ANPD e o uso de cookies como ferramenta para tratamento de dados pessoais

Os cookies de navegação correspondem a uma das principais fontes de dados de uma organização com atuação digital. Com o avanço das ferramentas de análise e publicidade online, as informações geradas por meio de cookies alcançaram um novo nível de relevância no setor estratégico das empresas.

Desde que tratados de maneira correta, os cookies são capazes de fornecer dados sobre o perfil do público, a forma como potenciais clientes encontram o site da empresa, tempo e padrões de navegação, além de, é claro, otimizar o investimento em marketing através da segmentação de anúncios diretamente para o público alvo desejado. Como era de se esperar, o grande potencial por trás dessa importante ferramenta para o universo corporativo digital vinha resultando em calorosas discussões e divergências de opinião sobre os limites do seu uso à luz da Lei Geral de Proteção de Dados.

Muito embora tenha se tornado tema de destaque a partir da vigência da LGPD, a tecnologia por trás dos cookies não é fruto de recentes avanços. A União Europeia, muito antes de redigir seu regulamento geral sobre proteção de dados — fonte direta de inspiração para a lei brasileira —, já havia tratado sobre o tema há, pelo menos, duas décadas, com a Diretiva 2002/58/CE [1], também conhecida como ePrivacy. Ainda que de maneira incipiente, a normativa já adotava importantes considerações a respeito da utilização de cookies, tais como a necessidade de publicização de informações claras e precisas sobre a finalidade dos cookies vinculados ao site, além da oportunidade de recusar que cookies sejam armazenados no dispositivo utilizado durante a navegação.

Até muito recentemente, no entanto, não se encontravam diretrizes expressas sobre o tema no cenário jurídico brasileiro. Para a construção de pareceres e projetos de adequação à LGPD, era costumeiro valer-se de normativas emitidas pelo Parlamento Europeu ou orientações redigidas pelo Comitê Europeu de Proteção de Dados como fontes, uma vez que o tema encontra maior tempo de maturação no velho continente. Por óbvio, e não raro, a falta de uma orientação nacional sobre o assunto provocava divergências interpretativas, algumas com viés mais permissivo, outras com visões mais protetivas em relação à privacidade.

O resultado visível em sites brasileiros era uma complexa mistura, muitas vezes incorreta, de embasamentos legais para o tratamento de informações oriundas de cookies. Os referidos embasamentos são aqueles previstos nos artigos 7º e 10º da LGPD, no sentido de que toda atividade que resulte em tratamento de dados pessoais deve encontrar respaldo em uma das hipóteses, sob pena de ser considerada, desde logo, indevida. Em se tratando de dados pessoais provenientes de cookies, as hipóteses mais elegidas por controladores são: consentimento e legítimo interesse.

Embora ambas se mostrem corretas e possíveis na sua essência, a escolha da hipótese aplicada ao caso concreto merece dose extra de cautela. Isso porque, caso a via elegida seja a do consentimento, por exemplo, o não atendimento aos requisitos específicos dessa hipótese [2] pode ocasionar a sua invalidade — e daí todo o tratamento das informações e inteligência gerada a partir dessa fonte de dados acaba sendo contaminado, gerando risco e passivo para as contas da empresa. Por outro lado, o uso excessivo ou desvirtuado da hipótese do legítimo interesse — que também possui seus requisitos próprios e depende de deveres acessórios — é capaz de gerar igual dose de insegurança jurídica.

Até então, a melhor alternativa apresentada, além da cautela, era construir um raciocínio jurídico a partir das diretrizes europeias, afinal, como visto, a GDPR exerceu, e exerce, influência direta sobre a redação e a interpretação da lei de proteção de dados brasileira. Para suprir essa lacuna jurídica, a Autoridade Nacional de Proteção de Dados (ANPD), que neste ano vigente adotou publicamente um posicionamento voltado à educação e conscientização sobre o tema, disponibilizou um guia orientativo que sinaliza a interpretação futura da Autoridade em eventuais fiscalizações, autuações e decisões administrativas.

Como era de se esperar, as orientações seguem as diretrizes europeias, e reforçam a importância da separação e classificação de cookies utilizados em sites. Com a ressalva de que há um interessante grau de liberdade para categorização de cookies a partir de diferentes perspectivas, a classificação deve ocorrer a partir de critérios objetivos descritos de forma transparente na Política de Cookies da organização. Além disso, o site deverá oferecer mecanismos de aceite e recusa em igualdade de condições, permitindo que usuários rejeitem todos os cookies não necessários para a sua navegação de forma facilitada — algo que dificilmente é visto em sites brasileiros atualmente.

De todas as disposições trazidas pelo guia orientativo, a recomendação pela separação de cookies em categorias como boa prática a ser seguida é item a ser especialmente celebrado. Da mesma forma em que se mostra incorreto o enquadramento de todos os cookies na hipótese de interesse legítimo por colocar em xeque certas liberdades individuais, como em casos de publicidade direcionada ou construção de perfis para análise e previsão de comportamentos de usuários, igualmente não seria razoável exigir o consentimento expresso para cookies responsáveis por funções essenciais do site ou pela sua própria segurança. Há uma notável diferença entre as finalidades, o que inviabiliza um enquadramento único, como já havia opinado o Comitê Europeu há certo tempo.

Nesse contexto, percebe-se que a redação do guia orientativo se mostrava imprescindível, sob pena de que as fiscalizações e autuações resultassem em infindáveis manobras de defesa, dada a ampla margem interpretativa a partir da leitura da Lei 13.709/18. Ainda que levemente tardio, o guia envia mensagem direta e direcionada àqueles agentes que assumiram riscos elevados ou esperavam que os cookies passassem despercebidos aos olhos de uma fiscalização ou denúncias espontâneas por parte de consumidores e usuários da internet. Vivenciaremos, em breve, uma nova corrida para adequação de banners de cookies e políticas de privacidade. A Autoridade Nacional está atenta a essa poderosa ferramenta de captação de informações e direcionamento de publicidade, que, quando utilizada corretamente, é capaz de gerar resultados e dados de extremo valor para empresas em relação à sua atuação de mercado.