20.08.2020 – Hoje já se fala de geolocalização por meio do rastreamento do telefone celular. Quem gostaria de ser rastreado 24 horas por terceiros com interesses que a pessoa rastreada desconhece? Esse é o papel do cookie, ou seja, trata-se de um arquivo de texto, que é enviado ao navegador existente no computador do usuário e que ficará lá instalado para ir capturando informações sobre os sites acessados pelo usuário, passando a identificar os seus gostos e preferências.

E o cookie ficará no computador do usuário até que o mesmo expire; prazo esse que pode variar consoante o programador, o qual pode inclusive não programar uma data de expiração. E o que o dono do cookie ganha com isso? Quando o usuário acessar novamente o site do cookie, ele irá compartilhar uma cópia do cookie com o site, que passará a saber por onde o usuário transitou pela internet durante todo esse tempo.

O marco civil da Internet – Lei 12.965 de 23 de abril de 2014 perdeu uma grande oportunidade de regulamentar o uso de cookies, preferindo o legislador normatizar o aceite pelo usuário da coleta, uso, armazenamento e tratamento de dados pessoais. O problema era a definição de dados pessoais. E até o advento da Lei Geral de Proteção de Dados (LGPD) – Lei 13.709 de 14 de agosto de 2018, cuja vigência está a ponto de ser decidida pelo Congresso Brasileiro nesse momento, o cookie não era considerado um dado pessoal, tendo em vista que ele sozinho seria incapaz de identificar o usuário.

Ocorre que a partir da vigência da LGPD, com o novo conceito atribuído a dado pessoal, como sendo a informação relacionada à pessoa natural identificada ou identificável, a associação do cookie, com um número de IP, um número de endereço MAC do equipamento utilizado pelo usuário ou ainda outro registro ou documento, pode identificar o usuário. Assim, o cookie passa a ser considerado um dado pessoal identificável. Da forma como encontra-se hoje a lei, sem sequer uma regulamentação sobre alguns aspectos relevantes, possivelmente essa questão irá depender da interpretação da Autoridade Nacional de Proteção de Dados – ANPD ou até mesmo da judicialização da questão e, por conseguinte, da decisão dos tribunais.

Como a LGPD é a irmã mais nova da General Data Protection Regulation – GDPR, regulamentação de proteção de dados vigente na União Europeia desde 25 de maio de 2018, com dispositivos, em sua maioria, bastante semelhantes, seria interessante examinar a questão sob o prisma das decisões ocorridas pelos órgãos reguladores dos respectivos Estados-membros, a respeito dessa questão. É importante salientar que não se discute na União Europeia a necessidade de obter o consentimento do usuário clicando na opção correspondente, caso o site visitado utilize cookies.

Vamos, portanto, rever algumas decisões interesses dos órgãos reguladores europeus em 2020:

PaísAutuadoMulta – €Violação
1. EspanhaGrow Beats SL
3.000,00
A empresa publicou uma política de cookies em seu site, que por um lado não continha nenhuma informação sobre a finalidade do uso de cookies e, por outro lado, nenhuma informação sobre as propriedades dos cookies instalados e o período de tempo durante o qual eles permanecem ativos no equipamento terminal do usuário final.
2. EspanhaJust Landed S.L.3.000,00Informações de cookies insuficientes de acordo com as leis nacionais de proteção de dados e, ao mesmo tempo, advertida devido ao cumprimento insuficiente das obrigações de informação
3. EspanhaSalad Market S.L3.000,00Multas por falta de informação suficiente sobre o processamento de dados em relação à vigilância por vídeo nas instalações comerciais e por informação insuficiente quando da utilização de cookies no seu site.
4. EspanhaSolo Embrague1.800,00O site corporativo não apresentava política de privacidade ou banner de cookie em sua página principal.
5. EspanhaVueling Airlines30.000,00Por não dar aos usuários a possibilidade de recusar seus cookies e obrigá-los a usá-los se quiserem navegar em seu site. Ou seja, não era possível navegar na página da Vueling sem aceitar os seus cookies.
6. EspanhaIkea Ibérica10.000,00A empresa instalou cookies em um dispositivo terminal de usuário final sem o consentimento prévio do titular dos dados.

É interessante o fato de que apenas o órgão regulador espanhol – Agencia Española de Protección de Datos – AEPD, em toda a União Europeia, aplicou sanções relacionadas a cookies, em 2020, até o momento da elaboração desse artigo.

As lições da AEPD referentes a cookies, apesar de serem endereçadas a empresas espanholas e sob a tutela da GDPR, não devem ser desprezadas por aqueles que serão regulados pela LGPD, ou seja:

– Informação suficiente sobre a finalidade do uso de cookies.
– Informação sobre as propriedades do cookie e o tempo em que o mesmo permanecerá ativo.
– Falta de banner de cookie na página principal.
– Permissão de navegação no website, mesmo que haja recusa do usuário em aceitar cookies.

Seja como for, as dicas acima deveriam ser adotadas por empresas que querem prevenir futuras autuações decorrentes de potenciais violações da LGPD, com referência a cookies.

Post Disclaimer

A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.

Deixe uma resposta