Entenda se a lei brasileira (LGPD), atualmente, exige o aviso de Cookies em seu site

A Lei Geral de Proteção de Dados (LGPD) foi inspirada na General Data Protection Regulation (GDPR), da União Europeia. A LGPD, no entanto, é mais recente e a proteção de dados no Brasil carece de regulamentação específica sobre alguns temas, como por exemplo cookies e tecnologias de rastreamento. 

Especificamente sobre cookies e tecnologias de rastreamento, a União Europeia já têm regulamentação específica: ePrivacy Directive, tecnicamente também conhecida como “Cookie Law”. O Brasil ainda não. Então, como tratar os cookies sem estar em desconformidade da legislação atual?

Os cookies podem ser definidos como um pequeno arquivo que é instalado no computador do usuário de um site por meio do navegador e que fica acessível aos servidores do site para coleta de informações sobre o computador ou outro dispositivo do usuário, para que este seja reconhecido como o mesmo usuário em todas as sessões de seu browser e em outros sites.

Cookies são dados pessoais, uma vez que a LGPD define que dado pessoal pode ser aquele dado identificável. Em havendo a possibilidade de se conectar às informações de rastreamento viabilizadas pelos cookies a uma pessoa natural, então estamos falando de dados pessoais. 

A Diretiva da União Europeia impõe como base legal para o tratamento de cookies e outras tecnologias similares o consentimento expresso, que é simplificadamente conhecido como o aceite eletrônico através do “opt-in”. 

Através de uma “Pop-up”, que é um tipo de janela que se abre no navegador ao visitar uma página web, o autor do site que trata dados de europeus divulga que estão sendo coletados cookies e disponibiliza a opção de aceite ou não de rastreamento pelo usuário. 

Considerando que a lei brasileira também prevê como base legal o consentimento expresso, não há, obviamente, nada de ilegal em se pedir o consentimento em casos de rastreamento de cookies por uma organização, o que, para alguns, pode soar até como a alternativa mais conservadora e protetiva aos titulares de dados pessoais. 

Ocorre que, sabe-se que a gestão do consentimento é custosa e sensível. A possibilidade de se entender que um consentimento é inválido é alta, se considerar que conforme a lei, deve se dar através de uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, inciso XII, da LGPD). 

Questiona-se se é uma manifestação livre aquele “aceite” que tão logo os usuários precisam clicar para continuar navegando num site.

Nessa linha, especialistas da área levantam a hipótese de se usar a base legal do legítimo interesse do controlador ou de terceiros para o tratamento de cookies. Sem entrar no mérito do que seria o legítimo interesse, o que queremos dizer aqui é que há questionamentos sobre se usar outra base legal que não o consentimento e, com isso, não haver necessidade de o usuário do site ter que concordar, de imediato, com o tratamento de dados. 

Obviamente, seja qual for a base legal escolhida, é imprescindível que não se desconsidere o princípio da transparência estabelecido pela Lei Geral de Proteção de Dados. Independentemente de sermos cautelosos ou não, usando o consentimento ou o legítimo interesse, é imprescindível deixar transparente que há, de fato, o rastreamento do indivíduo através de cookies ou outras tecnologias. 

Portanto, estamos atualmente em um momento delicado, que apesar de carecer regulamentação específica sobre cookies, sabemos dos princípios que norteiam a LGPD, bem como das tendências que vêm da União Europeia. Mas entendemos também, o quanto uma “pop-up” com o “aceite eletrônico” engessa as atividades das organizações. Por isso, é sempre importante analisar quais riscos podemos nos submeter, sem perder de vista a privacidade dos usuários.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Veja mais insights do slap.LAW