20.08.2020 – Hoje já se fala de geolocalização por meio do rastreamento do telefone celular. Quem gostaria de ser rastreado 24 horas por terceiros com interesses que a pessoa rastreada desconhece? Esse é o papel do cookie, ou seja, trata-se de um arquivo de texto, que é enviado ao navegador existente no computador do usuário e que ficará lá instalado para ir capturando informações sobre os sites acessados pelo usuário, passando a identificar os seus gostos e preferências.
E o cookie ficará no computador do usuário até que o mesmo expire; prazo esse que pode variar consoante o programador, o qual pode inclusive não programar uma data de expiração. E o que o dono do cookie ganha com isso? Quando o usuário acessar novamente o site do cookie, ele irá compartilhar uma cópia do cookie com o site, que passará a saber por onde o usuário transitou pela internet durante todo esse tempo.
O marco civil da Internet – Lei 12.965 de 23 de abril de 2014 perdeu uma grande oportunidade de regulamentar o uso de cookies, preferindo o legislador normatizar o aceite pelo usuário da coleta, uso, armazenamento e tratamento de dados pessoais. O problema era a definição de dados pessoais. E até o advento da Lei Geral de Proteção de Dados (LGPD) – Lei 13.709 de 14 de agosto de 2018, cuja vigência está a ponto de ser decidida pelo Congresso Brasileiro nesse momento, o cookie não era considerado um dado pessoal, tendo em vista que ele sozinho seria incapaz de identificar o usuário.
Ocorre que a partir da vigência da LGPD, com o novo conceito atribuído a dado pessoal, como sendo a informação relacionada à pessoa natural identificada ou identificável, a associação do cookie, com um número de IP, um número de endereço MAC do equipamento utilizado pelo usuário ou ainda outro registro ou documento, pode identificar o usuário. Assim, o cookie passa a ser considerado um dado pessoal identificável. Da forma como encontra-se hoje a lei, sem sequer uma regulamentação sobre alguns aspectos relevantes, possivelmente essa questão irá depender da interpretação da Autoridade Nacional de Proteção de Dados – ANPD ou até mesmo da judicialização da questão e, por conseguinte, da decisão dos tribunais.
Como a LGPD é a irmã mais nova da General Data Protection Regulation – GDPR, regulamentação de proteção de dados vigente na União Europeia desde 25 de maio de 2018, com dispositivos, em sua maioria, bastante semelhantes, seria interessante examinar a questão sob o prisma das decisões ocorridas pelos órgãos reguladores dos respectivos Estados-membros, a respeito dessa questão. É importante salientar que não se discute na União Europeia a necessidade de obter o consentimento do usuário clicando na opção correspondente, caso o site visitado utilize cookies.
Vamos, portanto, rever algumas decisões interesses dos órgãos reguladores europeus em 2020:
| País | Autuado | Multa – € | Violação |
|---|---|---|---|
| 1. Espanha | Grow Beats SL | 3.000,00 | A empresa publicou uma política de cookies em seu site, que por um lado não continha nenhuma informação sobre a finalidade do uso de cookies e, por outro lado, nenhuma informação sobre as propriedades dos cookies instalados e o período de tempo durante o qual eles permanecem ativos no equipamento terminal do usuário final. |
| 2. Espanha | Just Landed S.L. | 3.000,00 | Informações de cookies insuficientes de acordo com as leis nacionais de proteção de dados e, ao mesmo tempo, advertida devido ao cumprimento insuficiente das obrigações de informação |
| 3. Espanha | Salad Market S.L | 3.000,00 | Multas por falta de informação suficiente sobre o processamento de dados em relação à vigilância por vídeo nas instalações comerciais e por informação insuficiente quando da utilização de cookies no seu site. |
| 4. Espanha | Solo Embrague | 1.800,00 | O site corporativo não apresentava política de privacidade ou banner de cookie em sua página principal. |
| 5. Espanha | Vueling Airlines | 30.000,00 | Por não dar aos usuários a possibilidade de recusar seus cookies e obrigá-los a usá-los se quiserem navegar em seu site. Ou seja, não era possível navegar na página da Vueling sem aceitar os seus cookies. |
| 6. Espanha | Ikea Ibérica | 10.000,00 | A empresa instalou cookies em um dispositivo terminal de usuário final sem o consentimento prévio do titular dos dados. |
É interessante o fato de que apenas o órgão regulador espanhol – Agencia Española de Protección de Datos – AEPD, em toda a União Europeia, aplicou sanções relacionadas a cookies, em 2020, até o momento da elaboração desse artigo.
As lições da AEPD referentes a cookies, apesar de serem endereçadas a empresas espanholas e sob a tutela da GDPR, não devem ser desprezadas por aqueles que serão regulados pela LGPD, ou seja:
| – Informação suficiente sobre a finalidade do uso de cookies. |
| – Informação sobre as propriedades do cookie e o tempo em que o mesmo permanecerá ativo. |
| – Falta de banner de cookie na página principal. |
| – Permissão de navegação no website, mesmo que haja recusa do usuário em aceitar cookies. |
Seja como for, as dicas acima deveriam ser adotadas por empresas que querem prevenir futuras autuações decorrentes de potenciais violações da LGPD, com referência a cookies.
Post Disclaimer
A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.
