O uso dos cookies pelos diversos sites na internet é legítimo e pode ser feito, mas todos os sites que os utilizam, sejam privados ou públicos, devem estar adequados à Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
Cookies são pequenos arquivos salvos no dispositivo do usuário e servem sobretudo para possibilitar o funcionamento do site e coletar informações daquele usuário, havendo ainda os cookies analíticos, normalmente utilizados para monitorar e realizar análises estatísticas, que não recolhem informações de caráter pessoal.
Portanto, há os cookies essenciais, necessários para dar suporte a determinadas funcionalidades, garantir a segurança e a integridade do site e a segurança do usuário, que não dependem do consentimento deste para serem utilizados.
Mas há os cookies não necessários, como os que dão suporte a determinados recursos ou serviços oferecidos e os cookies publicitários, que coletam informações que revelam as escolhas e preferências do usuário.
Toda operação de tratamento de dados pessoais precisa ter uma base legal (art. 7º e 11 da LGPD), sendo o consentimento uma delas. O uso dos cookies necessários pode estar amparado, por exemplo, na sua necessidade para execução do contrato de acesso ao site (ainda que contrato gratuito), sendo esta a sua base legal. Mas o mesmo não se pode dizer dos cookies não necessários.
O uso de cookies não essenciais, para ser lícito, precisa do consentimento expresso do usuário, mediante prévios e adequados esclarecimentos – esta é a base legal adequada.
Um dos requisitos de validade do consentimento é que ele seja dado livremente, de modo que ele não deve ser condicionado: se a decisão de não autorizar o uso de cookies não necessários tiver por efeito alguma perda para o usuário (como a não utilização do serviço pretendido), presume-se que o consentimento dado para a utilização destes cookies não foi livre, o que torna nulo o consentimento.
Deste modo, não atende à LGPD a informação genérica de que “coletamos dados para melhorar a experiência do usuário”. Tampouco a informação de que “continuar a navegar no site implica na concordância com a nossa política de cookies (ou de privacidade)”, acompanhada do botão “OK, ENTENDI!” ou “OK, ESTOU CIENTE!” para o usuário marcar.
A
ANPD emitiu um guia orientativo para o uso de cookies , no qual ela deixa claro que a coleta do consentimento deve ser granular, do tipo self-service (o famoso “cardápio de cookies”), em que há uma caixinha para o usuário marcar se consente ou não com cada hipótese de coleta e/ou uso dos dados, assim como com o seu compartilhamento com os parceiros, identificados.
Além disso, deve sempre haver a opção “REJEITAR TODOS”, para o usuário o fazer em bloco.
A nulidade do consentimento implica no tratamento dos dados sem base legal, o que é infração grave, nos termos do Regulamento de Dosimetria das Sanções Administrativas, editado pela Autoridade Nacional de Proteção de Dados – ANPD, em fevereiro de 2023.
Mas em se tratando de relação de consumo, pode-se também efetuar denúncia aos Órgãos de Defesa do Consumidor, que têm a sua competência ressalvada na própria LGPD.
Além disso, o uso irregular de cookies também fere várias disposições do Código de Defesa do Consumidor-CDC, que protege o consumidor contra métodos comerciais desleais e práticas abusivas, dispondo ainda serem nulas cláusulas contratuais que coloquem o consumidor em desvantagem exagerada ou sejam incompatíveis com a boa fé ou a equidade. A ofensa aos princípios fundamentais da proteção de dados é considerada vantagem exagerada, nos termos do art. 51, IV e § 1º, I do CDC.
Assim como as sanções da LGPD, as sanções do CDC também podem ser aplicadas cumulativamente e, dentre elas, há a imposição de contrapropaganda, que obrigaria o site a divulgá-la da mesma forma, frequência e dimensão, no mesmo lugar em que divulga a prática abusiva relativa aos cookies, como forma de desfazer o malefício.
Deve assim ser abolida a prática do “OK, ENTENDI!” para autorizar o uso de cookies pelos sites.