnologia

Cookie notice: informar, obter e por fim coletar dados pessoais

Entender que cookies são dados pessoais e endereçar o cookie notice de forma mais completa é saudável para ambiente online

Imagem: topsimage.com

Desde que a GDPR “General Data Protection Regulation” entrou em vigor no dia 25 de maio de 2018, se tornou comum sites do mundo inteiro começarem a disponibilizar um cookie notice em suas páginas. Você já deve ter reparado naquele banner que fica fixo na tela indicando que o site está coletando cookies, certo?

Eles até podem passar despercebidos quando você simplesmente aceita as condições ou clica em fechar, mas eu te convido a refletir sobre três pontos: (i) O que são cookies?; (ii) Por que eles podem ser classificados como dados pessoais?; e (ii) O que as plataformas podem fazer para utilizar cookies em conformidade tanto com a GDPR, quanto com a Lei Geral de Proteção de Dados brasileira (LGPD)?

First of all! Cookies, o que é isso?

Cookies” são identificadores que podem ser gerados ou coletados a partir do navegador ou dispositivo que você usa, a fim de disponibilizar uma página para você acessar ou ainda identificar o seu perfil de navegação.

Em resumo, os cookies podem ser utilizados para diversas finalidades, as quais para fins de análise neste ensaio, vamos categorizá-las em: (i) “cookies operacionais, essenciais ou estritamente necessários”, utilizados para poder tornar aquela página visível para o usuário, de acordo com o sistema operacional do dispositivo conectado por exemplo: se você usa Android ou iOS muito provavelmente a resolução da “tela” seguirá especificações de cada um desses sistema operacionais; (ii) “cookies de análise ou analytics”, usados para medir audiência da página ou gerar estatísticas; ou, ainda (iii) “cookies de marketing”, utilizados para impactar audiência através de publicidade direcionada.

Por que os cookies podem ser classificados como dados pessoais?

Dados pessoais são informações relacionadas a uma pessoa natural que podem torná-la identificável ou identificada (art. 5, I da LGPD e 4(1) da GDPR). Neste ponto, é importante entender duas coisas: tanto a LGPD quanto a GDPR seguiram uma linha de interpretação expansionista em relação ao conceito de dado pessoal. De acordo com a teoria expansionista, dados pessoais são um conjunto de informações que quando reunidos podem individualizar alguém. Por exemplo, um cookie, que por meio de dados de navegação permite inferir perfis comportamentais (gostar de viagens), quando associado a outros dados, como um CPF, podem tornar uma pessoa identificável.

Por isso o vocábulo “identificável” e não apenas “identificada” que prescreve a definição de dado pessoal.

Achou complicado? Saiba que isso já foi tema de longos debates na União Europeia. Tanto que na Directive 95/46/EC e na Convenção 108+ do Conselho da Europa, não havia uma menção expressa reconhecendo o cookie como dado pessoal ou a indicação da necessidade da utilização de uma base legal antes da coleta deste tipo de informação. Contudo, após a aprovação da ePrivacy Directive e o endereçamento expresso desse assunto em uma emenda em 2009 (art. 5(3)), que ficou mais conhecida como “Cookie Law”, esse foi o entendimento consolidado pelas Autoridades Nacionais de Proteção de Dados dos países membros da UE, no caso, as DPA’s (Data Protection Authorities) e pelo grupo de trabalho formado por essas Autoridades, o Working Party 29.

A GDPR não tem uma menção expressa sobre o tema, mas contém fontes interpretativas da lei sobre dado pessoal e de bases legais que demonstram que deve haver o uso de uma das suas seis hipóteses para o tratamento de uma informação associada ao navegador, p. ex., cookies – identificadores online, artigo 4(1). Considerando que a LGPD seguiu a linha interpretativa da GDPR (que também foi influenciada pelo ePrivacy Directive), cookie no Brasil também tende a ser considerado dado pessoal, ainda mais mediante uma análise sistemática do Decreto Regulamentador do Marco Civil da Internet que exemplifica identificadores eletrônicos como exemplo de dado pessoal (artigo 14, I, Decreto n° 8.711/2016). Ao fim e ao cabo, o processamento de dados de navegação, através de cookies, deve ter lastro em uma base legal de uma lei de proteção de dados.

Cookies e suas prováveis bases legais: consentimento e legítimo interesse

Primeiro, bases legais são as hipóteses utilizadas para um tratamento válido de dados pessoais. A coleta é uma das várias atividades de tratamento de dados, assim como, o armazenamento, acesso, comunicação, transferência, etc. Portanto, para legitimar um tratamento adequado dos dados é necessário o lastro de uma base legal adequada. Importante ressaltar, que o processamento de dados pessoais não está associado ao uso de uma única hipótese legal, você – entidade pública ou privada – pode se valer de uma ou mais bases para o processamento de dados para uma ou mais finalidades.

Em ambas as leis, existe a indicação de que é necessária uma base legal para o tratamento de dados. O rol de bases legais é taxativo, portanto, é necessário se valer de uma das opções disponíveis para legitimar qualquer tratamento. Em contrapartida, a ePrivacy Directive somente associa os cookies à base legal do consentimento, e abre exceção do uso dessa hipótese para os cookies estritamente necessários. Complicado, não?

Considerando isso, vamos ao que interessa: qual é, enfim, a base legal adequada para o tratamento de dados pessoais através de cookies?

i) cookies estritamente necessários

Conforme vimos, para os cookies estritamente necessários não é necessário se valer da base legal do consentimento, e excluída esta, à luz da GDPR e da LGPD é necessário encontrar uma outra para fazer o tratamento deles. Nesse caso, qual seria? Dentro do rol existente a base legal que mais tende a ser utilizada é a do legítimo interesse. Mesmo existindo um conflito interpretativo na comunidade europeia, sobre cookies e legítimo interesse, o que nos levaria a uma interessante discussão acadêmica, à nível Brasil essa nos parece ser a hipótese mais adequada.

O legítimo interesse é uma das 10 bases legais disponíveis na LGPD e uma das 06 bases da GDPR, e é utilizado para avaliar e balancear as expectativas dos titulares de dados, quanto a um produto ou serviço, com os interesses dos agentes de tratamento no fornecimento desses. Para ter certeza de que é possível se valer dessa base, deve-se aplicar o teste de proporcionalidade (ou balanceamento) (art. 10, § 2º da LGPD) e assegurar que não haja violação de direitos e garantias individuais do titular.

ii) cookies de análise e de marketing

Por outro lado, no caso de cookies de análise e de marketing, que citei como exemplo, a base legal tende a ser a do consentimento. E aqui friso o “tende a ser”, porque para fins de marketing direto você pode se apoiar na base do legítimo interesse, contudo, para fins de marketing indireto, dependendo da cadeia de dados que está envolvida, será difícil o exercício de classificar o uso desses cookies como dentro das legítimas expectativas do titular, assim como, inseri-lo em outras das bases legais disponíveis. Isto é verificado principalmente no direcionamento da publicidade se dar através de uma rede de publicidade comportamental cujos seus membros são muitas vezes invisíveis para o usuário (marketing indireto ou targeting marketing). Ou seja, há um conjunto de variáveis nas diferentes técnicas e metodologias de monitoramento de navegação e direcionamento de publicidade que complexificam o exercício de escolha da base legal mais apropriada (consentimento ou legítimo interesse).

Nessa mesma linha, a IAPP (International Association of Privacy Professionals) vem se posicionando. Através de um cookies preferences, uma ferramenta na qual o usuário pode se informar melhor sobre o uso desses dados, e a qual possibilita o agente de tratamento obter o lastro da coleta, é possível fazer o opt-in para o uso dos cookies para essas finalidades. Opções pré-marcadas ou indicar só a opção de aceitar os cookies, sem dar ao titular o direito de se opor, tendem a ser formatos de cookie notice inadequados, e que provavelmente seriam avaliados como incorretos pelos órgãos fiscalizadores.

Mas no caso, e se o titular dos dados não consentir com a coleta dos cookies, seria possível mesmo assim coletar? Não, caso a única base legal seja a do consentimento. Tal tipo de tratamento de dados deveria estar apoiado em uma autorização válida por parte do seu titular, e o oposto a isso, é o que tem sido feito com os seguintes tipos de abordagens diferentes:

Coletamos cookies nesse site para melhorar a sua experiência como usuário e assim oferecer serviços personalizados para você”. Melhorar a experiência do usuário, por si só, não é uma finalidade válida, adequada e legítima de processamento de dados pessoais.

Caso você continue a rolar a nossa página ou permaneça nela, iremos presumir que você aceita que coletemos cookies”. Não existe consentimento presumido na legislação brasileira. O que temos hoje quanto ao consentimento, em serviços de Internet, é o Marco Civil da Internet, onde o consentimento deve ser livre, expresso e informado. Ou seja, é necessário haver uma ação afirmativa do titular.

Entender que cookies são dados pessoais e endereçar o cookie notice de forma mais completa é algo saudável para o ambiente online, uma vez que agrega mais transparência para o ecossistema como um todo. Esse é, vale dizer, um dos princípios da legislação cuja aplicação independe da base legal que legitime o tratamento de dados. Dessa forma, é importante que esse assunto seja cada vez mais compreendido e endereçado de maneira correta por todos os agentes desta cadeia de tratamento de dados, a fim de compreender que os cookies não são apenas aqueles pacotinhos de dados que servem pra tracking, mas sim que tendem a atrair a aplicação de leis gerais de proteção de dados pessoais e, com isso, toda a sua carga regulatória. Vamos começar?