“Nosso site utiliza cookies para melhorar a navegação, clique aqui para alterar as preferências ou aqui para aceitar todos”
Este aviso tem aparecido com muita frequência em todos os tipos de sites, desde blogs, passando por sites de bancos, lojas online e até sites do governo. Aparentemente todas essas empresas estão se adequando à LGPD, porém 99% dos sites que usam estes avisos estão errados. Vamos demonstrar que esta prática não é uma exigência da lei e que existe algum tipo de efeito manada acontecendo.
No final do artigo, temos os 5 erros mais comuns que as empresas cometem, incluindo os problemas nos pop-ups de consentimento que levaram o grupo Carrefour a receber uma multa de 3 milhões de euros pelo uso indevido dos cookies.
O que é um cookie?
Um cookie de HTTP (cookies de internet, cookies do navegador, ou apenas cookie) é um pequeno texto que pode ser armazenado no computador do usuário, pelo navegador web, enquanto este está navegando em um site.
Os cookies foram projetados como uma forma confiável para os sites se lembrarem de informações, mesmo que o navegador seja fechado (como itens de um carrinho de compras em uma loja online) ou para registrar a atividade de navegação do usuário, incluindo quais páginas foram visitadas no passado. Eles também podem ser usados para lembrar as informações que o usuário inseriu anteriormente nos campos do formulário, como nomes, endereços, senhas e números de cartão de pagamento, etc.
Os cookies desempenham funções essenciais na internet. Talvez a mais importante seja a autenticação dos usuários, pois os cookies são o método mais comum utilizado por sites para saber se o usuário está conectado ou não e com qual conta ele está conectado. Sem esse mecanismo, o site não saberia se deve enviar uma página contendo informações confidenciais ou exigir que o usuário se autentique fazendo login.
E qual a relação entre os cookies, os avisos de cookies e a LGPD?
Primeiramente vamos entender quando começaram a aparecer os avisos de cookies na internet.
Em 2002 (e alterada em 2009) a União Europeia aprovou a Diretiva de Privacidade Eletrônica (e-Privacy Directive 2009/136/EC), que trata especificamente sobre as regras relativas à confidencialidade das comunicações eletrônicas, monitoramento e rastreamento de usuários na internet. Ela ficou conhecida como a “Lei dos cookies”, pois o efeito imediato foi a proliferação de pop-ups de consentimento de cookies em muitos sites pela internet.
A e-Privacy Directive exige o consentimento dos usuários finais para a colocação de cookies e tecnologias semelhantes para armazenar e acessar informações nos equipamentos dos usuários. Em particular, o Artigo 5, parágrafo 3, determina que o armazenamento de dados no equipamento de um usuário só pode ser feito se o usuário receber informações sobre como esses dados são usados, e o usuário tiver a possibilidade de negar essa operação de armazenamento:
“Os Estados Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva 95/46/CE, nomeadamente sobre os objetivos do processamento. Tal não impede o armazenamento técnico ou o acesso que tenha como única finalidade efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrônicas, ou que seja estritamente necessário ao fornecedor para fornecer um serviço da sociedade da informação que tenha sido expressamente solicitado pelo assinante ou pelo utilizador.”
Observe que a diretiva regula quaisquer dados armazenados pelo provedor de serviços no equipamento (computador ou dispositivo móvel) do usuário final. Os cookies podem ser o tipo mais comum de armazenamento de dados, mas não são os únicos. Este é um escopo muito mais amplo do que apenas “cookies de internet” comumente entendidos.
Também é importante destacar que a diretiva não proíbe o uso de cookies – no entanto, exige que os usuários finais sejam totalmente informados sobre sua finalidade e dêem o seu consentimento.
Porém a diretiva não traz uma definição do que seria “estritamente necessário ao fornecedor para fornecer um serviço”. Essa indefinição levou o Grupo de Trabalho do Artigo 29 (Art. 29 WP), que era um órgão consultivo composto por um representante da autoridade de proteção de dados de cada Estado-Membro da UE, a publicar o Opinion 04/2012 on Cookie Consent Exemption, um parecer com os entendimentos e as recomendações específicas em relação aos cookies. Vale lembrar que os pareceres emitidos pelo Art. 29 WP, refletem apenas as opiniões do Art. 29 WP (que atuava em caráter consultivo e de forma independente), portanto não refletem a posição da Comissão Europeia.
Neste parecer, ficou definida a orientação geral para a classificação de cookies primários ou de terceiros, estritamente necessários, cookies de “entrada do usuário”, cookies de autenticação e segurança, cookies de personalização, cookies de rastreamento, publicidade e marketing, cookies de estatísticas e análises.
A partir desse momento, os pop-ups de consentimento de cookies se proliferaram pela internet. Esses pop-ups geralmente contém botões de opção para que o usuário possa escolher quais cookies ele aceita que sejam coletados, e geralmente são separados em cookies estritamente necessários (onde não é possível demarcar), cookies primários, cookies de publicidade, cookies de funcionalidade, cookies de desempenho, cookies de terceiros, etc.
Não podemos confundir os pop-ups de consentimento com o aviso de privacidade. O aviso de privacidade é um documento externo à organização, direcionado ao titular que descreve como a organização coleta, usa, compartilha, retém e divulga os dados pessoais dos titulares com base na política de privacidade da organização, que podem estar contidos nos pop-ups de consentimento de cookies ou não.
A existência de avisos de privacidade podem corresponder à concretização do princípio da transparência previsto no art. 6º, inciso VI da LGPD. O aviso de privacidade não é meio de coleta de consentimento – é uma declaração da empresa.
É interessante notar que no mesmo parecer, o Art. 29 WP orienta que se um site usa vários cookies ou cookies que abrangem várias finalidades, isso não significa que deva apresentar um “banner” separado ou solicitação de consentimento para cada cookie ou propósito. Um único ponto de informações e consentimento, apresentados de forma clara e abrangente, são suficientes na maioria dos casos.
O grupo ainda alerta que o risco para a proteção de dados vem dos propósitos de processamento, e não das informações contidas no cookie. Em última análise, é, portanto, o propósito e a implementação ou processamento específico sendo alcançado que deve ser usado para determinar se um cookie pode ou não ser isento de consentimento, de acordo com os critérios da diretiva.
A União Europeia está preparando novas regras para proteger a privacidade online, com objetivo de substituir a e-Privacy Directive de 2012. As novas regras acompanharão a reforma mais ampla das leis de proteção de dados atuais, de forma a complementar a GDPR. As propostas foram publicadas em um projeto de regulamento em 10 de janeiro de 2017 e contêm disposições específicas sobre cookies, marketing online e utilização de conteúdos e metadados num contexto mais amplo do que a diretiva anterior, de forma a contemplar empresas OTT (over the top) como YouTube, Netflix e WhatsApp. Além de propor dobrar o valor máximo das multas atuais.
Na GDPR, em seu artigo 30, temos a definição de identificadores online para criação de perfil e identificação, sendo o único ponto da lei a falar explicitamente sobre Cookies. Ela define que as pessoas físicas podem estar associadas a identificadores online fornecidos por seus dispositivos, aplicativos, ferramentas e protocolos, como endereços de protocolo de internet, identificadores de Cookies ou outros identificadores, como etiquetas de identificação por radiofrequência. Isto pode deixar vestígios que, em particular quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para criar perfis de pessoas singulares e identificá-las.
Portanto, se a sua empresa, mesmo sediada no Brasil, oferecer produtos ou serviços disponíveis online com pagamentos em euros, ou processando vários pedidos de indivíduos dentro da União Europeia e enviando esses produtos ou serviços para eles, deve estar em conformidade com as leis acima.
E o que a LGPD fala sobre os Cookies?
A resposta para a pergunta acima é um sonoro “NADA”. Porém o entendimento da e-Privacy Directive, traz o conceito de Cookies e tecnologias semelhantes; na GDPR temos o texto Cookies ou outros identificadores, e como falamos anteriormente:
Os cookies podem ser a forma de armazenamento de dados de identificação online mais comum e difundida, mas não são os únicos (e não sabemos quais novas formas serão criadas no futuro, como o FLoC, que deve substituir os cookies de terceiros que serão desativados em 2024 pelo Google Chrome).
Como apresentado pelo entendimento do Art. 29 WP. Cookies representam a forma como os dados são capturados e o cookie em si ou a informação contida nele não representa risco na maioria dos casos. Portanto, acertadamente, a LGPD dispõe sobre o tratamento de dados pessoais, nos meios físicos e digitais, sob a luz da essência sobre a forma, mantendo-se agnóstica em relação à tecnologia, abrangendo dessa forma as novas tecnologias de coleta e tratamento que ainda serão criadas.
A LGPD inclusive expande os limites da Lei nº 12.965/2014 (Marco Civil da Internet), que traz em seu texto os direitos e garantias dos usuários de internet. Em seu Art. 7º, VII, a lei garante ao usuário o não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei.
Assim como aconteceu com a e-Privacy Directive, o Marco Civil da Internet também conta com um problema de interpretação: o que são dados pessoais?
Olhando sob a ótica da forma, cria-se o problema de interpretar se um cookie pode ser caracterizado ou não como um dado pessoal, e consequentemente se o consentimento para seu uso deve ser solicitado.
A LGPD por sua vez traz o preenchimento dessa lacuna com seus fundamentos e princípios nos artigos 2º e 6º. E definindo corretamente qual o escopo dos dados pessoais.
Para a LGPD, dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável.
Aqui podemos verificar a aplicação da essência sobre a forma, pois não importa qual a forma de captura da informação ou mesmo se a informação não foi capturada, mas foi gerada por inferência de outras informações relacionadas a uma pessoa natural.
Na essência, se for possível relacionar um dado à uma pessoa, independente da forma que esse dado foi obtido, este dado deve ser tratado dentro do escopo da LGPD. A lei ainda define as hipóteses permitidas para o tratamento dos dados pessoais.
A LGPD, muitas vezes é chamada de GDPR Brasileira. Esse conceito traz alguns falsos entendimentos. O primeiro deles é que a legislação sobre privacidade europeia obriga a solicitação do consentimento do usuário para o uso de cookies ou tecnologias semelhantes, independentemente se o dado capturado por esse cookie estiver relacionado ou não à pessoa natural.
Já na LGPD se um site utiliza cookies, por exemplo para gerar estatísticas de acessos onde os dados estão agregados ou anonimizados e não é possível relacioná-los à uma pessoa em particular, estes dados não são alvo do escopo da LGPD, portanto, neste caso, nenhum consentimento precisa ser coletado, e na prática, nem o pop-up avisando que o site utiliza cookies é necessário.
Neste momento você poderia pensar:
- “Já que todos os sites estão colocando esse pop-up de consentimento de cookies, também vou colocar.”
- “Como minha empresa ainda não fez o mapeamento dos dados e não sei direito para que os cookies são usados, na dúvida é melhor pedir o consentimento e pecar pelo excesso.”
Essas conclusões podem parecer corretas à primeira vista, mas se não forem analisadas as consequências impostas pela própria LGPD, ao se optar pela hipótese de tratamento do consentimento, você pode acabar gerando provas sobre o não cumprimento da própria LGPD. Então uma escolha que seria para evitar uma eventual multa, pode se tornar rapidamente a fonte da multa.
Precisamos lembrar que a LGPD em seus Art. 7º, 11º, 14º, estabelece quais são as hipóteses, ou as bases legais que permitem o tratamento dos dados pessoais. O consentimento é uma dessas hipóteses. A empresa deve analisar a natureza do tratamento dos dados que pretende realizar e encaixar na hipótese de tratamento que melhor atenda ao respeito à privacidade, à autodeterminação informativa e preserve os princípios e os direitos e liberdades fundamentais dos titulares. Após essa análise, a empresa pode chegar à conclusão de que a melhor hipótese de tratamento é o consentimento. Note que, neste caso, o consentimento será pedido porque a natureza do tratamento que será realizado com o dado capturado por meio do cookie, requer um consentimento, e não porque a empresa utiliza cookies em seu site.
Estando os cookies classificados conforme suas finalidades, é necessário escolher a base legal para fundamentar sua utilização. Como na LGPD não há nenhuma referência aos cookies, o controlador poderá escolher qualquer base legal para fundamentar a atividade de tratamento referente aos dados coletados pelos cookies.
Novamente não podemos nos prender à forma, pois existem meios e técnicas de rastreamento que não utilizam cookies, e o fato de uma empresa não utilizar cookies em seu site não a isenta da responsabilização pelo eventual mau uso dos dados dos titulares.
Agora que a empresa optou por pedir o consentimento, vamos analisar o que é consentimento e suas implicações.
No Art. 5º, XII da LGPD temos:
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Ou seja, o titular deve ter todas as informações sobre o uso dos dados para poder manifestar sua vontade, que deve ser livre. Dessa forma, a lei não contempla a opção de consentimento automático ou obrigatório. Lembrando que o ônus da prova de que o consentimento foi obtido em conformidade com a LGPD é da empresa controladora.
A maioria dos sites utiliza em seus pop-ups a forma da legislação da União Europeia, e como vimos, apesar das legislações serem parecidas, elas não são idênticas. A começar pela inexistência de uma normativa específica sobre cookies na legislação brasileira.
Vamos elencar alguns problemas que temos visto em sites brasileiros com pop-ups de consentimento de cookies, com foco na LGPD:
1. Ausência de finalidade específica.
Quando o site pedir o consentimento do usuário para armazenar cookies, o mesmo deve informar explicitamente e de forma clara qual a finalidade da coleta do determinado dado. Porém, na maioria das vezes, fica claro que são utilizados textos genéricos sobre a finalidade nos pop-ups. Isso evidencia que o mapeamento de dados não foi feito, e provavelmente a empresa não sabe o motivo da coleta daquele dado ou mesmo se ela precisa dele.
Como dissemos, o importante é analisar a natureza do tratamento do dado. A informação no cookie em si é quase irrelevante, mas por meio dele é possível inferir as preferências políticas, religiosas e sexuais do titular, assim como problemas de saúde, etc, apenas analisando as páginas que ele acessa.
O que diz a lei:
Art. 8 § 4º. O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
Art. 9 § 1º. Na hipótese em que o consentimento é requerido, este será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
2. Vício de consentimento.
Quando o site exibe o pop-up de consentimento para o usuário, ao clicar em preferências (opções, customizar, etc.), a grande maioria dos sites exibe todas as opções marcadas, ou seja, mesmo sendo a primeira vez que o usuário está visitando o site da empresa, as informações pelas quais ele deve decidir se quer compartilhar ou não, já estão sendo gravadas mesmo sem o consentimento explícito do titular.
O que diz a lei:
Art. 8º § 3º. É vedado o tratamento de dados pessoais mediante vício de consentimento.
3. Tratamento sem permissão.
Existe outro cenário que complementa o vício de consentimento, que também acontece em diversos sites. Mesmo o pop-up mostrando as opções iniciais desmarcadas ou após o titular desmarcar as opções de consentimento dos cookies, eles continuam sendo gravados e as informações continuam sendo coletadas. Estas informações podem ser facilmente verificadas, pois todos os navegadores possuem ferramentas para inspeção dos cookies que o site grava e qual a comunicação de rede que está sendo realizada.
Neste caso, a infração é o tratamento baseado em consentimento que continua sendo realizado mesmo depois da oposição formal do titular.
Tanto o vício de consentimento como o tratamento sem permissão são exemplos de como o titular poderia facilmente coletar provas explícitas sobre o descumprimento da lei.
Essas duas práticas levaram o Grupo Carrefour a sofrer uma infração de 3 milhões de euros em novembro de 2020.
4. Direitos dos titulares.
A LGPD prevê nove direitos dos titulares que a empresa controladora dos dados deve atender a qualquer momento. Mas em relação aos cookies destacamos os seguintes:
Art. 18, VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
Art. 19 § 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
Dessa forma, a empresa que pediu o consentimento deve garantir que os dados serão salvos em um formato que permita gerar essa cópia para o titular ou a eliminação desses dados. Além dos dados gerados pelos cookies próprios, a empresa precisa garantir que os terceiros que o titular autoriza no pop-up de consentimento no site, também tenham condições de atender a estas solicitações. Lembrando que a responsabilidade por compilar os dados dos terceiros e entregá-los ao titular é da empresa controladora.
Caso a empresa não consiga atender às solicitações, estará cometendo uma infração, que também é relativamente simples para o titular reunir provas sobre o descumprimento da lei.
5. Cookies estritamente necessários.
Por último, e talvez o item que mostre a maior influência e confusão dos pop-ups de consentimento baseados no entendimento do Art. 29 WP sobre a e-Privacy Directive da União Europeia: Os cookies estritamente necessários ou cookies obrigatórios que aparecem marcados (sem possibilidade de desmarcá-los) nos pop-ups de consentimento.
Como dissemos antes, a e-Privacy Directive obriga que todos os cookies sejam gravados apenas após o consentimento do usuário, independentemente se este cookie está relacionado à identificação da pessoa natural ou não. Mas alguns cookies são importantes para o funcionamento do site e sem estes o próprio site não funcionaria.
Podemos citar como exemplo um site dentro de um serviço de load balance com afinidade. Um cookie que guarde a informação do servidor de origem pode ser mandado ao navegador para que as páginas subsequentes voltem ao mesmo servidor. Desta forma, se este cookie não for gravado, o próprio site não funcionaria. Porém no contexto Brasileiro esta informação não é um dado pessoal, portanto não é objeto da LGPD.
Outro exemplo seria um cookie que guarde a autenticação do usuário. Da mesma forma, se um usuário não aceitar gravar o cookie, o site não saberia que o usuário está logado, não podendo enviar ao usuário o conteúdo correto. Neste caso é um dado pessoal e objeto da LGPD.
Nestes exemplos, segundo a mesma e-Privacy Directive, temos os cookies que devido à sua natureza são dispensados de consentimento. O correspondente disso na LGPD seria um tratamento de dados dispensado de base legal, o que não existe. Todos os dados pessoais devem ser tratados dentro das bases legais permitidas na lei.
O uso de pop-ups de consentimento de cookies pró-forma, pode ser encarado como uma prática de má-fé e como forma de induzir o titular ao erro, violando os princípios, e os direitos e liberdades fundamentais dos titulares.
Como você pode perceber, uma simples decisão de colocar um pop-up de consentimento de cookies no site pode gerar um passivo legal, caso não seja analisada profundamente a natureza do tratamento dos dados, as ações a serem tomadas e suas consequências. O risco é maior quando são utilizados modelos pré-prontos, importados de outras legislações, sem a devida análise e adequação aos processos e à realidade da empresa. Por isso, o mapeamento dos processos que utilizam dados pessoais tem papel fundamental para todas as empresas.
O projeto de adequação da LGPD é essencialmente multidisciplinar, acima de tudo é um projeto feito sob medida para a empresa, e precisa ser acompanhado por um time composto por profissionais qualificados ou consultorias especializadas, que vão garantir o sucesso da implementação, permitindo que a empresa colha os benefícios de reputação e imagem, credibilidade no mercado, confiança dos clientes, fortalecimento das relações comerciais, e captação de investimentos.
Este artigo não se propõe a ter a ultima palavra, mas nosso objetivo é evidenciar o quanto as empresas estão negligenciando partes extremamente importantes da legislação de privacidade brasileira. Lembrando que cabe à ANPD elaborar pareceres sobre o entendimento e a aplicação da LGPD. E caso ela se pronuncie sobre o assunto, vamos atualizar este artigo.
Atualização
Sobre o Ofício nº 6/2022/CGTP/ANPD/PR da ANPD com as recomendações para a adequação do Portal Gov.br, recomendamos a leitura do artigo LGPD e Cookies: fundamentos técnicos e regulatórios para uma abordagem coerente no Brasil que contém uma análise detalhada sobre o ofício e comenta como mesmo a ANPD acabou fazendo confusão nas suas recomendações.
Precisa de um sistema para gerenciar seu programa de privacidade? Conheça a LGPD Azul.
Este artigo foi escrito em parceria com:
Maria Cristina Fleming
Advogada especializada em Proteção de Dados e Direito Digital. Certificada como Data Protection Officer (DPO) e na ISO 27001 pela Exin. Certificada como Profissional Gestor de Privacidade pela TIExames. Pós-graduada em Advocacia no Direito Digital e Proteção de Dados pela EBRADI. Gestora de Privacidade | Membro ANPPD® | Membro ANADD | Consultora em Fleming Consultoria.
Referências:
https://www.fastcompany.com/90229646/heres-how-gdpr-is-already-changing-web-design
https://gdpr.eu/cookies/
https://edps.europa.eu/data-protection/our-work/subjects/eprivacy-directive_en
https://en.wikipedia.org/wiki/HTTP_cookie
https://webcookies.org/doc/eu-web-cookies-directive
https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/
https://ec.europa.eu/newsroom/article29/items/59485
https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/what-are-cookies-and-similar-technologies/
https://gdpr.eu/recital-30-online-identifiers-for-profiling-and-identification/
https://www.linklaters.com/en/insights/publications/tmt-news/tmt-news—june-2017/eu—status-of-the-proposed-eprivacy-regulation-tighter-cookie-rules-and-more
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.cnil.fr/fr/node/120644
