BANNERS DE COOKIES: ELES SÃO MESMO NECESSÁRIOS NO BRASIL?

Talvez um dos pon­tos que mais tem ger­a­do ansiedade para as empre­sas no proces­so de con­formi­dade à leg­is­lação pro­te­ti­va de dados seja o da neces­si­dade ou não de inserir ban­ner de cook­ies no site. Cook­ies são pequenos arquiv­os de tex­to, colo­ca­dos em um com­puta­dor ou out­ro dis­pos­i­ti­vo, uti­liza­dos para iden­ti­ficar o usuário, o dis­pos­i­ti­vo uti­liza­do e para cole­tar infor­mações no site, como aque­las de navegação.

O movi­men­to que já era vis­to antes da entra­da em vig­or da Lei Ger­al de Pro­teção de Dados — LGPD (Lei nº 13.709/2018) — e que se inten­si­fi­cou des­de 18 de setem­bro de 2020 — mostra a pro­lif­er­ação de ban­ners que copi­am mod­e­los usa­dos inter­na­cional­mente, muitas vezes impor­ta­dos sem faz­er as pon­der­ações necessárias ou adap­tação ao con­tex­to brasileiro. O próprio site recém cri­a­do da Autori­dade Nacional de Pro­teção de Dados (ANPD) traz um banner.

Mas será que existe mes­mo a obri­ga­to­riedade no Brasil de uti­lizar esse tipo de avi­so no site?

Pode-se diz­er que exis­tem dois tipos de ban­ners de cook­ies: Cook­ies Con­sent e Cook­ies Notice. O primeiro con­siste em painel de geren­ci­a­men­to de cook­ies, por meio do qual os usuários podem escol­her (com exceção daque­les essen­ci­ais) se aceitam os cook­ies e de quais tipos. Ele é o mod­e­lo por excelên­cia usa­do na Europa, em razão da neces­si­dade de con­sen­ti­men­to para cook­ies — não pela Gen­er­al Data Pro­tec­tion Reg­u­la­tion (GDPR), mas sim pela e‑Privacy Direc­tive.

Já o segun­do — muito difun­di­do em país­es como os Esta­dos Unidos, que não esta­b­ele­cem o con­sen­ti­men­to como base legal para cook­ies, mas pre­vêem deveres de transparên­cia e infor­mação dos tit­u­lares — con­siste em avi­so sobre a uti­liza­ção da fer­ra­men­ta no site, tipos de cook­ies e out­ras infor­mações rel­e­vantes que pre­cisam ser esclarecidas.

No entan­to, con­sideran­do a leg­is­lação brasileira, nem a LGPD nem out­ros instru­men­tos legais e reg­u­latórios, como o Mar­co Civ­il da Inter­net (Lei nº 12.965/2014) e seu decre­to reg­u­la­men­ta­dor (Decre­to nº 8.771/2016), tratam especi­fi­ca­mente de cook­ies. E, por­tan­to, não há regras especí­fi­cas sobre lim­ites de cole­ta e trata­men­to de dados pes­soais por meio ou a par­tir dessa tec­nolo­gia, nem sobre como deve ocor­rer a infor­mação dos tit­u­lares a respeito do seu uso.

Assim, colo­can­do em out­ras palavras, não há obri­gação legal de que seja inseri­do ban­ner de cook­ies nos sites brasileiros. O que existe é a neces­si­dade de que as empre­sas respeit­em os fun­da­men­tos e princí­pios da lei.

Nesse sen­ti­do, o arti­go 2º da LGPD traz como fun­da­men­to da pro­teção de dados pes­soais a autode­ter­mi­nação infor­ma­ti­va e o dire­ito ao livre desen­volvi­men­to da pes­soa nat­ur­al. Por sua vez, o arti­go 6º esta­b­elece os princí­pios da final­i­dade, da ade­quação e da neces­si­dade, bem como o princí­pio da transparência.

Em con­jun­to, tais princí­pios lev­am à con­clusão de que o usuário tit­u­lar de dados pes­soais deve ser infor­ma­do de for­ma clara, pre­cisa e facil­mente acessív­el sobre as final­i­dades de trata­men­to, que, por sua vez, pre­cisam ser legí­ti­mas, especí­fi­cas, ade­quadas e uti­lizarem a menor quan­ti­dade pos­sív­el de dados. É impor­tante perce­ber, con­tu­do, que isso pode ser muito bem aten­di­do por meio da própria Políti­ca de Pri­vaci­dade do site, sendo desnecessário — na maio­r­ia dos casos — o uso de banners.

Ain­da assim, muitas empre­sas pref­er­em faz­er uso dessa modal­i­dade de avi­so, talvez por ain­da não ter­mos uma reg­u­la­men­tação especí­fi­ca pela ANPD. Nesse caso, não há um imped­i­men­to, mas seria inter­es­sante con­sid­er­ar ao menos duas questões rel­e­vantes: será que esse ban­ner não está atra­pal­han­do a exper­iên­cia do usuário? E será que é real­mente viáv­el a gestão dos cook­ies de for­ma coer­ente com o que está no avi­so, como por exem­p­lo, descar­regá-los na pági­na ape­nas depois do consentimento?

Faz­er essas pon­der­ações é impor­tante, pois, se o bench­mark está sendo Europa, as exper­iên­cias mais maduras vin­das de lá tam­bém pre­cisam ser con­sid­er­adas. E, ape­nas no final do ano pas­sa­do, a Com­mis­sion Nationale de l’Informatique et des Lib­ertés (CNIL) — autori­dade france­sa de pro­teção de dados — já mul­tou três grandes gru­pos com relação ao uso ou infor­mação inde­v­i­da sobre cook­ies: Car­refour, Google e Ama­zon.

O que fica claro, de um modo ger­al, é que a ade­quação à LGPD e a demais reg­u­la­men­tações sobre pro­teção de dados pes­soais não pode depen­der da adoção impen­sa­da de mod­e­los pron­tos. Cada empre­sa pre­cisa pen­sar nas par­tic­u­lar­i­dades do seu negó­cio e imple­men­tar soluções apro­pri­adas ao seu contexto.

Por isso, caso sua empre­sa pre­cise de ori­en­tação para se ade­quar à LGPD, o Assis e Mendes (www.assisemendes.com.br) con­ta com equipe espe­cial­iza­da em Pri­vaci­dade e Pro­teção de Dados, enga­ja­da em bus­car a mel­hor solução para o seu negócio. 

Letí­cia Crivelin