Divulgação das políticas de cookies e de privacidade em sites ainda é equivocada
Tornou-se comum que ao acessar a maioria dos sites surja uma caixa de mensagem com os dizeres “Aviso de Cookies” e a informação de que o acesso permitirá que dados relacionados ao seu computador serão coletados.
Os cookies são uma tecnologia por meio da qual se processa o armazenamento de informações no navegador e que permitem determinar a identidade pessoal do usuário. São arquivos de texto simples enviados pelo site ao navegador na primeira vez em que você o visita. Em próximos acessos, esse navegador reenvia os dados ao site para que suas informações sejam configuradas de forma automática. Isto torna a navegação mais prática, porém, inspira cuidados, justamente porque os dados podem ser compartilhados com outros sites.
Esses cookies são coletados para que o site (interpretado como “controlador” pela Lei Geral de Proteção de Dados) utilize esses dados na operação dos seus sistemas e forneça conteúdo personalizado para quem o acessa, ou seja, promoções, anúncios, além de conhecimento sobre comportamento, interesses, localização e muito mais.
A informação se completa com links para a política de privacidade e política de cookies, mas a navegação só ocorre se o usuário clicar em palavras como “Entendi”, “Concordo”, “Aceito” etc.
Ainda que o site informe sobre a política de cookies, nem todos permitem que o usuário escolha aqueles como os quais concorde que sejam mantidos. É bem verdade que existem cookies necessários para o funcionamento do site e essa é uma condição que deveria ser informada, pois existem outros tipos que também, a depender da avaliação do usuário, podem ser mantidos.
Entretanto, grande parte dos cookies são utilizados para a geração de anúncios e ofertas ao usuário, independentemente de haver interesse imediato sobre tais produtos.
Esse é o motivo pelo qual, quando consultamos no Google, por exemplo, determinada informação, imediatamente surgem em telas paralelas uma “chuva” de anúncios de produtos semelhantes.
A Lei Geral de Proteção de Dados (LGPD) não permite que a informação sobre cookies seja impositiva aos usuários da rede, na forma incondicional relatada.
Um site possui várias portas de tratamento de dados e não pode haver uma única manifestação do usuário, ainda que de forma correta, no aceite do uso de cookies: hospedagem do site, newsletter, blog, formulário, conta de usuário, loja (se for uma plataforma de e-commerce), compartilhamentos com as redes sociais (incluindo curtidas e postagens), Messenger e outros sistemas de mesma natureza.
Permissão de dados deve ser totalmente espontânea
A informação sobre cookies não está explicitada na LGPD, mas em seus princípios, a lei evidencia como deve ser o comportamento dos sites. Isso porque a lei exige transparência no tratamento de dados pessoais, o que está explícito no artigo 9º.
“O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso”
Isso inclui a existência de uma finalidade específica para o tratamento, a forma e duração deste tratamento, a identificação do controlador, informações sobre compartilhamento, direitos do titular de dados etc.
No parágrafo segundo desse artigo, a LGPD esclarece que será nulo o consentimento se as informações prestadas ao titular forem feitas de forma enganosa, abusiva ou não tenham sido apresentadas de forma prévia clara, inequívoca e com transparência.
Mais ainda: sempre que houver mudança na política de cookies ou na finalidade inicial e o tratamento passe a ser incompatível com o consentimento original, o titular deve ser informado sobre as mudanças e terá direito a revogar a anuência se não concordar com as alterações.
Essa condição vale para cada coleta de dados efetuada, conforme registrado anteriormente (hospedagem, newsletter, blog, loja, formulário), já que em cada uma ocorre tratamento de dados pessoais e, assim, a lei se aplica a elas especificamente.
Para cada coleta e tratamento, o correto é verificar que dados são reunidos, como são buscados, qual a finalidade em que a coleta se fundamenta, como serão utilizados, se houver compartilhamento com quem isso vai ocorrer, qual o tempo de armazenamento, quais e como serão efetuados controles sobre eles, ou seja, uma verdadeira varredura nos dados coletados, sob todas as formas, pelo site.
O que não pode mais continuar ocorrendo é a apresentação de mensagens com informações de que os dados serão utilizados para desenvolver novos serviços sem explicitar quais e qual a necessidade dos dados para esse desenvolvimento, para fins de investigação (qual e por quê?), para oferecer serviços personalizados (que personalização é essa?).
Outra recomendação é que o aviso de privacidade e sobre o uso de cookies seja feito para cada tipo de tratamento realizado: em cada ponto de coleta, de forma curta e objetiva, com dizeres de fácil entendimento, sucinto, com link para a política completa de privacidade caso o usuário tenha interesse em obter informações mais aprofundadas.
Por fim, os sites, como agentes de tratamento de dados, têm a obrigação de cumprir corretamente todas as diretrizes da LGPD: princípios, base legal, direitos dos titulares, além das medidas técnicas e administrativas de segurança e das boas práticas de governança.