{"id":38120,"date":"2020-12-10T11:37:42","date_gmt":"2020-12-10T14:37:42","guid":{"rendered":"https:\/\/www.rhevistarh.com.br\/portal\/?p=38120"},"modified":"2020-12-10T11:37:42","modified_gmt":"2020-12-10T14:37:42","slug":"lgpd-e-as-saladas-de-cookies","status":"publish","type":"post","link":"https:\/\/www.rhevistarh.com.br\/portal\/lgpd-e-as-saladas-de-cookies\/","title":{"rendered":"LGPD e as saladas de cookies"},"content":{"rendered":"
\"Lu\u00eds<\/a>
Lu\u00eds Fernando Prado<\/figcaption><\/figure>\n

Nos \u00faltimos meses, notamos no Brasil que os provedores de aplica\u00e7\u00f5es de internet, como uma das medidas para adequa\u00e7\u00e3o \u00e0 LGPD, resolveram adotar barras de cookies em seus sites. Uma barra de cookies, embora pare\u00e7a um detalhe, uma vez adotada, torna-se o principal cart\u00e3o de visita de qualquer empresa em rela\u00e7\u00e3o ao tema privacidade e prote\u00e7\u00e3o de dados.<\/p>\n

Precisamos lembrar que, assim como eu e voc\u00ea, a Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD), autoridades de defesa do consumidor, ju\u00edzes e desembargadores tamb\u00e9m acessam sites e a primeira coisa que examinar\u00e3o ser\u00e1 a tal da barra de cookies, se existente. Sobre esse tema, tenho percebido in\u00fameras confus\u00f5es do mercado ao implementar barras de cookies e\/ou pedidos de consentimento para sua ativa\u00e7\u00e3o, o que me fez ter a ideia de reunir abaixo os principais ingredientes das indigestas saladas que v\u00eam sendo criadas.<\/p>\n

Estamos adicionando uma pitada de \u201ccopia e cola\u201d do que vimos l\u00e1 fora<\/strong><\/p>\n

A ampla prolifera\u00e7\u00e3o de barras de cookies \u00e9 tend\u00eancia copiada dos sites destinados ao p\u00fablico europeu, vez que, na Uni\u00e3o Europeia, existe diretiva espec\u00edfica que disp\u00f5e sobre a necessidade do consentimento pr\u00e9vio \u00e0 ativa\u00e7\u00e3o de cookies e tecnologias de rastreamento (ePrivacy Directive, tecnicamente tamb\u00e9m conhecida como “Cookie Law”). J\u00e1 no Brasil, assumindo que a LGPD traz mais op\u00e7\u00f5es de embasamento legal para o tratamento de dados que n\u00e3o apenas o consentimento previsto no Marco Civil da Internet, podemos afirmar que n\u00e3o h\u00e1 obriga\u00e7\u00e3o expressa de coleta de consentimento antes da ativa\u00e7\u00e3o de cookies. Isso significa que, em muitos casos, feitas as devidas pondera\u00e7\u00f5es, o leg\u00edtimo interesse pode ser a justificativa legal mais indicada para coleta de dados via cookies (n\u00e3o devemos simplesmente copiar e colar todas as estrat\u00e9gias que vimos na Europa).<\/p>\n

Mesmo assim, muitas empresas no Brasil v\u00eam adotando o consentimento em detrimento ao leg\u00edtimo interesse quando o assunto \u00e9 a coleta de dados via cookies n\u00e3o essenciais para o funcionamento do site. Ok, n\u00e3o h\u00e1, obviamente, nada de ilegal em se pedir o consentimento nesse caso, o que, para alguns, pode soar at\u00e9 como a alternativa mais conservadora e protetiva aos titulares. O problema de se adotar o consentimento quando ele n\u00e3o for necess\u00e1rio \u00e9 que, na pr\u00e1tica, \u00e9 muito dif\u00edcil de se ver um pedido de consentimento adequado, nos termos da LGPD. Isso ocorre n\u00e3o por m\u00e1-f\u00e9 da empresa controladora dos dados, mas pela dificuldade de se garantir atendimento a todos os requisitos que a lei nos traz.<\/p>\n

De toda forma, se a sua empresa vai utilizar um cart\u00e3o de visitas virtual para o tema de privacidade como uma barra de cookies contendo pedido de consentimento, h\u00e1 de se tomar cuidado para que o cart\u00e3o de visitas n\u00e3o vire um cart\u00e3o vermelho. Entre um pedido de consentimento inv\u00e1lido e a utiliza\u00e7\u00e3o da base legal do leg\u00edtimo interesse, a segunda alternativa parece mais apropriada, tanto para a empresa como para os titulares de dados.<\/p>\n

Estamos incluindo uma boa dose de consentimento estragado<\/strong><\/p>\n

Se sua empresa segue o caminho do consentimento para cookies n\u00e3o essenciais, \u00e9 necess\u00e1rio ter cautela para que tal pedido n\u00e3o revele baixa maturidade no tema.<\/p>\n

Aqui vai uma dica de aplica\u00e7\u00e3o imediata: risque j\u00e1 do seu caderno as frases abaixo:<\/p>\n

–\u00a0Utilizamos cookies e tecnologias semelhantes de acordo com a nossa Pol\u00edtica de Privacidade e, ao continuar navegando, voc\u00ea concorda com estas condi\u00e7\u00f5es<\/em><\/strong><\/p>\n

–\u00a0Ao continuar navegando voc\u00ea concorda com a pol\u00edtica de cookies e privacidade<\/em><\/strong><\/p>\n

–\u00a0Este site utiliza cookies e outras tecnologias semelhantes para melhorar a sua experi\u00eancia, de acordo com a nossa Pol\u00edtica de Privacidade e, ao continuar navegando, voc\u00ea concorda com estas condi\u00e7\u00f5es.<\/em><\/strong><\/p>\n

Afirma\u00e7\u00f5es como essas, embora comuns, indicam total desconhecimento da legisla\u00e7\u00e3o brasileira de prote\u00e7\u00e3o de dados. Nos termos da LGPD, consentimento \u00e9 \u201cmanifesta\u00e7\u00e3o livre, informada e inequ\u00edvoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada\u201d, sendo que as declara\u00e7\u00f5es acima s\u00e3o incompat\u00edveis j\u00e1 com o primeiro requisito do consentimento que \u00e9 listado pela LGPD: o de ser livre.<\/p>\n

Ora, se para continuar usando o site o usu\u00e1rio precisa aceitar tacitamente ser submetido a uma tecnologia de rastreamento (n\u00e3o essencial para o funcionamento da aplica\u00e7\u00e3o), o consentimento n\u00e3o \u00e9 livre. Portanto, do ponto de vista jur\u00eddico, frases como as mencionadas devem ser imediatamente abolidas, pois, para al\u00e9m de n\u00e3o serem \u00fateis aos titulares de dados, colocam em xeque o n\u00edvel de maturidade da organiza\u00e7\u00e3o no tema. Aos olhos das autoridades competentes (e de qualquer pessoa bem instru\u00edda no tema de privacidade), significam pontos negativos contra a pr\u00f3pria empresa.<\/p>\n

Estamos acrescentando uma colher de incoer\u00eancia com a matriz de riscos adotada pela empresa<\/strong><\/p>\n

Para terminar essa miscel\u00e2nea de ingredientes indesejados na salada dos cookies, h\u00e1 outro ponto bastante importante a ser observado: a poss\u00edvel incoer\u00eancia que a estrat\u00e9gia de coleta de consentimento poder\u00e1 revelar em rela\u00e7\u00e3o \u00e0 gest\u00e3o de risco da empresa em mat\u00e9ria de privacidade. Me explico melhor: pode ser extremamente arriscado, do ponto de vista de estrat\u00e9gia de compliance, coletar consentimento para uso de cookies n\u00e3o essenciais enquanto sua empresa adota o leg\u00edtimo interesse em atividades at\u00e9 mais \u201cpol\u00eamicas\u201d, que passam pelo uso de tecnologias e dados que sequer est\u00e3o suscet\u00edveis a pedido pr\u00e9vio de consentimento.<\/p>\n

Inclusive, vale lembrar que os cookies s\u00e3o mecanismos um tanto quanto ultrapassados quando o assunto \u00e9 medi\u00e7\u00e3o de audi\u00eancia, rastreio de usu\u00e1rios e obten\u00e7\u00e3o de m\u00e9tricas de acesso e consumo. Muitas empresas hoje apostam em t\u00e9cnicas muito mais sofisticadas de fingerprinting, geolocaliza\u00e7\u00e3o e at\u00e9 mesmo sensores relacionados \u00e0 IOT que captam dados de aparelhos celulares em ambientes f\u00edsicos, como lojas e centros comerciais.<\/p>\n

Se de um lado, em seu site, a empresa adota a estrat\u00e9gia \u201cconservadora\u201d de, supostamente, mitigar riscos \u00e0 privacidade adotando o consentimento (via de regra, inv\u00e1lido) para cookies n\u00e3o essenciais, como explicar\u00e1 que, de outro, est\u00e1 coletando in\u00fameros outros dados para fins similares, a partir de estrat\u00e9gias mais \u201cousadas\u201d e enquadrando tais atividades como leg\u00edtimo interesse? Ou seja: como defender o leg\u00edtimo interesse naquilo que \u00e9 potencialmente mais arriscado e menos transparente ao titular dos dados se, para os velhos conhecidos cookies, a empresa est\u00e1 adotando o consentimento? Estamos, portanto, diante de uma incongru\u00eancia arriscada, que pode levantar a seguinte d\u00favida: h\u00e1, de fato, governan\u00e7a e processos de gest\u00e3o de riscos em privacidade naquela empresa?<\/em><\/strong><\/p>\n

E qual a receita ideal?<\/strong><\/p>\n

Bom, se at\u00e9 o momento este texto focou nos ingredientes que n\u00e3o devem fazer parte da salada de cookies que o mercado vem criando, nada mais justo do que tentar esbo\u00e7ar a receita – bastante introdut\u00f3ria – para um prato mais equilibrado e de facilitada digest\u00e3o:<\/p>\n

1- Desapegar do consentimento<\/strong><\/p>\n

Muita gente acha que usar a base legal do consentimento \u00e9 mais \u201cseguro\u201d do que partir para o leg\u00edtimo interesse, sendo que o que vimos aqui mostra que isso n\u00e3o \u00e9 verdade. H\u00e1 in\u00fameros fatores complicadores na coleta de consentimento para utiliza\u00e7\u00e3o de cookies n\u00e3o essenciais (sendo certo que muitos deles sequer foram abordados neste texto, que n\u00e3o se prop\u00f5e a ser um guia completo sobre o assunto). Da forma como comumente vem sendo \u201cobtido\u201d, o consentimento n\u00e3o \u00e9 \u00fatil \u00e0 empresa para resguardo jur\u00eddico, muito menos para a tutela dos interesses dos titulares dos dados pessoais. O leg\u00edtimo interesse, por outro lado, pressup\u00f5e reflex\u00e3o sobre transpar\u00eancia e essencialidade dos dados coletados, al\u00e9m de impor \u00f4nus \u00e0 empresa controladora dos dados no que se refere ao dever de responsabiliza\u00e7\u00e3o e presta\u00e7\u00e3o de contas (accountability).<\/p>\n

2- Aplicar o leg\u00edtimo interesse<\/strong><\/p>\n

O uso do leg\u00edtimo interesse \u00e9, ressalvadas peculiaridades de situa\u00e7\u00f5es espec\u00edficas, vi\u00e1vel para a coleta de dados via cookies que visem \u00e0 \u201cpromo\u00e7\u00e3o de atividades do controlador” (express\u00e3o extra\u00edda da pr\u00f3pria LGPD). No entanto, \u00e9 certo que, como qualquer aplica\u00e7\u00e3o de leg\u00edtimo interesse, algumas cautelas s\u00e3o necess\u00e1rias, nos termos do artigo 10 da LGPD: (i) a finalidade precisa ser leg\u00edtima, (ii) os dados dever\u00e3o ser minimizados (de acordo com o estritamente necess\u00e1rio para a finalidade pretendida) e (iii) devem ser adotadas medidas que garantam transpar\u00eancia. Ali\u00e1s, a transpar\u00eancia \u00e9 t\u00e3o importante que merece t\u00f3pico pr\u00f3prio, como exposto a seguir.<\/p>\n

3- Garantir a necess\u00e1ria transpar\u00eancia<\/strong><\/p>\n

A aus\u00eancia de coleta de consentimento n\u00e3o afasta o dever da empresa controladora de dados pessoais de ser transparente em rela\u00e7\u00e3o a qualquer atividade de tratamento de dados pessoais. Pelo contr\u00e1rio, a transpar\u00eancia h\u00e1 de ser inclusive refor\u00e7ada quando a base legal for o leg\u00edtimo interesse. Portanto, utilizando-se os meios e os recursos que forem mais convenientes e eficazes (seja via barra informativa ou n\u00e3o), deve o titular saber sobre a utiliza\u00e7\u00e3o ou n\u00e3o de cookies (e demais tecnologias de rastreamento).<\/p>\n

Para finalizar…<\/strong><\/p>\n

Em conclus\u00e3o, se o tema dos cookies pode parecer (e de fato \u00e9) um detalhe no contexto do programa de privacidade de uma empresa, devemos ter claro que esse detalhe funciona como cart\u00e3o de visitas, inclusive e principalmente para as autoridades ligadas \u00e0 prote\u00e7\u00e3o de dados pessoais. Que a nossa estrat\u00e9gia para lidar com os cookies seja, de fato, um bonito cart\u00e3o de visitas, e n\u00e3o um convite a investiga\u00e7\u00f5es – at\u00e9 porque n\u00e3o seremos bons anfitri\u00f5es servindo apenas uma salada com ingredientes estragados.<\/p>\n

Sobre o Autor:<\/strong><\/em><\/p>\n

Lu\u00eds Fernando Prado<\/strong>, advogado, professor, mestre em Direito Digital pela Universidade de Barcelona, especialista em Propriedade Intelectual pela FGV-SP, certificado pela International Association of Privacy Professionals (IAPP) e s\u00f3cio do escrit\u00f3rio Prado Vidigal, especializado em Direito Digital, Privacidade e Prote\u00e7\u00e3o de Dados<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Nos \u00faltimos meses, notamos no Brasil que os provedores de aplica\u00e7\u00f5es de internet, como uma das medidas para adequa\u00e7\u00e3o \u00e0 LGPD, resolveram adotar barras de cookies em seus sites. Uma barra de cookies, embora pare\u00e7a um detalhe, uma vez adotada, torna-se o principal cart\u00e3o de visita de qualquer empresa em rela\u00e7\u00e3o ao tema privacidade e prote\u00e7\u00e3o de dados.<\/p>\n","protected":false},"author":8,"featured_media":38121,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5724],"tags":[5725,3030,3129],"table_tags":[],"class_list":["post-38120","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-luis-fernando-prado","tag-cookies","tag-destaque","tag-lgpd","entry"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/posts\/38120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/comments?post=38120"}],"version-history":[{"count":0,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/posts\/38120\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/media\/38121"}],"wp:attachment":[{"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/media?parent=38120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/categories?post=38120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/tags?post=38120"},{"taxonomy":"table_tags","embeddable":true,"href":"https:\/\/www.rhevistarh.com.br\/portal\/wp-json\/wp\/v2\/table_tags?post=38120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}