"Nosso site utiliza cookies para melhorar a navegação", "Ao continuar navegando neste site, você concorda com o uso destes cookies" e "Clique para aceitar nossos cookies" são algumas das frases que têm aparecido com frequência, em pequenas janelinhas na página da internet, quando o internauta acessa um site novo ou quando volta a acessá-lo depois de algum tempo. Isso ocorre porque está em vigor no Brasil desde 2020 a Lei Geral de Proteção de Dados (LGPD), que estabeleceu algumas regras para a proteção de informações pessoais na internet.
Entre outras determinações, a lei estipula que páginas que exercem qualquer atividade comercial na internet precisam solicitar o consentimento do usuário para coletar informações sobre a sua navegação, além de deixarem claro de que forma pretendem utilizar os dados coletados — como, por exemplo, exibir anúncios com base nos interesses do indivíduo. Como pode haver multas para quem não seguir as normas de tratamento de informações, os sites tem reforçado suas políticas de cookies e os pedidos de permissões aos usuários nos últimos meses.
Para explicar a relação entre cookies, privacidade dos usuários e a LGPD, GZH conta com a colaboração de Maurício Castro, especialista em segurança da informação na Girardi Brasil, e de Anderson Pereira de Andrade, advogado e especialista em proteção e privacidade de dados na GetPrivacy.
A função dos cookies
Os cookies são arquivos que ficam salvos no navegador utilizado para acessar a internet. Esses arquivos armazenam diferentes informações e dados do usuário, como login, sua forma de navegar, quanto tempo permaneceu na página, que páginas do site foram visitadas e informações digitadas em algum formulário do site. É esse armazenamento em cookie que permite algumas comodidades, como a experiência de voltar a acessar o site e já estar logado, encontrar a página já no idioma de preferência, encontrar no carrinho de compras do e-commerce itens que haviam sido colocados lá há algum tempo etc. Esse monitoramento também fornece insights importantes para que os gerenciadores do site possam melhorar a navegabilidade de suas plataformas. Mas é importante saber que essas informações também podem e são utilizadas com o objetivo de direcionar anúncios e propagandas aos usuários.
— O site coleta informações do usuário para que o proprietário tenha condições de facilitar uma melhor navegabilidade naquele serviço e também levar anúncios para o usuário. Toda a motivação dos cookies é coletar dados do usuário para fins de funcionamento, de acessibilidade e de publicidade — afirma Anderson.
Por causa destes fins, a recomendação dos especialistas é de que o internauta leia com atenção o conteúdo das políticas de privacidade divulgadas nos websites para entender como seus dados serão armazenados pelos cookies, como serão utilizados pelo website e para eventualmente recusar usos que considerar inadequados. Não é recomendável clicar direto em "Aceitar os cookies" antes de dar uma boa olhada no que se trata.
Por que os sites estão avisando sobre os cookies
Os avisos estão aparecendo nos sites porque algumas plataformas gradualmente se adequando à Lei Geral de Proteção de Dados, que determina que toda pessoa física ou jurídica que oferta serviços ou produtos na internet seja disciplinada na forma como tratará os dados das pessoas. A lei veio para "colocar regras no jogo", observa Andrade, estabelecendo princípios como o da boa-fé e da transparência, que, no caso dos cookies, significa expor exatamente quais são as informações que serão armazenadas, qual a finalidade dessa retenção de dados e pedir o consentimento do usuário para usar suas informações pessoais.
— O que o cookie faz? Quanto tempo os dados ficam armazenados? É preciso fornecer essas informações e dar a opção para o usuário decidir se quer aceitar todos os cookies, parte deles ou nenhum — afirma o especialista em privacidade de dados.
O que diz a LGPD
Tanto a LGPD como a GDPR, regulamentação criada pela União Europeia em 2016 e na qual a lei do Brasil se inspira, regulam como devem ser tratados dados "identificáveis" e "sensíveis" na internet. Segundo Castro, são considerados dados identificáveis informações como nome, CPF, endereço — um conjunto de dados que levem à identificação de um determinado indivíduo. Já os dados sensíveis são aqueles únicos de cada pessoa, como etnia, orientação sexual, preferência política, geolocalização e preferências de navegação. Um cookie é considerado um dado sensível e por isso está enquadrado dentro da LGPD mesmo que não citado diretamente no texto.
— A LGPD não tem nenhum artigo que mencione os cookies, mas é abrangente pela maneira como trata dos dados identificáveis e sensíveis. Como o cookie é um dado sensível, ele entra na LGPD e está submetido às suas regras— afirma o especialista em segurança da informação.
A forma como as plataformas comprovam que estão informando os usuários sobre seus cookies é pedindo o seu consentimento por meio das janelinhas de "aceite nossos cookies", "leia nossa política de privacidade". Muitas empresas estão se mobilizando para se adequar à lei, pois estão previstas sanções para quem infringi-la. Os valores previstos na LGPD vão de 2% do faturamento da plataforma ao teto de R$ 50 milhões. Mas somente pessoas físicas ou jurídicas que comercializam produtos ou serviços estão sujeitas às sanções.
No entanto, explica Castro, a lei brasileira prevê a chamada responsabilização solidária, o que quer dizer que, se um site sofrer vazamento de dados, todos os envolvidos no compartilhamento de informações dentro dessa operação comercial serão considerados envolvidos no incidente e terão que responder à justiça. Em 2022, já há registros de autuações por descumprimento da LGPD sendo executadas pelo Procon, relacionadas ao mau uso de cookies, declaração ambígua ou incorreta de como os dados são tratados, coletas excessivas de informações, entre outros.
O que acontece quando os cookies são recusados
Quando o usuário lança mão de seu direito de recusar cookies, é possível que alguns sites não tenham sua melhor performance. No entanto, frequentemente é possível permitir alguns cookies e não permitir outros, como, por exemplo, permitir os que são relacionados ao funcionamento da página, mas recusar os que coletam informações para finalidade de publicidade, resguardando em parte a sua privacidade.
— Imagine que você está em um site pesquisando um sapato. Depois, você acessa uma de suas redes sociais e depara com um anúncio desse mesmo sapato. Isso ocorre porque um cookie coletou aquela informação do outro site e ela passou a ser utilizada em sua sua rede social. A melhor via de conversão monetária é saber o que o usuário pretende comprar. E como coletar isso sem ter que entrar em contato com a pessoa? Utilizando informações coletadas pelos cookies, que são mecanismos automatizados — afirma Castro.
Nem todos os sites estão exibindo os avisos de cookies da forma ideal, sendo transparentes com relação aos dados que coletam e de que forma os utilizam. Há algumas plataformas que limitam o aviso de cookies a "aceitar" ou "recusar", o que é incorreto do ponto de vista da lei, segundo Anderson Andrade. Isso ocorre porque a medida é recente e as plataformas ainda estão se adaptando a ela.
— Como a adequação à LGPD está ainda bastante incipiente, muitos desconhecem como fazer e muitos acham que estar adequado à lei é simplesmente exibir o aviso. É como pintar a faixada de um comércio mas, por dentro, estar tudo irregular. O correto é realmente ser transparente com o usuário para evitar problemas — conclui.
