Aviso de cookies - qual modelo adotar?

A ANPD emitiu um ofício recomendando ao Portal Gov.br o cumprimento de disposições da LGPD acerca do uso de cookies. Foram identificados dois pontos de atenção: o primeiro diz respeito ao banner de aviso de cookies, aquele que aparece imediatamente após o site ser acessado e, o segundo, sobre a política de privacidade de cookies.

Apesar dos apontamentos terem sido direcionados especificamente ao portal do governo, é esperado que o mesmo critério seja aplicado às pessoas jurídicas de direito privado.

Mas o que são "cookies"? Sintetizando, são arquivos criados pelos sites para armazenar as informações de navegação do usuário. O acesso ao site serve de gatilho para a criação desses arquivos que capturam informações de todos os tipos. São armazenadas informações relativas à maneira como os usuários utilizam as ferramentas disponíveis pelo site, o que pode proporcionar uma melhora do seu desempenho, data e horário de acesso, IP's, geolocalização e, principalmente, preferências do usuário.

A criação de cookies está relacionada com os objetivos de uso das informações, o que determina a sua categoria. Há cookies que são 1. necessários para manter a funcionalidade e aprimorar o 2. desempenho do site. Outros são destinados à 3. publicidade, quando são utilizados dados relativos aos interesses do usuário. E há também os cookies de 4. terceiros, que são criados por sites diferentes daquele acessado e que rastreiam as informações.

Ocorre que não há um dispositivo na LGPD que regule tema tão específico e, por isso, a autoridade nacional precisou interpretar o texto legal, o que resultou no seguinte entendimento: a base legal para o tratamento de dados pessoais através de cookies é o consentimento, nos termos mencionados no art. 5º, inciso XII, da LGPD, que é a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada".

Essa é a mesma versão adotada pela União Europeia. O EDPB - European Data Protection Board, conselho europeu de proteção de dados, emitiu uma guideline, em maio de 2020, onde fez correlações sobre o uso do consentimento à captura de dados através de cookies. Cabe ressaltar que o consentimento também é uma base legal prevista no GDPR - General Data Protection Regulation,  regulamento europeu de proteção de dados, cuja definição foi incorporada pela LGPD.

O EDPB diz que o consentimento só é livremente prestado quando oferecer uma escolha genuína ao titular de dados, que o coloque na posição de controle do processamento da informação. Se há múltiplas operações de tratamento de dados, o consentimento deve ser oferecido a cada uma delas, pois prevalece o conceito da granularidade, que garante ao titular o direito de escolher qual processamento de dados ele quer autorizar, individualmente.

Nesse contexto e diante das diversas categorias de cookies existentes, a conclusão lógica é a de que o consentimento deve ser oferecido a cada uma delas, sendo necessário que os sites informem quais dados são coletados em cada categoria. Além disso, para que a escolha seja, de fato, livre, nenhuma das opções deve estar previamente marcada, pois é desejada uma "ação" do titular (opt-in).

Assim, a orientação emitida pela ANPD estabelece que o aviso de cookies passe a ter as seguintes características:

1. Divisão de banners em dois níveis, sendo que no primeiro deve haver um botão "rejeitar todos os cookies" de fácil acesso;

2. No segundo nível, as categorias de cookies devem estar individualizadas;

3. O padrão deve ser o opt-in (consentimento) para cada categoria;

É importante salientar que os cookies classificados como "necessários" independem de consentimento, porque sem eles o site não cumpre o seu papel, e a prestação de serviço se torna deficiente. Por exemplo, os cookies utilizados para armazenar os itens no carrinho de compra são necessários, porque sem eles não há como processar a compra. Aliás, por uma questão de coerência, se o site só utilizar cookies necessários, o banner de aviso acaba sendo dispensável, pois não haverá nada com o que consentir.

Tal procedimento já é aplicado pelas autoridades de proteção de dados da França (CNIL) e Irlanda (DPC). Seus websites armazenam apenas cookies necessários e, por isso, nenhum banner é disponibilizado no momento do acesso e as informações são comunicadas na política de privacidade, garantindo transparência aos titulares.

É certo que essas recomendações que restringem o uso de cookies para captar dados, desde que implementadas, deverão impactar diretamente o desenvolvimento de produtos e serviços e a prospecção de novos clientes, pois o volume de dados a que as empresas terão acesso poderá diminuir drasticamente. E a razão será a facilidade que o usuário terá de rejeitar todos os cookies e continuar navegando, uma vez que o botão de rejeição estará em evidência. O principal interesse de quem acessa um site é interagir com o seu conteúdo e, se a cada acesso o titular tiver que ler, identificar a categoria e gerenciar a coleta de cookies, é possível que ele, simplesmente, rejeite-os na totalidade.

É fato, também, que um percentual baixíssimo de pessoas lê políticas de privacidade. Há pesquisas que falam em 9% dos usuários da internet. E se ninguém lê, com o que as pessoas estão consentindo? Provavelmente, com o que não conhecem e, neste sentido, as recomendações da ANPD estão ajustadas a garantir a proteção de dados dos titulares, pois aquele que não tem interesse em conhecer a política de tratamento de dados, melhor que tenha a opção acessível de "não ter seus dados coletados".

Muito embora as normas de privacidade se proponham a proteger os dados do titular, o seu cumprimento é direcionado para as pessoas jurídicas ou físicas, controladoras de dados, pois são elas que têm interesse no uso da informação. E, neste sentido, é diligente que estejam encarregadas de criar mecanismos tecnológicos que inibam o titular de fornecer dados de forma impulsiva e desatenta e busquem uma ação consciente, ainda que isso represente um obstáculo na captura de dados.

Assim, a implementação do modelo de aviso de cookies recomendado pela ANPD tem o potencial de evitar que o usuário troque a sua privacidade pelo acesso rápido aos sites e as empresas que estiverem alinhadas a esse modelo irão demonstrar que tratam dados apoiadas em boas práticas de privacidade, valorizando a marca, elevando a reputação e fortalecendo a confiança do cliente.