COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de Proteção de Dados >
  4. Cookies: doces ou travessuras na LGPD

Cookies: doces ou travessuras na LGPD

sexta-feira, 29 de janeiro de 2021

Atualizado às 08:52

O que são esses cookies?

Os cookies são o nome genérico para os pequenos arquivos de dados deixados nos nossos computadores quando visitamos algum site. Os cookies foram projetados para serem um repositório confiável para armazenamento de dados de operações que realizamos na web. Por exemplo, os cookies podem armazenar nosso login, os itens de um "carrinho virtual de compras", nossa preferência pelo idioma de um site, entre outros. Na navegação web os cookies são muito úteis como, por exemplo, em sites de serviços como os da Google. Se estamos usando o Gmail, por exemplo, e optamos por criar uma planilha usando o serviço Planilhas Google (Google Sheets), não precisamos entrar com a senha novamente. Para isso os cookies lembram nossos nomes de usuário e nossas senhas.

Os cookies são essenciais no mundo da web para proporcionar uma navegação mais fluida, mais agradável e desembaraçada. Nestes termos, os cookies de autenticação são os mais utilizados atualmente pois eles armazenam as informações que mostram se estamos logados ou não num website enquanto, por exemplo, visitamos momentaneamente outra página.

Bem, podemos falar mais de outros tipos de cookies mais adiante, mas, por hora, vale a pergunta:

Devo me preocupar com esses cookies ou não?

Sinto dizer que sim. O nome 'cookie' é charmoso, mas sua utilização muitas vezes passa ao largo deste prestígio. A própria história dos cookies na Computação já começa estranha. Eles foram criados e utilizados pela primeira vez em outubro de 1994 pelo navegador Mosaic Netscape mas o grande público só soube de sua existência em fevereiro de 1996 depois de um grande alarde da imprensa o que provocou até audiências na poderosa Federal Trade Commission dos EUA, a agência independente que também atua como um serviço de proteção ao consumidor.

Hoje os cookies podem e devem, por obrigação da Lei Geral de Proteção de Dados, obedecer a todos os preceitos da lei. No entanto, talvez por causa de sua natureza abstrusa, por momentos falsamente recatada, verificar o conteúdo de cookies, o que eles armazenam e compartilham, não é considerada uma tarefa relevante. Vejamos agora as principais características que podem estar associadas a cookies e como elas podem ou não impactar a proteção de dados do usuário.

Publicidade

Como visto no início de artigo, muitos alertas para cookies são diretos a esse ponto "Este website utiliza cookies e tecnologias semelhantes para recomendar conteúdo e publicidade." Essa mensagem não foi criada por mim. Esta frase é parte de uma mensagem inicial de um dos sites de conteúdo de mídia mais acessados do Brasil. Nesse mesmo site eles são claros em dizer que irão usar os seus dados para "empurrar" anúncios de produtos e serviços para os usuários. Ooops! Eu não contei que os cookies também servem para isso, não é? Pois é, além daqueles cookies que servem para gerenciar a sua entrada e permanência no site, os chamados cookies de autenticação e de sessão, existem também os cookies de personalização. Reforço que tanto os cookies de autenticação como os cookies de sessão podem ser classificados de cookies funcionais. Estes servem para melhorar a experiência de navegação do usuário e, como toda informação armazenada e utilizada pelo serviço, essa também deveria obter o consentimento livre e esclarecido do usuário. Procedimento que raramente vemos nos websites brasileiros.

Já os cookies de personalização armazenam todo tipo de preferência do usuário, não só como a moeda de negociação mostrada, por exemplo, nos preços dos produtos, mas também sobre os detalhes e características dos produtos que você mais consome, nas cores destes produtos, nas suas funcionalidades, entre outros. Armazenando esses dados no seu próprio computador o site poderá, numa próxima visita, oferecer-lhe produtos baseados nas suas escolhas anteriores. Complemento que, de maneira análoga, esse armazenamento de dados serve também para serviços em geral, desde streaming de músicas até serviços de hospedagem e hotelaria.

Um pouco de tecnicalidade

Os cookies são a memória da web. Eles armazenam senhas, números cartões, dados de compras anteriores, hiperlinks visitados, enfim, podem armazenar uma grande quantidade de informações. Tecnicamente um cookie pode armazenar até 4096 bytes, o equivalente a mais ou menos 4 mil caracteres. Quanto? Esse texto, até esse ponto tem um pouco mais de 4 mil caracteres. É isso que um cookie pode armazenar. É muita informação! Por padrão, todos os navegadores web devem manter até 50 cookies por site e armazenarem um mínimo total de até 3 mil cookies. Pergunto:
Mas nós precisamos de tantos cookies assim?

Talvez o usuário comum não necessite de tantos cookies assim para facilitar a sua navegação, mas não existem apenas os cookies primários. Como assim?
Os cookies podem também ser classificados de acordo com o seu serviço de origem, ou seja, entre cookies primários e cookies de terceiros. Os chamados cookies primários são os cookies criados pelo próprio website acessado, ou seja, pelo site exibido na barra de endereços. Por outro lado, os cookies de terceiros são os cookies criados por outros sites, por exemplo, sites de anunciantes, de patrocinadores, apoiadores e que também são armazenados no seu computador junto com os cookies primários. Saliento que muitos navegadores permitem o bloqueio de cookies de terceiros, mas poucos usuários conhecem esse recurso. Dada a existência desses cookies de terceiros, sabemos que existem sites que armazenam até 800 cookies no seu computador numa única visita e que, em média, os websites armazenam 10 cookies cada. Esse assunto está ficando cada vez mais sombrio, não!

Cookies usados para rastreamento

Suponha que você acabou de trocar o seu computador por outro "novinho em folha". Ele deve estar com a memória limpa de qualquer dado, a não ser o seu sistema operacional. Tão logo você o instala, você acessa seu navegar para o seu site favorito. O computador servidor deste site logo percebe que você requisitou uma página pela primeira vez usando essa máquina nova e que esta ainda não tem nenhum cookie armazenado. O servidor cria assim um identificador único (ID) para você, uma cadeia complicada de números e letras, manda a página web que você solicitou e manda também esse ID na forma de cookie o qual o seu computador gentilmente armazena. Aqui começa a história. Nas próximas visitas a esta mesma página o servidor deste site será seu "parceiro" de navegação. Ele irá armazenar neste cookie todas as suas páginas preferidas, os horários e dias que você visitou, eventualmente outras preferências suas, ou seja, terá o seu histórico de navegação nestes 4Kbytes de dados. E não se preocupe, o servidor é tão bonzinho que irá permitir que sites de anunciantes façam coisa parecida pois, eles têm certeza de que é pelo seu bem. Nessa simples viagem você poderá terminar seu passeio virtual com a sua máquina carregada com dezenas ou centenas de cookies. Legal, não?!
Ah! E tem mais, o periódico Wall Street Journal há tempos já anunciou que os top 50 websites dos EUA armazenavam uma média de 64 cookies cada um, de um total de 3.180 cookies coletados [RAINIE & WELLMAN, 2012], os quais depois podem ser vendidos, leiloados ou simplesmente usados por outras empresas. Bacana, não?!

Segundo o artigo de URBAN e seus colegas da Westphalia University of Applied Sciences Gelsenkirchen [URBAN, 2020], na Alemanha, 99% dos cookies são usados para rastrear usuário ou para anunciar. Ainda, 72% dos cookies são usados por usuários de quarta ordem, ou seja, são "colegas dos colegas" do site que você visitou. Algo similar a famosa expressão "O amigo do amigo do meu pai". Um reforço nesse ponto.  Estes mesmos autores também acharam muitos cookies de terceira ordem que permitem inclusão de "cargas secretas", como por exemplo Trojans que são softwares malware tipo Cavalo de Tróia, ou seja, um tipo de praga computacional que pode acabar com seus dados no computador. 

Cookies na GDPR e na LGPD

Talvez a GDPR tendo percebido todas essas potencialidades boas e más dos cookies tenha até citado esse tipo de armazenamento diretamente no Recital 30. Lembro todos que a GDPR é constituída de dois componentes majoritários, os artigos e os recitais. Os artigos descrevem os requisitos legais a serem seguidos pelas organizações e indivíduos, enquanto os recitais proporcionam informações adicionais e de suporte aos artigos.

A GDPR em seu Recital 30 diz:

"Pessoas físicas podem estar associadas a identificadores on-line fornecidos por seus dispositivos, aplicativos, ferramentas e protocolos, como endereços de protocolos da Internet, identificadores de cookies ou outros identificadores, como etiquetas de identificação por radiofrequência. Isso pode deixar rastros que, em particular quando combinados com identificadores exclusivos e outras informações recebidas pelos servidores, podem ser usados para criar perfis das pessoas físicas e identificá-los."

Ocorre que os cookies são um artefato tecnológico, talvez um dos muitos que entram em cena por um tempo e se rarefazem com o tempo. Hoje existem algumas alternativas aos cookies, tais como os JSON web tokens e os serviços de web storage do HTML5, a linguagem padrão de escrita das páginas web. Dadas essas condições, penso que o legislador acertou em não ter incluído os cookies como artigos da GDPR, o que também foi seguido na LGPD. De forma análoga esperamos que os documentos advindos da Autoridade Nacional de Proteção de Dados, ANPD, possam também tratar dos cookies.

Hoje, como usuários da web e como cidadãos resta-nos alertar que cabe ao usuário da web o domínio sobre seus dados. Cabe ao usuário permitir ou não o uso de cookies, cabe a ele ser informado sobre a real utilidade e finalidade desses cookies como qualquer outro dado armazenado em seu computador ou em outro dispositivo (o dado é seu!), cabe saber por quanto tempo ele é armazenado e como o usuário pode apagar esses dados. Cabe a ele a ciência se esses dados são compartilhados, quais são os dados compartilhados e com quem são compartilhados, como também cabe ao usuário ter o controle desse compartilhamento. Raramente vemos Termos de Uso e funcionalidades nos sites que permitem todas essas prerrogativas da lei. Somos todos cientes que o combustível da web são os dados pessoais, mas, como usuários, devemos escolher quais tanques vamos encher.

____________

RAINIE, Harrison; WELLMAN, Barry. Networked: The new social operating system. Cambridge, MA: MIT Press, 2012. P. 237

URBAN, Tobias et al. Beyond the front page: Measuring third party dynamics in the field. In: Proceedings of The Web Conference 2020. 2020. p. 1275-1286.