Por Luís Fernando Prado (*)
Nos últimos meses, notamos no Brasil que os provedores de aplicações de internet, como uma das medidas para adequação à LGPD, resolveram adotar barras de cookies em seus sites. Uma barra de cookies, embora pareça um detalhe, uma vez adotada, torna-se o principal cartão de visita de qualquer empresa em relação ao tema privacidade e proteção de dados.
Precisamos lembrar que, assim como eu e você, a Autoridade Nacional de Proteção de Dados (ANPD), autoridades de defesa do consumidor, juízes e desembargadores também acessam sites e a primeira coisa que examinarão será a tal da barra de cookies, se existente. Sobre esse tema, tenho percebido inúmeras confusões do mercado ao implementar barras de cookies e/ou pedidos de consentimento para sua ativação, o que me fez ter a ideia de reunir abaixo os principais ingredientes das indigestas saladas que vêm sendo criadas.
Estamos adicionando uma pitada de “copia e cola” do que vimos lá fora
A ampla proliferação de barras de cookies é tendência copiada dos sites destinados ao público europeu, vez que, na União Europeia, existe diretiva específica que dispõe sobre a necessidade do consentimento prévio à ativação de cookies e tecnologias de rastreamento (ePrivacy Directive, tecnicamente também conhecida como "Cookie Law"). Já no Brasil, assumindo que a LGPD traz mais opções de embasamento legal para o tratamento de dados que não apenas o consentimento previsto no Marco Civil da Internet, podemos afirmar que não há obrigação expressa de coleta de consentimento antes da ativação de cookies. Isso significa que, em muitos casos, feitas as devidas ponderações, o legítimo interesse pode ser a justificativa legal mais indicada para coleta de dados via cookies (não devemos simplesmente copiar e colar todas as estratégias que vimos na Europa).
Mesmo assim, muitas empresas no Brasil vêm adotando o consentimento em detrimento ao legítimo interesse quando o assunto é a coleta de dados via cookies não essenciais para o funcionamento do site. Ok, não há, obviamente, nada de ilegal em se pedir o consentimento nesse caso, o que, para alguns, pode soar até como a alternativa mais conservadora e protetiva aos titulares. O problema de se adotar o consentimento quando ele não for necessário é que, na prática, é muito difícil de se ver um pedido de consentimento adequado, nos termos da LGPD. Isso ocorre não por má-fé da empresa controladora dos dados, mas pela dificuldade de se garantir atendimento a todos os requisitos que a lei nos traz.
De toda forma, se a sua empresa vai utilizar um cartão de visitas virtual para o tema de privacidade como uma barra de cookies contendo pedido de consentimento, há de se tomar cuidado para que o cartão de visitas não vire um cartão vermelho. Entre um pedido de consentimento inválido e a utilização da base legal do legítimo interesse, a segunda alternativa parece mais apropriada, tanto para a empresa como para os titulares de dados.
Estamos incluindo uma boa dose de consentimento estragado
Se sua empresa segue o caminho do consentimento para cookies não essenciais, é necessário ter cautela para que tal pedido não revele baixa maturidade no tema.
Aqui vai uma dica de aplicação imediata: risque já do seu caderno as frases abaixo:
- Utilizamos cookies e tecnologias semelhantes de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições
- Ao continuar navegando você concorda com a política de cookies e privacidade
- Este site utiliza cookies e outras tecnologias semelhantes para melhorar a sua experiência, de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições.
Afirmações como essas, embora comuns, indicam total desconhecimento da legislação brasileira de proteção de dados. Nos termos da LGPD, consentimento é “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, sendo que as declarações acima são incompatíveis já com o primeiro requisito do consentimento que é listado pela LGPD: o de ser livre.
Ora, se para continuar usando o site o usuário precisa aceitar tacitamente ser submetido a uma tecnologia de rastreamento (não essencial para o funcionamento da aplicação), o consentimento não é livre. Portanto, do ponto de vista jurídico, frases como as mencionadas devem ser imediatamente abolidas, pois, para além de não serem úteis aos titulares de dados, colocam em xeque o nível de maturidade da organização no tema. Aos olhos das autoridades competentes (e de qualquer pessoa bem instruída no tema de privacidade), significam pontos negativos contra a própria empresa.
Estamos acrescentando uma colher de incoerência com a matriz de riscos adotada pela empresa
Para terminar essa miscelânea de ingredientes indesejados na salada dos cookies, há outro ponto bastante importante a ser observado: a possível incoerência que a estratégia de coleta de consentimento poderá revelar em relação à gestão de risco da empresa em matéria de privacidade. Me explico melhor: pode ser extremamente arriscado, do ponto de vista de estratégia de compliance, coletar consentimento para uso de cookies não essenciais enquanto sua empresa adota o legítimo interesse em atividades até mais “polêmicas”, que passam pelo uso de tecnologias e dados que sequer estão suscetíveis a pedido prévio de consentimento.
Inclusive, vale lembrar que os cookies são mecanismos um tanto quanto ultrapassados quando o assunto é medição de audiência, rastreio de usuários e obtenção de métricas de acesso e consumo. Muitas empresas hoje apostam em técnicas muito mais sofisticadas de fingerprinting, geolocalização e até mesmo sensores relacionados à IOT que captam dados de aparelhos celulares em ambientes físicos, como lojas e centros comerciais.
Se de um lado, em seu site, a empresa adota a estratégia “conservadora” de, supostamente, mitigar riscos à privacidade adotando o consentimento (via de regra, inválido) para cookies não essenciais, como explicará que, de outro, está coletando inúmeros outros dados para fins similares, a partir de estratégias mais “ousadas” e enquadrando tais atividades como legítimo interesse? Ou seja: como defender o legítimo interesse naquilo que é potencialmente mais arriscado e menos transparente ao titular dos dados se, para os velhos conhecidos cookies, a empresa está adotando o consentimento? Estamos, portanto, diante de uma incongruência arriscada, que pode levantar a seguinte dúvida: há, de fato, governança e processos de gestão de riscos em privacidade naquela empresa?
E qual a receita ideal?
Bom, se até o momento este texto focou nos ingredientes que não devem fazer parte da salada de cookies que o mercado vem criando, nada mais justo do que tentar esboçar a receita - bastante introdutória - para um prato mais equilibrado e de facilitada digestão:
1- Desapegar do consentimento
Muita gente acha que usar a base legal do consentimento é mais “seguro” do que partir para o legítimo interesse, sendo que o que vimos aqui mostra que isso não é verdade. Há inúmeros fatores complicadores na coleta de consentimento para utilização de cookies não essenciais (sendo certo que muitos deles sequer foram abordados neste texto, que não se propõe a ser um guia completo sobre o assunto). Da forma como comumente vem sendo “obtido”, o consentimento não é útil à empresa para resguardo jurídico, muito menos para a tutela dos interesses dos titulares dos dados pessoais. O legítimo interesse, por outro lado, pressupõe reflexão sobre transparência e essencialidade dos dados coletados, além de impor ônus à empresa controladora dos dados no que se refere ao dever de responsabilização e prestação de contas (accountability).
2- Aplicar o legítimo interesse
O uso do legítimo interesse é, ressalvadas peculiaridades de situações específicas, viável para a coleta de dados via cookies que visem à “promoção de atividades do controlador" (expressão extraída da própria LGPD). No entanto, é certo que, como qualquer aplicação de legítimo interesse, algumas cautelas são necessárias, nos termos do artigo 10 da LGPD: (i) a finalidade precisa ser legítima, (ii) os dados deverão ser minimizados (de acordo com o estritamente necessário para a finalidade pretendida) e (iii) devem ser adotadas medidas que garantam transparência. Aliás, a transparência é tão importante que merece tópico próprio, como exposto a seguir.
3- Garantir a necessária transparência
A ausência de coleta de consentimento não afasta o dever da empresa controladora de dados pessoais de ser transparente em relação a qualquer atividade de tratamento de dados pessoais. Pelo contrário, a transparência há de ser inclusive reforçada quando a base legal for o legítimo interesse. Portanto, utilizando-se os meios e os recursos que forem mais convenientes e eficazes (seja via barra informativa ou não), deve o titular saber sobre a utilização ou não de cookies (e demais tecnologias de rastreamento).
Para finalizar...
Em conclusão, se o tema dos cookies pode parecer (e de fato é) um detalhe no contexto do programa de privacidade de uma empresa, devemos ter claro que esse detalhe funciona como cartão de visitas, inclusive e principalmente para as autoridades ligadas à proteção de dados pessoais. Que a nossa estratégia para lidar com os cookies seja, de fato, um bonito cartão de visitas, e não um convite a investigações - até porque não seremos bons anfitriões servindo apenas uma salada com ingredientes estragados.
(*) Luís Fernando Prado é advogado, professor, mestre em Direito Digital pela Universidade de Barcelona, especialista em Propriedade Intelectual pela FGV-SP, certificado pela International Association of Privacy Professionals (IAPP) e sócio do escritório Prado Vidigal, especializado em Direito Digital, Privacidade e Proteção de Dados.