O elevado grau de risco que o uso de cookies em sites pode representar para o titular das informações pessoais coletadas justifica uma fiscalização constante pelas autoridades competentes.
Cookies são pequenos arquivos salvos no dispositivo do usuário e servem sobretudo para possibilitar o funcionamento do site e coletar informações daquele usuário, havendo ainda os cookies analíticos, normalmente utilizados para monitorar e realizar análises estatísticas, que não recolhem informações de caráter pessoal.
Portanto, há os cookies essenciais, necessários para dar suporte a determinadas funcionalidades, garantir a segurança e a integridade do site e a segurança do usuário. Estes não dependem do consentimento do usuário para serem utilizados.
Mas há os cookies não necessários, como os que dão suporte a determinados recursos ou serviços oferecidos e os cookies publicitários, que coletam informações que revelam as escolhas e preferências do usuário. Estes cookies identificam o utilizador sempre que ele regressa à página, seja para ações de marketing, seja para permitir a personalização do atendimento.
Estes cookies podem registrar as páginas visitadas, os termos digitados nos motores de busca, a sequência de cliques (clicstreams), horários, tempo de permanência em determinado conteúdo e várias outras informações. Estes dados revelam o comportamento de navegação do usuário e, consequentemente, suas opções pessoais e até mesmo traços da sua personalidade podem ser identificados, o que coloca o usuário em posição de considerável vulnerabilidade, suscetível de ter o seu comportamento e suas ações previsíveis e de sofrer influência “invisível” no seu modo de pensar e agir.
O uso de cookies não essenciais portanto deve observar as normas relativas à proteção de dados e exige o consentimento expresso do titular das informações, mediante esclarecimentos claros, completos, específicos e que lhe sejam apresentados previamente de forma destacada.
A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) elenca dez fundamentos que autorizam a coleta e o uso de dados pessoais, sendo que nove deles dispensam o consentimento do titular dos dados. Logo, à primeira vista, pode parecer que, se o responsável pelo site puder fundamentar a coleta de cookies não essenciais em alguma outra base legal da LGPD, ele não precisará do consentimento do titular para coletar as informações e usá-las.
No entanto, a Lei nº 12.964/2014 (Marco Civil da Internet) dispõe que é direito do usuário da internet que a coleta, o uso, o armazenamento e o tratamento dos seus dados pessoais se façam mediante o seu consentimento expresso.
Em se tratando de consentimento para tratamento de dados pessoais, é a LGPD quem dispõe sobre os requisitos para sua validade, exigindo que seja livre, expresso, inequívoco, específico e informado.
Não vale mais a clássica menção genérica de que “coletamos dados para melhorar a sua experiência...”.
O usuário deve ser previamente informado de quais dados são coletados, para quais finalidades, forma e duração do tratamento, identidade e canal de contato do responsável, sobre compartilhamento dos dados e as responsabilidades dos agentes envolvidos, bem como dos seus direitos.
Uma ferramenta útil e que é uma “boa prática” é o chamado cardápio de cookies, em que o usuário decide se consente ou não com o uso de cada grupo de cookies. Deve-se usar linguagem clara e simples, facilitadora do entendimento.
As consequências negativas, caso o usuário não consinta com a coleta dos cookies, não devem ser informadas em tom de ameaça, como “se você não consentir, o site pode não funcionar corretamente”, porque condicionam a aceitação e o consentimento deixa de ser livre. O adequado é informar quais funcionalidades oferecidas dependem daqueles cookies e as vantagens que o usuário deixará de usufruir se navegar sem elas.
As caixinhas de seleção (check box) não devem vir já habilitadas. Como o consentimento deve ser expresso, é o usuário quem deve praticar a ação de habilitar os grupos de cookies que autoriza. A sua inação, deixando de desabilitar as caixinhas já previamente marcadas, não representa consentimento válido.
Deve-se ter em mente que toda a atividade de tratamento de dados deve ser clara e transparente para o usuário, com especial atenção para a política de cookies.
