terça-feira, 7 de julho de 2020

ISSN 1983-392X

German Report
Karina Nunes Fritz

Uso de cookies requer consentimento ativo do usuário

terça-feira, 21 de janeiro de 2020

Não existe nada mais cômodo do que inserir e salvar seus dados pessoais apenas uma vez em um site de compras, pois a partir daí o internauta fica livre da chatice de ter que digitar tudo novamente nas futuras compras.

Isso é feito graças à existência de arquivos que armazenam dados do visitante nos sites, chamados de "cookies".

Os cookies são arquivos de textos de internet, enviados pelo site ao navegador, que armazenam (aparentemente) temporariamente os dados do internauta quando ele está na rede.

Parece não haver limites acerca de quais informações podem ser captadas e armazenadas nos cookies.

De fato, eles podem registrar endereço de e-mail, nome, localização do usuário, mas também logins e senhas, as preferências de pesquisa no Google ou outro site de busca, as páginas que você visitou enquanto navegava, os produtos ou serviços pelos quais se interessou, se adquiriu algum deles, etc.

E é aqui que mora o perigo, pois ele capta inúmeros dados dos usuários, inclusive dados pessoais.

Por conta disso, o Tribunal de Justiça Europeu (TJE), no final de 2019, decidiu que o internauta precisa ser alertado de que seus dados serão coletados por meio de cookies e que ele concorda ativamente, marcando o quadradinho autorizativo do uso dos cookies, para que a coleta e processamento dos dados seja feita validamente.

Dito em outras palavras: o site não pode fornecer o consentimento já marcado, de forma que o usuário, para desautorizar o uso dos cookies, precise desmarcar a autorização pré-agendada.

Era o que acontecia no site da Planet49, um site de jogos online na Alemanha. Para o internauta participar do jogo, ele tinha que informar o nome e endereço completo, incluindo o CEP. Mas não só.

Abaixo desses campos, em destaque, haviam duas caixas de informações.

A primeira, autorizava que os “patrocinadores e parceiros de cooperação” da Planet49 enviassem, por meio físico ou digital, ofertas de seus produtos e serviços. Para isso, o internauta tinha que marcar o quadradinho com um "check", manifestando sua concordância.

A segunda, contudo, já vinha pré-validada e autorizava o organizador do jogo a instalar cookies, depois da inscrição no jogo, a fim de realizar uma avaliação dos hábitos de navegação do usuário para possibilitar uma publicidade orientada a seus interesses. Para evitar o uso dos cookies, o usuário precisava desmarcar a autorização.

A participação no jogo só era possível se, pelo menos, a primeira autorização fosse consentida, isto é, se o internauta autorizasse o envio de publicidade pelos patrocinadores e parceiros da Planet49.

Por conta disso, a Associação Nacional de Defesa dos Consumidores moveu ação contra a Planet49 GmbH alegando que a concordância para coleta, armazenamento e processamento de dados estava sendo feita de forma irregular, pois não cumpria os requisitos exigidos pelo § 307, inc. 1 e 2 do BGB, § 12 da Lei de Telecomunicações Eletrônicas e § 7, inc. 2 da Lei Antitruste.

O processo na Alemanha

Em primeira instância, o juízo da Comarca de Frankfurt am Main julgou parcialmente procedente o pedido.

O Tribunal de Justiça (Oberlandesgericht Frankfurt a.M.) julgou improcedente o pedido por entender que era suficiente a possibilidade do usuário desmarcar a autorização para uso dos cookies, até porque o site dava informações clara e suficientes a respeito de sua utilização.

O caso subiu para a corte infraconstitucional – Bundesgerichtshof (BGH) – por meio do recurso de Revision.

Como o Tribunal achou que o desfecho do processo dependia da interpretação do art. 5, n. 3 e art. 2, alínea f, da diretiva 2002/58, bem como do art. 2, alínea h, da Diretiva 95/46 e do art. 6, n. 1, alínea a, do regulamento 2016/670, submeteu um questionamento ao TJE.

Em síntese, o BGH queria saber se: (1) a coleta, armazenamento e processamento de informações recolhidas pelos cookies seria validamente autorizada pelo usuário quando sua concordância viesse pré-validada no site, devendo o mesmo desmarcá-la para negar o consentimento; (2) se o prestador de serviços deveria informar a duração do funcionamento dos cookies e que terceiros a eles teriam acesso.

A decisão do TJE

Trata-se do processo TJE C-673/17, julgado em 1º/10/19.

Inicialmente, o Tribunal considerou que a coleta de nome e endereço completo por meio de cookies já traduz um tratamento de dados pessoais.

De acordo com o art. 5, n. 3 da diretiva 2002/58, o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um usuário só é permitido se esse tiver dado seu consentimento prévio, com base em informações claras e completas, principalmente sobre os objetivos do processamento.

Uma interpretação literal da expressão "dar consentimento" implica, segundo o TJE, necessariamente em uma ação do usuário apta a exprimir seu consentimento. Isso decorre da interpretação sistemática do art. 17 da diretiva 2002/58 c/c art. 2, alínea h, da Diretiva 95/46, que define consentimento como "qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento"1.

Nesse sentido, a Corte foi expressa em afirmar que "a exigência de uma 'manifestação` de vontade da pessoa em causa aponta claramente para um comportamento ativo, e não passivo. Ora, um consentimento dado através de uma opção pré-validada não implica um comportamento ativo por parte do utilizador de um sítio Internet."2.

Essa interpretação é corroborada pelo art. 7, alínea a, da diretiva 95/46, que exige que o consentimento do internauta seja dado de "forma inequívoca" e, para o TJE, apenas um comportamento ativo, de assinalar conscientemente a autorização de coleta e processamento de dados, pode ser visto como feito de modo inequívoco.

Do contrário, seria impossível verificar objetivamente, na prática, se um usuário deu seu consentimento para o tratamento de seus dados pessoais, exceto se ele desmarcou a opção pré-validada, quando então comprovadamente o recusou.

Impossível, ainda, determinar se esse consentimento foi dado de modo informado, pois o usuário pode não ter lido a informação que acompanha a opção pré-validada ou sequer ter percebido essa opção, antes de prosseguir sua atividade no site.

Dessa forma, concluiu a Corte, o fato do usuário ativar o botão de participação no jogo organizado pela Planet49 é insuficiente para afirmar que ele deu validamente seu consentimento para a colocação de cookies.

É necessário, ao contrário, "uma manifestação de vontade 'livre, específica, informada e explícita` do titular dos dados, sob a forma de uma declaração ou de um 'ato positivo inequívoco`, que constitui a sua aceitação do tratamento dos dados pessoais que lhe dizem respeito."3.

O TJE salientou, ainda, que todas as informações coletadas e armazenadas requerem concordância inequívoca do usuário, mesmo as que não digam respeito a dados pessoais, nos termos do art. 5, n. 3 da diretiva 2002/58, pois o fim da norma é proteger os usuários de qualquer intromissão em sua esfera privada, independentemente dessa intromissão dizer respeito – ou não – a dados pessoais.

Para a Corte, todas as informações armazenadas no equipamento terminal dos usuários de internet – independente de se tratar ou não de dados pessoais – constituem parte integrante da esfera privada do usuário e devem ser protegidas.

Em resposta ao segundo questionamento feito pelo BGH, o TJE afirmou que é necessário que o site, organizador do jogo, informe ao usuário a duração do funcionamento dos cookies, bem como a possibilidade ou não de terceiros terem acesso a esses cookies para que cumpra o dever de fornecer previamente informações claras e completas, imposta pelo art. 5, n. 3 da diretiva 2002/58.

Aliás, o art. do art. 10 da diretiva 95/46 enumera algumas informações que o responsável pelo tratamento dos dados deve prestar ao titular dos dados coletados, como a identidade do responsável pelo tratamento, as finalidades do tratamento a que os dados se destinam, os destinatários ou categorias de destinatários dos dados, etc.

Essa enumeração não é, contudo, exaustiva, mas meramente exemplificativa, disse o TJE, acrescentando que, embora a duração do tratamento dos dados não conste do rol de informações, é evidente que ela tem que ser comunicada.

Do contrário, estar-se-ia autorizando um funcionamento longo ou mesmo ilimitado dos cookies, o que, por sua vez, implicaria na coleta de numerosas informações sobre os hábitos de navegação dos usuários.

Dessa forma, o Tribunal concluiu afirmando que o prestador de serviços é obrigado a informar ao usuário, dentre outras coisas, que irá utilizar os cookies, prazo de duração ou, não sendo possível, os critérios para se definir esse prazo, bem como quais terceiros terão acesso aos dados coletados.

A relevância da decisão

A decisão da Corte Europeia tem grande importância, pois põe freio à coleta indiscriminada de dados dos usuários ne internet. Esses autorizam muitas vezes a coleta de dados para acessar o conteúdo de uma página, ler uma notícia, adquirir um produto ou participar de jogos online.

Nesse sentido, ela vai munir os Estados-Membros e as agências reguladoras de base jurídica para exigir dos prestadores de serviços a observância – e punir a inobservância – das normas de proteção de dados.

A Corte, contudo, não enfrentou a questão importantíssima de saber até que ponto pode-se falar em consentimento livre e informado se o usuário precisa concordar com a coleta de dados, feita por meio de cookies, para acessar o conteúdo de uma página.

De qualquer forma, o problema da tutela contra a coleta indiscriminada de dados precisa entrar na pauta do Judiciário brasileiro, pois esse controle ainda é incipiente por aqui.

___________

1 Nesse sentido, a decisão TJE C-673/17, p. 12.

2 TJE C-673/17, p. 12.

3 TJE C-673/17, p. 13.

Karina Nunes Fritz

Karina Nunes Fritz, é doutora (summa cum laude) pela Humboldt Universität de Berlim (Alemanha). Prêmio Humboldt de melhor tese de doutorado na área de Direito Civil (2018). LL.M na Friedrich-Alexander Universität Erlangen-Nürnberg (Alemanha). Mestre em Direito Civil pela PUC/SP. Secretária-Geral da Deutsch-lusitanische Juristenvereinigung (Associação Luso-alemã de Juristas), sediada em Berlim. Diretora Científica da Revista do Instituto Brasileiro de Estudos sobre Responsabilidade Civil (IBERC). Foi pesquisadora-visitante no Bundesverfassungsgericht (Tribunal Constitucional Alemão) e bolsista do Max-Planck Institut für ausländisches und internationales Privatrecht (Hamburgo). Professora, Advogada e Consultora. Facebook: Karina Nunes Fritz. Instagram: @karinanfritz15

Cadastre-se para receber o informativo gratuitamente

WhatsApp Telegram