O primeiro reflexo visível da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil foi o destaque que passou a ser dado nos sites da internet (cookie banner) para a aceitação da política de privacidade e dos cookies.
A palavra inglesa cookie significa bolacha ou biscoito (biscuit, cracker) e é usada na internet para designar os arquivos criados com os dados que são coletados das pessoas ao abrir um site, realizar pesquisar ou outras atividades na rede mundial de computadores. Esses dados são armazenados no navegador e podem ser tratados e transformados em informações, que são utilizadas para diversos fins (registrar o endereço IP do usuário, facilitar as próximas navegações nos sites, salvar e identificar o login, criar preferências e facilitar o acesso aos links ou abas mais pesquisados, encaminhar publicidade, entre outras).
Assim, as pessoas deixam um rastro na internet, como se estivessem caminhando e comendo as bolachas, e pudessem ser procuradas e localizadas pelos farelos que ficam no chão.
Esse rastro pode ser utilizado, inclusive, para identificar autores de crimes, como ocorreu em 2020 nas invasões a sites de tribunais no Brasil.
A fiscalização dos acessos e das ações praticadas na internet serve como um contrapeso ao direito à privacidade, com o objetivo principal de evitar o uso e a navegação anônimos para fins ilícitos.
Os cookies podem ser temporários (com um prazo de validade prévio e a consequente exclusão após o seu término) ou não ter um período prévio de validade (situação em que podem ser removidos manualmente pelo usuário).
O Marco Civil da Internet, em vigor desde o final de junho de 2014, tem regras sobre a utilização de cookies, especialmente nos arts. 13/17, que tratam da guarda temporária dos registros de dados pelos provedores de conexão e de aplicações na internet.
Existem duas exceções ao dever de guarda pelos provedores de aplicações de internet (art. 16 do Marco Civil da Internet), que são:
(a) a guarda dos registros de acesso às aplicações (anotações de acesso) sem o consentimento prévio do titular;
(b) e a guarda de dados pessoais excessivos em atenção à finalidade pretendida.
Por exemplo, para um cookie de um site no navegador coletar dados existentes em outros cookies, é necessário o consentimento prévio do usuário.
Contudo, a quantidade excessiva de regras e a necessidade de dar o consentimento em cada um deles fazia com que os usuários se habituassem a consentir sem efetivamente terem conhecimento do conteúdo e do destino a ser dado com os seus dados (a denominada “fadiga do consentimento”).
A LGPD inverteu essa lógica, ao incluir outras nove bases legais além do consentimento para o tratamento dos dados pessoais (art. 7º), além das bases legais para os dados pessoais sensíveis (art. 11), que, associadas aos princípios de tratamento (art. 6º) e outras normas, alterou e ampliou a efetividade da regra do opt-in. Assim, para que o consentimento do titular dos dados pessoais seja considerado válido, ele deve ser prévio, expresso, livre, inequívoco, em cláusula destacada e devidamente informado (arts. 5º, XII, 8º e 9º da LGPD), para que, com isso seja lícito o tratamento de dados realizado para uma finalidade determinada.
Por isso, os sites na internet passaram a destacar a sua política de privacidade e o uso de cookies, com a utilização, como regra, de cookies essenciais ou necessários (registro do usuário, armazenamento de preferências, login e outros necessários para a navegação na página) e a possibilidade de ampliação do uso de cookies para outras finalidades (como a localização e a definição do idioma do usuário, ou para gravar uma sessão de chat de atendimento ao usuário, ou para uso em ações de marketing) apenas se houver a opção expressa do titular dos dados pessoais coletados por meio deles.
Quando o site não mostra as opções, significa que há somente o registro dos cookies essenciais, que derivam do cumprimento de um dever legal pelo controlador (especialmente, no Brasil, nos deveres de guarda previstos no Marco Civil da Internet).
Assim, além das opções de aceitar ou de rejeitar os cookies, é possível realizar a personalização, com a definição pelo usuário do rastro que ele quer deixar naquele site.
