Cookies e publicidade comportamental estão na mira da proteção de dados

Cookies, no âmbito da informática, parece um daqueles termos difíceis que leigos não compreendem mesmo se fizerem um esforço. Mas, na prática, ao simplesmente navegar pela internet, o internauta fica sujeito a essa ferramenta.

Nas palavras de Martins[1], cookies são programas de dados gerados com o objetivo principal de identificação do usuário, rastreamento e obtenção de dados úteis a seu respeito, especialmente com base em dados de navegação e de consumo.

Importante mencionar que, tecnicamente, os cookies exercem mais que a função de rastreamento de navegação de usuário. Existem diversos tipos de cookies.Os mais conhecidos são[2] os cookies de sessão, os cookies primários e os cookies de terceiros.

Cookies de sessão são normalmente essenciais para a navegação, constituem a memória de curto prazo de um site, à medida que o usuário passa de uma página para outra dentro de seu domínio. Por exemplo, num site de compras, quando o usuário seleciona vários itens, ao mudar para a página de pagamento, os itens selecionados estão no “carrinho” de compras. Então, por meio deste tipo de cookie, o site salva as informações de uma página em outra. Os cookies de sessão não coletam informações sobre o computador do usuário, nem abstraem informações capazes de identificar com facilidade um usuário. Além disso, são temporários, ou seja, quando o usuário fecha a janela de navegação, o computador exclui todos esses cookies automaticamente.

Já os cookies primários ajudam os sites a gravar informações e configurações quando o usuário volta a visitar uma página no futuro, possibilitando que fiquem salvas as preferências de configurações, como menu, temas, seleção de idioma etc. Então, se o usuário faz um login em um site, por exemplo, com a opção de “salvar” os dados, a próxima vez que o usuário quiser logar em tal site, terá a comodidade de não precisar digitar novamente seus dados e suas credenciais de acesso. Esse tipo de cookie permanece no dispositivo do usuário por algum tempo e pode ser excluído manualmente pelo usuário.

Porém, os cookies de terceiros são originários de um domínio diferente, não oferecendo nenhum benefício ao usuário. Seu uso é para rastreamento, de modo a “aprender” sobre o histórico de navegação do usuário, seu comportamento online, hábitos de consumo, entre outras coisas.[3] Esse tipo também permanece no dispositivo do usuário e pode ser excluído manualmente.

Pela definição acima, é possível concluir que os cookies podem oferecer praticidade na navegação, porém, também têm potencial de trazer riscos à proteção dos dados do usuário, principalmente se o uso do dispositivo em que é feita a navegação é compartilhado.

No que diz respeito aos cookies primários, pelo fato de as informações inseridas pelo usuário ficarem gravadas e armazenadas, isso pode facilitar o acesso não autorizado e malicioso de terceiros a sites, plataforma e aplicações anteriormente acessadas pelo verdadeiro usuário.

Quanto aos cookies de terceiros, o rastreio de navegação pode acarretar mapeamento do comportamento do usuário online, tornando-o suscetível às ações de marketing para as quais não deseja ser alvo. Exemplo prático é de quando um usuário navega em determinado site à procura de um serviço ou produto “X” e, após, no decorrer dos dias e de outras navegações, é “magicamente” bombardeado por propagandas de “X”.

Apesar de, atualmente, existirem ferramentas que identificam e bloqueiam cookies de terceiros, ou ainda, forma de navegação anônima em que não são armazenados cookies e históricos de navegação[4], muitos usuários os aceitam para continuar a navegação normalmente, sem saber as consequências disso ou como impedir a atuação de tais cookies.

Neste sentido, verifica-se o uso desenfreado de cookies sem que haja prévia autorização do usuário, ou ainda, casos em que o usuário “consente sem muito consentir”, no mesmo estilo dos “termos de uso e política de privacidade que ninguém lê”.

Publicidade comportamental
Ainda no que diz respeito aos cookies de terceiros, suas funcionalidades são, basicamente, voltadas para a chamada publicidade comportamental, também conhecida como behavioral advertising.

Resumidamente, “a publicidade comportamental online (também conhecida como publicidade baseada nos interesses) é uma forma de colocar anúncios nos websites que se visita e para torná-los mais relevantes.”[5]

Por meio do registro da navegação dos usuários (utilizando os cookies), os anúncios publicitários são personalizados, atrelando com precisão a abordagem ao perfil do potencial consumidor. Isto porque, quando o usuário navega na internet, há uma série de cliques que revelam informações sobre suas predileções, reduzindo os custos da ação publicitária[6].

Esta prática possui relevância comercial atualmente. Isto porque, conforme explica Bioni[7], “os dados pessoais dos consumidores revelam-se igualmente como um elemento crítico para a promoção dos bens de consumo (…) e, com o avanço tecnológico, permitiu-se a criação de perfis cada vez mais intrusivos sobre o potencial consumidor, monitorando-se constantemente o seu comportamento, a ponto de inferir, até mesmo, o seu estado emocional para correlacioná-lo à mensagem publicitária”.

Assim, em um contexto econômico no qual os dados pessoais são insumo para as empresas, o rastreamento de navegação serve como mais um método para obtenção de dados dos consumidores.

Esta prática não é ilegal, porém, muitas vezes o uso de cookies não é consentido pelo usuário, que não consegue ter clareza de que está sendo monitorado, tampouco sabe como adotar medidas que impeçam o rastreamento de sua navegação e comportamento online.

Por isso mesmo, como bem assinala Laura Shertel Mendes[8], a publicidade comportamental suscita diversos questionamentos em relação à sua legitimidade, pois ela parece contrariar a boa-fé objetiva, as legítimas expectativas do consumidor e, especialmente, a proteção do consumidor contra os grandes impactos e riscos à sua personalidade, violando a equidade e a lealdade das relações de consumo.

Direito à privacidade e à proteção de dados
Vale esclarecer que o direito à privacidade é um direito constitucional, referente ao íntimo do indivíduo e seu direito de não receber influências do Estado ou de terceiros.

Já a proteção de dados é decorrente da sociedade de informação, em um contexto no qual verificou-se o potencial que os dados pessoais podem influenciar, controlar e manipular a sociedade e o mercado. Sua exteriorização na legislação tem sido setorial e agora, será reforçada com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD).

Esse direito à proteção de dados tem como um dos pilares a autonomia do indivíduo sobre seus dados pessoais (que, pela LGPD, são informações sobre uma pessoa natural identificada ou identificável).

Porém, em um contexto no qual é quase que imposto que um indivíduo autorize o uso de cookies sem que haja transparência em como essas ferramentas serão utilizadas, pode restar caracterizada uma violação ao direito de proteção de dados pessoais.

Para que tal violação não ocorra, aqueles cookies que trazem algum risco ao direito de proteção de dados do usuário, seja por monitorá-lo ou por salvar seus dados pessoais, devem ser autorizados pelo usuário, além de que “em qualquer dos casos é preciso que seja divulgada por meio da política de privacidade ou no contrato de prestação de serviços da empresa publicado no site a forma de utilização dos cookies e para quais finalidades eles são instalados”[9].

Por isso a importância de que sejam desenvolvidas políticas de privacidade que revelem de forma de clara ao usuário para quais finalidades seus dados serão tratados.[10]

Atualmente, em virtude da entrada em vigor do General Data Protection Regulation (GDPR), que disciplina o tratamento de dados de pessoas físicas situadas na União Europeia (UE), é comum que, ao se navegar em determinado site de marcas que operam na UE, uma janela pop-up[11] surja para o usuário, explicando a ele sobre a política de cookies e solicitando sua autorização.

No Brasil, ainda há uma opacidade de informações quanto ao uso de cookies. Ainda é necessário que os interessados em utilizar os cookies adaptem seu modelo de negócio, de modo a obter o consentimento específico e livre do usuário quanto ao uso deles, informando de forma clara qual a finalidade específica, explícita e legítima de seu uso, e a disposição de meios simples e fáceis para a revogação de tal consentimento e rejeição/exclusão dos cookies.

Existe a expectativa de que este cenário se altere com a entrada em vigor da LGPD. Entretanto, mais do que a força legal e as sanções que implicam sua ofensa, será necessário alterar a mentalidade das companhias e dos próprios usuários, que processam e concedem dados, respectivamente, sem sobrepesar a importância disso.

[1] MARTINS, Guilherme Magalhães. Responsabilidade por acidente de consumo na internet. São Paulo: Revista dos Tributais. APUD BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e o limite do consentimento. Rio de Janeiro: Forense, 2019. P. 18.

[2] KINAST, Priscilla. 7 Tipos de cookies do navegador. UOL. 11/02/2019. Disponível em <https://www.oficinadanet.com.br/internet/24798-7-tipos-de-cookies-do-navegador> acesso em 16/11/2019

[3] Segundo reportagem da BBC, de 27 de julho de 2019, disponível em https://www.bbc.com/portuguese/geral-40730996, um relatório da União Europeia sobre proteção de dados que analisou 500 sites, 70% dos cookies são de terceiros e rastreiam nossa atividade para nos oferecer publicidade personalizada.

[4] Segundo a Central de Ajuda do Google Chrome, disponível em https://support.google.com/chrome/answer/95464?co=GENIE.Platform%3DAndroid&hl=pt-BR, quando um usuário utiliza a navegação anônima, o Chrome não salva seu histórico de navegação, cookies e dados do site ou informações inseridas em formulários.

[5] Sobre publicidade comportamental. Disponível em <http://www.youronlinechoices.com/pt/about-behavioural-advertising> acessado em 17/11/2019

[6] BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e o limite do consentimento. Rio de Janeiro: Forense, 2019. P. 19.

[7]Ibidem

[8] MENDES, Laura Schertel. O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor.RDC, VOL. 106 (julho/agosto 2016) P. 15. Disponível em: <http://www.mpsp.mp.br/portal/page/portal/documentacao_e_divulgacao/doc_biblioteca/bibli_servicos_produtos/bibli_boletim/bibli_bol_2006/RDCons_n.106.02.PDF> acessado em 17/11/2019.

[9]Ibidem.

[10] Em atenção ao 7°, VI, VIII e XI, Marco Civil, art. 6°, III do CDC, bem como ao princípio da finalidade e da transparência, definidos na LGPD em seu art. 6º I e VI, respectivamente.

[11] “Pop-up” é um “tipo de janela que se abre no navegador ao visitar uma página web ou acessar uma hiperligação específica. O pop-up é utilizado por autores de sites para abrir alguma informação extra ou como meio de propaganda” Wikipédia. Disponível em: <https://pt.wikipedia.org/wiki/Pop-up> acessado em 16/11/2019