Este texto foi publicado no Jus no endereço https://jus.com.br/artigos/98459
Para ver outras publicações como esta, acesse https://jus.com.br

LGPD e cookies: fundamentos técnicos e regulatórios para uma abordagem coerente no Brasil

LGPD e cookies: fundamentos técnicos e regulatórios para uma abordagem coerente no Brasil

Publicado em .

Qual o tratamento jurídico correto aos cookies e aos banners de consentimento?

1. Introdução

Desde a publicação da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), um dos grandes pontos de controvérsia tem sido a delimitação do tratamento técnico e jurídico a ser dado aos cookies nos sites da Internet, incluindo a necessidade ou não dos banners de consentimento.

Trata-se de tema árduo, cujo debate é dificultado pela ausência de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) e pela tendência doutrinária de soluções baseadas na transposição de padrões europeus que, embora possam refletir boas práticas, não decorrem de normas cogentes no Brasil.

O silêncio da ANPD em relação à matéria cessou em 13.05.2022, quando foi expedido e publicizado o Ofício nº 6/2022/CGTP/ANPD/PR, dirigido ao Secretário de Governo Digital, contendo recomendações para a adequação do Portal Gov.br às disposições da LGPD[2].

No caso concreto, a ANPD recomendou que, na adequação do portal Gov.br à LGPD, fossem adotadas, pelo menos, as seguintes medidas:

a) No banner de primeiro nível:

(i) disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não necessários; e

(ii) desativar cookies baseados no consentimento por padrão (opt-in);

b) No banner de segundo nível (Política de Cookies):

(i) identificar as bases legais utilizadas, de acordo com cada finalidade / categoria de cookie, utilizando o consentimento como principal base legal, exceção feita aos cookies estritamente necessários, que podem se basear no legítimo interesse;

(ii) classificar os cookies em categorias no banner de segundo nível;

(iii) permitir a obtenção do consentimento específico de acordo com as categorias identificadas; e

(iv) disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não necessários.

O referido Ofício gerou diversos debates na comunidade de proteção de dados pessoais (incluindo uma versão preliminar deste artigo[3]) questionando a juridicidade da limitação de cookies a apenas duas bases legais consentimento e legítimo interesse, este último apenas para os cookies estritamente necessários , dada a ausência, no Brasil, de normas semelhantes à Privacy Directive europeia.

Em 01.06.2022, durante a 1ª Semana de Proteção de Dados Pessoais Gov.br, com participação oficial de representantes da ANPD, a visão externalizada na palestra Estudo de Caso Política de Cookies[4] apresentou significativos avanços. Manteve-se a orientação de legítimo interesse para cookies estritamente necessários, o consentimento para os não necessários, mas com duas ressalvas relevantes originalmente não previstas no Ofício: a possibilidade do legítimo interesse para cookies de estatísticas em contextos específicos, observados os requisitos previstos na LGPD, e a sinalização expressa de que as bases legais do consentimento e do legítimo interesse, embora as mais usuais e relevantes no contexto, não configurariam rol exaustivo e nem limitariam o uso das demais bases legais para cookies.

Considerando que o referido Ofício ao Secretário de Governo Digital afirma que a equipe técnica da ANPD está elaborando um guia a respeito do tema, é relevante a promoção de um amplo debate acerca dos aspectos técnicos, jurídicos, sociais e econômicos envolvidos na regulação de cookies, já que as posições da ANPD até o momento, embora importem significativo avanço, ainda carecem de detalhamento mais profundo.

Nesse sentido, o objetivo deste artigo é o de fomentar esse debate a partir de uma análise dos cookies na perspectiva tecnológica e da análise da evolução regulatória da matéria no Direito Comparado, de forma a propor possíveis caminhos regulatórios para a realidade brasileira.

2. Cookies: uma análise na perspectiva tecnológica

Os cookies, assim como diversos outros instrumentos e protocolos utilizados nas principais atividades na Internet, têm seus padrões definidos pela Internet Engineering Task Force (IETF) por intermédio de documentos denominados Request for Comments (RFC).

Os cookies são tratados pela IETF de forma detalhada no RFC 6265[5], que regula como devem ser implementados em servidores e agentes de usuário (user agents), categoria na qual se incluem navegadores (como Chrome, Safari ou Brave), softwares que promovem requisição e processamento automático de conteúdo web (como indexadores automáticos) etc[6].

A análise do RFC 6265 permite extrair características técnicas dos cookies extremamente relevantes para o debate no campo da proteção de dados pessoais. A primeira característica é que cookies são pares de nome/valor enviados pelo servidor (ou por scripts egressos desse servidor) e gravados pelo agente de usuário com os respectivos metadados. Um exemplo do próprio RFC 6265 é o do registro de identificadores de sessão, como no par SID=31d4d96e407aad42, em que o nome do cookie é SID (nome atribuído ao identificador da sessão) e o valor é 31d4d96e407aad42 (valor exemplificativo de um identificador da sessão do usuário).

Esse par SID=31d4d96e407aad42, uma vez gravado no agente do usuário a pedido do servidor, passará ser enviado no caminho inverso, do agente de usuário para o servidor, nas requisições seguintes. E isso permitirá ao servidor saber que esta nova requisição está sendo feita pelo mesmo usuário daquela determinada requisição anterior.

Isso é fundamental por características do próprio protocolo HTTP detalhado no RFC 2616 para o HTTP/ 1.1 e no RFC 7540 para o HTTP/2 , que é considerado um protocolo sem estado (stateless). Sem ferramentas assegurando a persistência dos dados, como cookies, seria inviável ao servidor identificar, entre diferentes requisições HTTP, que o cliente do banco que solicitou o extrato agora é aquele que fez o login na requisição anterior; ou que o consumidor fechando a compra agora é o que adicionou determinado livro à sua cesta de compras na requisição anterior.

A análise do IP da requisição não é suficiente, porque múltiplos usuários em uma rede local podem fazer requisições a um servidor externo a partir de um mesmo IP público. É o caso de vários indivíduos em uma rede doméstica, vários empregados em uma rede corporativa ou vários estudantes na rede de uma escola ou universidade, o que geraria falso positivo. Além disso, a maior parte dos usuários possui conexões com IP dinâmico, que mudam no decorrer do tempo, o que geraria falso negativo.

Cookies, portanto, são ferramentas necessárias para diversas atividades básicas e legítimas que demandam dados persistentes mediante uso do protocolo HTTP. Com efeito, o título do RFC 6265 é precisamente HTTP State Management Mechanism.

E esses dados persistentes não necessariamente são dados pessoais: apenas como exemplo, uma das utilidades dos cookies é para o balanceamento de carga em servidores, em que requisições são agrupadas e vinculadas a determinado servidor no back-end, e a otimização de cache e outros elementos é favorecida quando a requisição seguinte recai sobre o mesmo servidor específico que respondeu a requisição anterior. Trata-se de uma operação estritamente técnica de operação das redes, em que questões e dados pertinentes à pessoa natural são absolutamente irrelevantes[7].

Cookies não são diretamente editáveis pelo servidor: para alterar um cookie, é necessário que o servidor solicite a gravação de outro cookie com mesmo nome, mas valor ou metadados distintos, de modo a sobrescrever o anterior. Cookies também não são apagáveis diretamente pelo servidor: para excluir um cookie, o servidor deve solicitar a gravação de um novo cookie, de mesmo nome, mas com data de validade já expirada, de modo que o próprio navegador o remova pela expiração.

Ou seja, cookies não realizam qualquer ação e não há interação entre servidor e cookies que não seja mediada pelo agente de usuário (navegador, em sentido amplo). Cookies não rastreiam, não monitoram, não analisam comportamento, não estabelecem perfis, não disparam por si mesmos qualquer ação local ou remota. Cookies não violam diretamente a privacidade de qualquer indivíduo, já que são dados estáticos localmente armazenados.

Além disso, cookies configurados por um domínio não podem ser lidos em requisições associadas a outros domínios, de modo que dados inseridos por determinada requisição não estão disponíveis a outros servidores para monitoramento.

A visão negativa atribuída aos cookies não decorre, na perspectiva técnica, do que os cookies são ou fazem, mas do fato de que sistemas com potencial de violação da privacidade dos usuários terem adotado cookies como mecanismo de configuração de identificadores únicos. E esse problema é possível por características técnicas relacionadas ao protocolo HTTP e às páginas web, não aos cookies em si.

Adotemos, por exemplo, o site da ANPD. Quando um cidadão acessa o site da ANPD https://www.gov.br/anpd/pt-br , espera que o conteúdo servido seja egresso do domínio www.gov.br. Entretanto, embora a requisição inicial seja, de fato, ao domínio www.gov.br, cujo endereço ficará exibido na barra de endereço do navegador, o conteúdo do site é composto por inúmeros arquivos complementares de imagens, vídeos, folhas de estilo (css), e scripts que podem estar em servidores e domínios distintos.

Uma análise do código-fonte do site da ANPD em 27.05.2022 revelou requisições a diversos ativos externos. Dentre eles, há requisições para uso do Google Tag Manager:

Em cenários como o acima, embora o endereço no navegador permaneça https://www.gov.br/anpd/pt-br, o navegador está efetivamente fazendo requisições também ao endereço https://www.googletagmanager.com/gtag/js?id=UA-80181585-36, que adota um domínio do Google (www.googletagmanager.com). O documento carregado na requisição anterior, por sua vez, é um script que faz novas requisições a outros endereços em outros servidores da rede do Google, como ao script https://www.google-analytics.com/analytics.js. E, em cada uma dessas novas requisições que ocorrem ao fundo, cookies poderão ser gravados pelos servidores com base em seus próprios domínios, ou seja, os da rede do Google. Em suma: o cidadão acessou o site da ANPD, cujos cookies não podem ser lidos pelo Google, mas o próprio site da ANPD faz com que o agente do usuário realize requisições em background a dois domínios vinculados ao Google, cujos cookies, portanto, poderão ser gravados e lidos pelo Google.

Se o cidadão, após visitar o site da ANPD, visitar uma livraria online que também utilize as ferramentas do Google o que implica requisições, ao fundo, aos mesmos domínios do Google demandados durante a visita ao site da ANPD , o identificador único presente do cookie gravado durante a visita ao site da ANPD poderá ser utilizado para associar ambas as visitas a um mesmo usuário, permitindo ao Google estabelecer o perfil do visitante e oferecer, de forma personalizada, anúncios de livros no campo da proteção de dados pessoais.

Esses cookies que são gerados por requisições a outros domínios que não representam o domínio listado no endereço do navegador são chamados cookies de terceiros, e mereceram um item especial no RFC 6265. Segue a transcrição na íntegra, em tradução livre:

7.1. Cookies de Terceiros

Particularmente preocupantes são os denominados cookies de terceiros. Ao renderizar um documento HTML, um agente de usuário por vezes requisita recursos de outros servidores (como as redes de anúncios). Esses servidores de terceiros podem utilizar cookies para rastrear o usuário mesmo que o usuário nunca visite o servidor diretamente. Por exemplo, se o usuário visita um site que possui conteúdo de um terceiro e depois visita outro site que possui conteúdo do mesmo terceiro, esse terceiro pode rastrear o usuário entre os dois sites.

Alguns agentes restringem como os cookies de terceiros se comportam. Por exemplo, alguns desses agentes de usuário recusam o envio do cabeçalho Cookie em requisições de terceiros. Outros recusam o processamento do cabeçalho Set-Cookie em resposta a requisições de terceiros. Agentes de usuário variam amplamente em suas políticas de cookies de terceiros. Este documento assegura aos agentes de usuário larga amplitude para experimentar políticas de cookies de terceiros que equilibrem a privacidade e a necessidade de compatibilidade que seus usuários necessitam. Entretanto, este documento não endossa qualquer política de cookies de terceiros em particular.

Políticas de bloqueio de cookies de terceiros são muitas vezes inefetivas em atingir seus objetivos de privacidade se os servidores tentarem driblar suas restrições para rastrear usuários. Em particular, dois servidores em colaboração podem muitas vezes rastrear usuários sem o uso de qualquer cookie pela injeção de identificadores em URL dinâmicas. (grifei)

O trecho acima do RFC 6265 traz diversas informações relevantes. Uma é que o padrão estabelecido autoriza que navegadores tenham ferramentas ativas de restrição de cookies de terceiros sem violação ao protocolo. Significa dizer que plugins de bloqueio ou navegadores como o Brave que possuem políticas ativas de bloqueio por padrão não violam o RFC 6265.

Outra questão relevante é que o combate aos cookies não resolve isoladamente o problema da privacidade, porque há mecanismos alternativos para que os mesmos sistemas continuem operando. O RFC 6265 menciona o caso das URL dinâmicas. O RFC 7540, ao tratar do protocolo HTTP/2, aborda o problema do fingerprinting. Há diversos mecanismos alternativos de rastreamento, de modo que o objetivo regulatório deve estar relacionado ao tratamento de dados promovido por esses sistemas, não aos cookies em si.

Em suma, se considerarmos o exemplo do site da ANPD, todo o cruzamento, identificação e perfilamento é feito pelos sistemas nos servidores do Google, não pelos cookies. Os cookies, sem os sistemas, não fazem nada. Os sistemas, com outros identificadores distintos dos cookies, continuarão operando normalmente. Os cookies, portanto, são o alvo errado dos reguladores.

Não é sem razão que empresas como o Google estão atualizando seus produtos para não depender dos cookies: não se trata de uma mudança do modelo de negócio, apenas das ferramentas associadas. E os reguladores precisam estar atentos a isso para que o peso regulatório em atividades de baixo risco não seja desproporcionalmente elevado para soluções sem impacto relevante nas atividades de alto risco.

Infelizmente, não é o que tem sido observado na prática dos reguladores.


3. Cookies: uma análise na perspectiva da evolução regulatória

Os cookies ganharam especial atenção no contexto regulatório internacional com a ePrivacy Directive (2002/58/EC) europeia doravante denominada ePD. Com o objetivo de ampliar a proteção de dados em comunicações eletrônicas, a ePD trouxe diversas regras, como as relacionadas às mensagens de marketing não solicitadas por e-mail ou SMS, mas seu maior impacto foi na regulação dos cookies, a ponto de ser apelidada de Cookie Law.

A ePD declara no Considerando 25 que cookies são uma ferramenta legítima. Entretanto, usuários devem receber informações claras e precisas em conformidade com a Diretiva 95/46/EC (que foi sucedida pelo RGPD) acerca dos propósitos dos cookies. Além disso, usuários devem ter a oportunidade de recusar ter um cookie armazenado em seu equipamento. A informação e o direito de recusa podem ser oferecidos uma vez para uso de vários cookies durante a mesma conexão e em conexões subsequentes, e o método de solicitação de consentimento deve ser o mais amigável possível.

Em sua redação original, o Artigo 5º(3) da ePD, em linha com o Considerando 25, impunha a necessidade de informação ao usuário de forma clara e compreensiva acerca dos cookies, devendo ser oferecido ao usuário o direito de recusa. A redação original, portanto, isoladamente considerada, admitia um regime de opt-out.

O Artigo 5º(3) da ePD também indicava expressamente que a regra não impedia o armazenamento técnico ou acesso que tivesse como finalidade exclusiva efetuar ou facilitar a transmissão de uma comunicação através de uma rede de comunicações eletrônicas, ou que fosse estritamente necessário para fornecer um serviço no âmbito da sociedade de informação que tenha sido explicitamente solicitado pelo assinante ou pelo utilizador.

Em 2009, a ePD foi alterada pela Diretiva 2009/136/EC. A nova redação do Artigo 5º(3) tornou expressa a necessidade de consentimento para quaisquer cookies que não sejam os estritamente necessários. A alteração na ePD, entretanto, ocorreu em meio a divergências. Treze Estados-membros Alemanha, Áustria, Bélgica, Eslováquia, Espanha, Estônia, Finlândia, Irlanda, Letônia, Malta, Polônia, Reino Unido e Romênia se manifestaram formalmente indicando sua posição de que a alteração do Artigo 5º(3) não objetivava alterar o requisito então vigente de que o consentimento seria exercido como um direito de recusa ao uso de cookies (legitimando o regime de opt-out), amparando-se no Considerando 66 da Diretiva 2009/136/EC, que, com base na redação original da ePD, fazia referência ao direito de recusa.

Apesar das expressas divergências entre os Estados-membros, o fato é que a nova redação da ePD gerou uma nova onda de ajustes para que os sites adotassem o regime de opt-in com o consentimento manifestado antes da gravação dos cookies e não mais de opt-out como muitas vezes adotado em função da redação original da ePD e ainda admitido por diversos Estados-membros. Em todos os casos foi mantida, entretanto, a exceção aos cookies estritamente necessários, que possuem autorização legal direta.

Vê-se, portanto, que a distinção binária entre cookies estritamente necessários e demais cookies para efeitos de exigência de consentimento não decorre da Diretiva de Proteção de Dados Pessoais (95/46/CE) vigente quando da publicação da ePD e nem do superveniente Regulamento Geral sobre a Proteção de Dados 2016/679 (RGPD). A distinção binária que exige consentimento para todos os cookies que não sejam estritamente necessários decorre diretamente da ePD, norma que não possui qualquer correspondente no ordenamento jurídico brasileiro.

Foi a adequação dos sites à ePD e não às normas gerais de proteção de dados que gerou a profusão dos denominados banners de cookies. E a conjugação das exigências da ePD quanto à exigência de consentimento para cookies, as exigências das normas de proteção de dados pessoais notadamente a Diretiva 95/46/EC, e, posteriormente, o RGPD acerca dos requisitos para a coleta e gestão de consentimento, e o alcance da expressão estritamente necessários para o acionamento da excludente geraram inúmeras dificuldades regulatórias e tratamento heterogêneo dentre as autoridades de proteção de dados europeias que, até hoje, não estão superados.

Ainda em 2012, o Grupo de Trabalho sobre a Proteção de Dados do Artigo 29 (sucedido pelo Comitê Europeu para a Proteção de Dados CEPD) expediu o Parecer 4/2012 sobre a isenção de consentimento para a utilização de cookies[8], em tentativa de esclarecer, dentre outros pontos obscuros, quais seriam os cenários de cookies estritamente necessários para fins de dispensa de consentimento.

O Parecer 4/2012 registrou uma curiosa interpretação para os cookies de estatísticas (analytics): por um lado, afirmou expressamente que cookies de estatísticas não são estritamente necessários já que, se forem desativados, não há qualquer comprometimento das funcionalidades para os usuários de modo que, pela ePD, dependeriam de consentimento. Por outro lado, afirma expressamente que os cookies próprios de estatísticas não são suscetíveis de criar um risco para a privacidade sempre que se limitem estritamente a fins próprios de estatísticas agregadas e quando são utilizados por sites que já fornecem informações claras sobre os cookies em seus avisos de privacidade, bem como garantias adequadas de proteção da privacidade. E foi além: o Parecer 4/2012 afirma expressamente que caso o artigo 5º(3) da ePD venha a ser revisto no futuro, o legislador europeu poderia aditar justamente um terceiro critério de isenção do consentimento para os testemunhos [cookies] que tenham por finalidade estrita obter estatísticas agregadas e anónimas de origem (Parecer 4/2012, item 4.3, 4º parágrafo).

Ao fim, o Parecer 4/2012 propôs a dispensa de consentimento para cookies das seguintes naturezas: 1) cookies alimentados pelo usuário (session-id), pela duração da sessão ou cookies persistentes limitados a algumas horas em determinados casos; 2) Cookies de autenticação, usados para serviços autenticados, pela duração da sessão; 3) Cookies de segurança centrados no usuário, usados para detectar abusos de autenticação, e por uma duração persistente limitada; 4) Cookies de sessão de players de conteúdo multimídia, como cookies do flash player, pela duração da sessão; 5) Cookies de sessão de balanceamento de carga, pela duração da sessão. 6) Cookies persistentes de customização da interface do usuário, pela duração da sessão (ou um pouco mais). 7) Cookies de terceiros para compartilhamento de conteúdo para membros logados em uma rede social.

Conforme se observa, embora o Parecer 4/2012 tenha reconhecido o problema relacionado aos cookies de estatísticas, foi mantida a exigência de consentimento por força do teor literal da ePD. O que se observava, entretanto, era a profusão de banners que davam transparência à presença de cookies, mas cujo consentimento era manifestado pela navegação continuada. Entretanto, diversos cookies de aplicação técnica, ainda que não fossem necessários na perspectiva do titular de dados como os cookies de players multimidia ou os cookies de balanceamento de carga foram incluídos pelo regulador em uma lista mais abrangente de cookies estritamente necessários para fins de dispensa do consentimento.

Em 2013, foi expedido o Documento de Trabalho 02/2013 pelo Grupo de Trabalho sobre a Proteção de Dados do Artigo 29, provendo orientação na obtenção de consentimento para cookies. O documento reconhece, expressamente, (i) que as implementações práticas para os requisitos legais de obtenção de consentimento para cookies variavam de acordo com o Estado-membro; e que (ii) diferentes noções de consentimento existem nos diferentes Estados-membros[9].

De forma a gerar uma orientação que assegurasse conformidade em todos os Estados-membros, o Documento de Trabalho 02/2013 estabeleceu que o consentimento deveria ser obtido mediante comportamento ativo do usuário, divergindo da posição dos treze Estados-membros que sustentavam a possibilidade do regime de opt-out e que ferramentas para a obtenção de consentimento poderiam incluir splash screens (telas de abertura de aplicativos), banners, caixas de diálogo modais, configurações de navegadores etc.

Quanto às configurações de navegadores, o documento registra que o Considerando 66 da Diretiva 2009/136/CE (que alterara o ePD em 2009) já estabelecia essa previsão. De fato, a parte final do referido Considerando dispõe que:

Sempre que tecnicamente possível e eficaz, e em conformidade com as disposições aplicáveis da Diretiva 95/46/CE, o consentimento do utilizador relativamente ao tratamento de dados pode ser manifestado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação. O cumprimento destes requisitos deverá ser tornado mais eficaz através do reforço dos poderes concedidos às autoridades nacionais competentes.

Com o advento do RGPD, o consentimento da ePD foi novamente atrelado ao consentimento para os tratamentos de dados pessoais em geral. Essa matéria foi objeto do Parecer 5/2019 do CEPD sobre a interação entre a ePD e o RGPD, particularmente em matéria de competência, atribuições e poderes das autoridades de proteção de dados[10].

O Parecer 5/2019 concluiu que existem vários exemplos de atividades de tratamento que acionam o âmbito de aplicação material da ePD e do RGPD conjuntamente, e [U]m exemplo evidente é a utilização de cookies (Parecer 5/2019, item 29). Um dos efeitos práticos era a exigência de que o consentimento para cookies previsto na ePD cumprisse os requisitos do RGPD.

A matéria também foi submetida ao Tribunal de Justiça da União Europeia, que, em 2019, ao avaliar a interação entre a ePD e o RGPD, trouxe duas conclusões relevantes para este estudo. A primeira é que a exigência de consentimento para cookies da ePD se aplica mesmo que os cookies não contenham dados pessoais. Ou seja, a regra da ePD possui incidência independente. A segunda é que o consentimento a que essas disposições se referem não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento do usuário de um site, por intermédio de cookies, são autorizados mediante uma opção pré-validada que esse utilizador deve desmarcar para recusar o seu consentimento[11]. Ou seja: foi reafirmada a ideia de que o consentimento para cookies depende de uma ação expressa afirmativa, com a negativa sendo o padrão.

A maior parte do peso regulatório do tratamento dado aos cookies emana da conjunção da obrigatoriedade de consentimento da ePD que, reitere-se, incide ainda que o cookie não contenha dados pessoais com a obrigatoriedade de ação expressa afirmativa para a manifestação desse consentimento, dadas as restrições tecnológicas.

Entretanto, ficou claro, a partir das manifestações dos reguladores e tribunais europeus, que o relevante é a ação expressa afirmativa, e o uso de banners é apenas uma dentre diversas formas aceitáveis de se obter essa ação expressa afirmativa.

Com a predominância do uso prático dos banners, e com a posição binária da ePD que impunha o consentimento para quaisquer cookies que não fossem estritamente necessários, requerendo ação expressa afirmativa, uma série de consequências práticas foram observadas no plano econômico e regulatório.


4. Cookies: uma análise na perspectiva do impacto regulatório

A abrangência da incidência do consentimento mediante ação expressa afirmativa, em virtude do peso regulatório que estabelecia sobre diversos setores, continuou sendo objeto de diversas divergências entre as autoridades nacionais de proteção de dados e trouxe alto custo regulatório para os agentes de tratamento. Um caso comum de alto impacto regulatório para atividade reconhecidamente de baixo risco foi o uso de cookies por ferramentas de estatísticas para avaliação do desempenho de sites.

Com efeito, a International Association of Privacy Professionals (IAPP), maior organização de profissionais de proteção de dados no planeta, passou a adotar filtros de geolocalização para identificar quais visitantes se submetiam ou não às regras da ePD, de modo a reverter os impactos negativos que foram observados a partir da adoção global de consentimento afirmativo para cookies de estatísticas. Em documento aberto de 12.11.2020, após a mudança de sua ferramenta de cookies para abandonar o regime global mais rígido, a IAPP publicou o seguinte (tradução livre) [12]:

Nós observamos que a maior parte dos visitantes do site continuaram a ignorar o banner. Como o padrão global era o de não configurar esses cookies sem consentimento afirmativo, as estatísticas do site da IAPP foram severamente afetadas. Para ser franco, como uma organização focada em entregar conteúdo significativo para nossos membros, principalmente via nosso website, nossas estatísticas da web [web analytics] têm sido efetivamente inúteis para ajudar nosso time de conteúdo a determinar que tipos e tópicos de conteúdo os membros e visitantes consideram mais úteis. (grifei)

Diante do impacto negativo da regulação, a IAPP passou a identificar a origem dos visitantes mediante geolocalização pelo endereço IP e, para os cookies de estatísticas, manteve o critério de opt-in apenas para os indivíduos em ambiente regulado pela ePrivacy Directive e pelo RGPD. Para os visitantes dos demais locais do mundo, a IAPP passou a inserir os cookies de estatísticas por padrão (sem consentimento), mantendo a opção de opt-out. Esse é, ainda, o método adotado para visitantes do Brasil.

Registre-se que a crítica e providências acima não foram adotadas por uma empresa como o Google, Apple, Facebook, Amazon ou Microsoft (GAFAM). Foram críticas e providências oriundas da maior associação de profissionais de proteção de dados no mundo, o que deveria, ao menos em tese, gerar alguma reflexão pelos reguladores.

E, de fato, a questão do consentimento para cookies nunca produziu uma interpretação de consenso entre as autoridades de proteção de dados europeias. Com efeito, foram diversas as tabelas elaboradas com o propósito de simplificar a análise de como os cookies são regulados em cada um dos Estados-membros[13].

O impacto negativo da demanda por consentimento afirmativo para quaisquer cookies fora da lista de estritamente necessários não se restringiu às organizações que veiculam conteúdo online e que utilizavam estatísticas para fins legítimos.

Em 2013, a Comissão Europeia solicitou o estudo ePrivacy Directive: assessment of transposition, effectiveness and compatibility with proposed Data Protection Regulation[14]. O documento afirma o seguinte, em tradução livre:

É difícil negar que a introdução da regra do consentimento no art. 5º (3) não atingiu inteiramente seu objetivo. Isso se deve em grande parte ao fato de que o usuário está recebendo uma mensagem de aviso sobre o uso de cookies em quase todos os sites. Obviamente, o efeito de tais mensagens de aviso aumentaria substancialmente se elas só aparecessem quando o site contivesse cookies de terceiros, cookies usados ​​para marketing direto ou, de forma mais geral, todos os cookies que não estão relacionados com a finalidade pela qual o usuário está navegando no site.

Adotando linha similar a diversas posições técnicas anteriores, o estudo de 2013 propôs a criação de excludentes adicionais à regra do consentimento, indicando, expressamente, uma excludente para cookies utilizados exclusivamente para estatísticas de uso de sites.

Além disso, ao prever a possibilidade de substituição dos banners por configurações nos navegadores, o estudo propôs que somente navegadores ou aplicativos que por padrão rejeitem cookies de terceiros e que requeiram ação afirmativa para aceitar a configuração e a transmissão da informação contida nos cookies a sites específicos possam ser ferramenta para consentimento válido e efetivo.

Em 2017, novamente por solicitação da Comissão Europeia, foi conduzido o estudo Evaluation and review of Directive 2002/58 on privacy and the electronic communication sector[15]. Segundo o relatório final do estudo, algumas autoridades nacionais e outras partes interessadas ainda consideravam o escopo da ePrivacy Directive muito amplo. E indica, explicitamente, o seguinte (tradução livre):

A eficácia do Artigo 5º(3) não está totalmente assegurada. Isso se deve ao fato de que esta disposição tende a ser o principal fator de custo associado pelas empresas ao ePD, embora nem todos os custos pareçam estar justificados e os benefícios para os cidadãos têm sido questionados. Em particular, com base nas ambiguidades relacionadas ao escopo e ao mecanismo de consentimento, as empresas podem gastar mais tempo do que o necessário para implantar o mecanismo de consentimento, e possivelmente precisar investir em aconselhamento jurídico. Além disso, com base no fato de que o artigo 5º (3) não faz distinção entre diferentes tipos de cookies, as empresas que usam apenas cookies não invasivos à privacidade também precisam obter consentimento. Ao mesmo tempo, os usuários se sentem incomodados com o mecanismo de consentimento, que muitas vezes não oferece uma escolha real.

O estudo também indica que, na perspectiva dos titulares de dados, há o risco de os usuários ficarem sobrecarregados tendo que manifestar consentimento em situações que não sejam absolutamente necessárias. E isso estaria proximamente relacionado à crítica de que o artigo não possui exceções suficientes.

Os efeitos negativos do tratamento dado pela ePD já estão claros entre os reguladores europeus. Não apenas há o reconhecimento do problema da fadiga de consentimento para os titulares de dados, mas também o de que a exigência de consentimento para atividades de baixo risco notadamente os cookies de estatísticas gera peso regulatório desproporcional.

Neste contexto, o Information Commissioners Office (ICO), em setembro de 2021, solicitou aos membros do G7 uma melhor solução para o problema dos banners de cookies[16]. Na realidade, a Data Reform Bill já está na agenda regulatória do Reino Unido, tendo por um dos pressupostos a necessidade de rever aspectos do RGPD que encorajam burocracia excessiva e cria peso para os negócios com poucos benefícios para os cidadãos[17].

Além disso, algumas autoridades europeias, como a CNIL, voltaram a admitir abertamente o uso de cookies de estatísticas independentemente de consentimento pelo artifício de categorizá-los como estritamente necessários desde que provenientes de soluções homologadas e com configurações de privacidade específicas adotadas. Em documento de setembro de 2021, a CNIL qualificou soluções para estatísticas como Matomo e Piwik PRO que serão melhor detalhadas adiante, ao tratarmos de legítimo interesse como elegíveis para um regime de opt-out ainda que adotem cookies[18].

Paralelamente, a Comissão Europeia já se concentra na proposta de uma ePrivacy Regulation, que substituirá a ePD[19]. Dentre as alterações propostas, está o reconhecimento do problema da fadiga de consentimento, admitindo-se, expressamente, que o sistema de banners seja substituído por configurações nos navegadores. Além disso, o rol de cookies que dispensam consentimento foi ampliado, com a inclusão expressa dos cookies de estatísticas.

Fica claro, portanto, que se o Brasil quer alinhar seu entendimento acerca do consentimento para cookies ao modelo internacional prevalente, olhar para a ePD como referência é um equívoco, porque implica adotar modelo que já está sendo rejeitado por seus próprios idealizadores.

5. Cookies: uma proposta regulatória à luz da LGPD e da experiência internacional

A obrigatoriedade do uso da base consentimento para quaisquer cookies que não se enquadrem na categoria de estritamente necessários é uma previsão expressa da ePD e decorre do fato de um servidor estar solicitando gravação de dados em um dispositivo do usuário, não importa a natureza desses dados.

No Brasil, por não existir lei equivalente à ePD que imponha consentimento pelo mero uso da tecnologia, cookies que não contenham dados pessoais não estão alcançados pelo regime da LGPD. Além disso, o tratamento de dados pessoais em cookies pode se submeter, em tese, a todas as hipóteses autorizativas de tratamentos de dados pessoais do art. 7º e 11 da LGPD, bem como às excludentes gerais do art. 4º da LGPD.

Uma eventual pretensão da ANPD de restringir ao consentimento cookies que, pela LGPD, estariam autorizados por outras bases legais, constituiria excesso do poder regulamentar e constituiria provisão regulatória nula de pleno direito.

Uma proposta regulatória à luz da LGPD deve, portanto, considerar aspectos mais amplos, como o grau de incidência regulatória para cookies que não contenham dados pessoais; os efeitos das excludentes do art. 4º da LGPD; as diversas bases legais que legitimam o tratamento de dados pessoais; e, no extremo, cenários de uso de cookies em que sequer o consentimento deveria autorizar o tratamento de dados.

Os itens a seguir refletem ideias que, longe de representarem uma posição definitiva, constituem uma base propositiva com o objetivo de fomentar o debate. Ressalte-se que o ambiente regulatório para cookies no Brasil ainda não está estabelecido, de modo que os posicionamentos abaixo não refletirão, necessariamente, a posição dos reguladores.

5.1 Regulação para cookies que não contenham dados pessoais

O primeiro aspecto a ser ressaltado em uma regulação para cookies a partir da LGPD e do poder regulador da ANPD é que nem todos os cookies contêm dados pessoais. Isso é expressamente reconhecido na regulação europeia, foi reconhecido na decisão Tribunal de Justiça da União Europeia, e é evidente pela própria natureza de diversos cookies.

Considerando que inexiste no Brasil lei equivalente à ePD, que exija consentimento para cookies pelo simples fato de haver gravação de dados em equipamento do usuário, bem como o direito fundamental de ninguém se submeter a fazer ou a deixar de fazer qualquer coisa senão em virtude de Lei, conclui-se, de início, que cookies que não contenham dados pessoais (i) não requerem consentimento prévio; (ii) não se submetem às regras da LGPD; e (iii) não são alcançáveis pelo poder regulador da ANPD.

Estariam nesta categoria, por exemplo, cookies de balanceamento de carga e demais cenários em que os dados dos cookies estão relacionados às operações de comunicação de rede, e não a uma pessoa natural.

5.2 Regulação para cookies cujos tratamentos de dados pessoais estejam contidos nas excludentes do art. 4º da LGPD

O art. 4º da LGPD estabelece diversos cenários sobre os quais a LGPD não será aplicável:

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II - realizado para fins exclusivamente:

a) jornalístico e artísticos; ou

b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III - realizado para fins exclusivos de:

a) segurança pública;

b) defesa nacional;

c) segurança do Estado; ou

d) atividades de investigação e repressão de infrações penais; ou

IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Considerando a inexistência de uma lei equivalente à ePD no Brasil, é inexigível o consentimento ou a incidência de quaisquer outras bases legais da LGPD para cookies relacionados às atividades excluídas da incidência da lei pelo art. 4º.

O único cenário obscuro é o do tratamento para fins acadêmicos, já que a redação do art. 4º, II, b, da LGPD remete aos arts. 7º e 11 da lei. Mas não se trata de um privilégio para os cookies: a regulação dos tratamentos de dados pessoais para fins acadêmicos é um dos aspectos mais crípticos da LGPD.

De toda forma, para os cenários em que está efetivamente afastada a incidência da LGPD, está afastada, por consequência lógica e jurídica, a necessidade de consentimento para cookies ou o enquadramento em quaisquer outras bases legais. Passemos a alguns exemplos comuns desse cenário.

Diversas pessoas naturais possuem sites próprios em que se expressam online para fins particulares e não econômicos. É o caso de sites dedicados a um hobby, ou a poesias, ou a determinado esporte. Seja qual for o propósito de um site de pessoa natural criado para fins particulares e não econômicos, os tratamentos de dados pessoais a ele relacionados inclusive eventuais cookies independem de consentimento e não se sujeitam à LGPD, tendo em vista a excludente do art. 4º, I, da LGPD.

Daí que, em um site pessoal para fins particulares e não econômicos, o uso de ferramentas como estatísticas (sem redes de anúncio agregadas), cookies relacionados a players multimídia ou cookies para compartilhamento de conteúdo em redes sociais independem de base legal ou do cumprimento de quaisquer obrigações que decorram exclusivamente da LGPD.

O relevante, aqui, é que a excludente se restrinja aos fins particulares e não econômicos. Se o indivíduo resolve vender seu e-book de poesias, ou monetizar o site com redes de anúncios, ou inserir cookies de terceiros que realizam o rastreamento ou perfilamento com fins lucrativos (ainda que a pessoa natural que opera o site não tenha proveito econômico direto), tais tratamentos não estarão cobertos pela excludente e exigirão enquadramento em alguma base legal da LGPD, bem como a observância dos demais requisitos e princípios.

Outro cenário comum de cookies com dados pessoais em que opera excludente de incidência da LGPD são as atividades de segurança pública, defesa nacional, segurança do Estado e investigação e repressão de infrações penais previstas no art. 4º, III, da LGPD.

Inúmeros sistemas de informação para essas finalidades adotam o protocolo HTTP para comunicação e fazem uso de cookies como requisitos de segurança das operações e autenticação de agentes autorizados. Em tais casos, a LGPD não é aplicável sem prejuízo da incidência do art. 4º, §§1º a 4º, da LGPD.

Registre-se, entretanto, que a excludente é fixada com base na finalidade do tratamento, não no órgão ou entidade que promove o tratamento. O site institucional de uma organização militar ou de segurança pública não está, só pela natureza da entidade, excluído da incidência da LGPD e, portanto, da regulação geral para cookies.

Além disso, já há Projeto de Lei com o objetivo de regular a proteção de dados pessoais em diversas dessas atividades do art. 4º, III, da LGPD, com potencial incidência sobre o uso de cookies caso haja a conversão em Lei[20].

Por fim, caso curioso de excludente é a do art. 4º, IV, da LGPD, que afasta a incidência da LGPD no tratamento de dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.

Trata-se de cenário atípico em que o tratamento não estará submetido à LGPD e, portanto, o regime de cookies não será o regulado pela LGPD ou pela ANPD , mas haverá potencialmente a incidência dos mecanismos de proteção do país de origem dos dados. O objetivo aparente é o de evitar que empresas ou indivíduos brasileiros contratados por empresas no exterior precisem se submeter a uma dupla carga regulatória.

Suponhamos que empresa brasileira preste serviços de otimização de sites para uma empresa alemã e, para isso, receba identificadores dos usuários da empresa alemã. A persistência de tais identificadores recebidos é viabilizada mediante cookies próprios (próprios da empresa brasileira, mas que serão cookies de terceiros no site da empresa alemã). O comportamento dos visitantes alemães no site alemão é monitorado e avaliado pela empresa brasileira, e ajustes no site e relatórios semanais são enviados à contratante alemã, sem que dados pessoais dos visitantes alemães sejam transferidos a quaisquer outros agentes brasileiros.

No cenário acima, considerando que a Alemanha por se submeter ao RGPD seja reconhecida como país com grau de proteção adequado, tais operações, inclusive a necessidade ou não de consentimento pelos visitantes alemães em relação a esses cookies da empresa brasileira, não estarão regidas pela LGPD, mas pelo RGPD.

Daí que os cookies da empresa brasileira, inseridos como cookies de terceiros no site da empresa alemã, e os tratamentos de análise subsequentes, dependeriam de consentimento. Não em virtude da LGPD, que seria inaplicável pela excludente do art. 4º, IV, da LGPD; mas em virtude da ePD e do RGPD, que seriam diretamente aplicáveis ao caso pela submissão das operações à jurisdição alemã.

5.3 Regulação para cookies em tratamentos submetidos às bases legais da LGPD

Na maioria dos casos práticos, a utilização de cookies será regulada por uma das bases legais da LGPD, que incidirá sob o tratamento de dados pessoais no caso concreto. Bases legais distintas imporão limites e cautelas distintas. Nesse contexto, passa-se à análise das principais bases legais aplicáveis para cookies.

5.3.1 Consentimento

Em virtude do ePD, o consentimento se estabeleceu, no contexto internacional, como a base legal dominante para cookies reputados não estritamente necessários. Entretanto, as dificuldades para o uso do consentimento são frequentemente subestimadas.

Preliminarmente, registre-se que o consentimento válido deve decorrer de uma manifestação (i) livre, (ii) informada e (iii) inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Para ser livre, não é possível a obtenção de consentimento quando não há opção concreta para o titular. Um cookie para finalidades não esperadas pelo titular como os de uma rede de anúncios cujo consentimento seja imposto para que um cidadão tenha acesso a serviços públicos, ou a um processo seletivo de emprego, ou a uma plataforma escolar, evidentemente não terá sido livre.

Para ser informado, é fundamental que o titular, ao ser questionado quanto ao consentimento, tenha conhecimento das finalidades do tratamento e das consequências positivas e negativas do consentimento e da sua recusa. Avisos de privacidade gigantescos, genéricos e em linguagem críptica não asseguram consentimento informado.

Para ser inequívoco, o consentimento deve decorrer de ação afirmativa do titular. O silêncio, a inércia, o prosseguimento diante de opções pré-selecionadas não configuram consentimento inequívoco. Daí porque a coleta válida de consentimento para cookies deve decorrer de mecanismo que assegure a privacidade por padrão.

Um equívoco recorrente é a ideia de que banners sejam o único mecanismo para a obtenção de consentimento para cookies. Não são. Mesmo no regime europeu, os reguladores admitem, expressamente, outros mecanismos para o consentimento, contanto que os critérios acima sejam observados. É o caso de splash screens (telas de abertura de aplicativos), caixas de diálogo modais que podem ser mais intrusivas que banners, já que obstam qualquer atividade até que a decisão seja tomada, favorável ou negativamente e configurações em navegadores, contanto que haja a privacidade por padrão e razoável grau de granularidade e controle.

Um exemplo é o navegador Brave, que possui o bloqueio de rastreadores e cookies de publicidade por padrão, e permite a liberação individualizada para sites de interesse. Em teoria, um site que detectasse que o visitante está utilizando o Brave não precisaria usar o banner de consentimento para cookies de publicidade: se o usuário ativamente liberou cookies de publicidade para o site, o consentimento já fora dado; e, se não liberou, o consentimento via banner seria inútil, porque o agente de usuário (Brave), em virtude da própria configuração, recusaria a inserção do cookie pelo servidor (a aprovação de um cookie via banner, por limitações tecnológicas, não reverte um bloqueio previamente configurado no navegador).

Uma dificuldade inerente a esse modelo é o fato de que diversos navegadores, seja para evitar quebra de compatibilidade com determinados sites, seja para proteger a privacidade dos usuários e evitar técnicas como fingerprinting, mascaram o cabeçalho de requisição User-Agent. Quando um indivíduo navega na Internet utilizando o Brave (que ativa a privacidade por padrão para cookies de redes de anúncios), o cabeçalho que identifica o navegador é similar ao do Chrome (cuja abordagem de privacidade é distinta). Até que sobrevenha medida regulatória em relação aos próprios navegadores, conferir se o navegador específico do usuário apresenta opções de privacidade por padrão para determinados cookies não constitui tarefa operacionalmente simples.

Portanto, dadas as dificuldades operacionais neste momento para controles em navegadores, e o fato de que alternativas podem ser ainda mais intrusivas, os banners se tornaram o mecanismo mais comum para coleta de consentimento para cookies.

Independentemente do mecanismo de consentimento, um aspecto relevante é que listar os cookies por seus nomes técnicos dificilmente viabilizaria, para um titular leigo, uma escolha livre e informada. Daí a prática de agregação dos cookies por finalidade. Um dos modelos mais adotados globalmente é a categorização da Câmara de Comércio Internacional (ICC), proposta na ICC UK Cookie Guide de 2012[21].

A categorização quadripartite da ICC segrega os cookies em (i) estritamente necessários assim considerados os necessários para viabilizar um serviço específico solicitado pelo usuário, como os de uma cesta de compras; (ii) de desempenho como os cookies para estatísticas e outras análises que aprimorem o funcionamento de um site; (iii) de funcionalidade como os que gravam o idioma preferido do usuário, ou a região do usuário para a indicação personalizada da previsão do tempo; e (iv) de rastreamento e publicidade como os que identificam o perfil do usuário para o direcionamento de publicidade baseada em seus interesses presumidos.

Embora a categorização quadripartite da ICC possa ser útil em avisos de privacidade para efeitos de transparência, a utilidade, em banners de consentimento, é mitigada no Brasil. Isso porque, pela inexistência de norma equivalente à ePD, a necessidade de consentimento não é consequência direta da necessidade do cookie.

No Brasil, outras bases legais podem ser utilizadas para todas as categorias apesar da evidente dificuldade de afastar o consentimento para cookies de rastreamento e publicidade. Embora o dever de transparência quanto aos tratamentos e respectivas finalidades permaneça, o esclarecimento quanto às finalidades dos cookies que independam de consentimento (tenham ou não sido enquadrados como estritamente necessários) não precisa ser materializado por intermédio de um banner, sendo suficiente um aviso de privacidade.

Daí que, no Brasil, não parece haver utilidade técnica na distinção de cookies entre necessários ou não necessários. Melhor parece que a distinção regulatória seja entre os cookies baseados em consentimento e não baseados em consentimento, restringindo-se, àqueles, os requisitos para as coletas de consentimento, dentre as quais o eventual uso de banners.

Por fim, é preciso superar a ideia de que o consentimento legitima qualquer tratamento. Com frequência, ações de consentimento geral como os botões para Aceitar Todos decorrem do desejo de desobstruir o acesso ao conteúdo, da indução por dark patterns (indução de comportamento por técnicas aplicadas à interface de usuário), ou mera confiança institucional, como no caso de sites governamentais.

Não parece razoável e compatível com os princípios que regem o tratamento de dados pessoais que um consentimento geral em site governamental conduza à implantação de cookies relacionados a rastreadores e sistemas de perfilamento vinculados a redes de anúncios de empresas estrangeiras. A pergunta a ser feita, antes da definição quanto à necessidade do consentimento para os cookies, é quanto à legitimidade do próprio tratamento.

5.3.2 Cumprimento de obrigação legal ou regulatória

Cookies eventualmente serão necessários para viabilizar o cumprimento de obrigação legal ou regulatória pelo controlador. Nesses casos, é inaplicável o consentimento, já que a recusa importaria a inviabilidade de conformidade legal.

Como exemplo, se há obrigação legal ou regulatória para que o acesso a determinado sistema de informação seja controlado, os cookies que asseguram a restrição do acesso a indivíduos autorizados conterão dados pessoais vinculados a essa obrigação legal ou regulatória. O consentimento do titular será irrelevante, porquanto incapaz de modificar a sujeição do controlador ao próprio regime legal, mantido, entretanto, o dever de transparência.

5.3.3 Execução de contrato ou de procedimentos preliminares relacionados a contrato

Com a digitalização da economia e a virtualização de relações alavancada pelo Covid-19, cada vez mais contratos são celebrados e executados pela Internet. E, com frequência, a execução de tais contratos imporá o uso de cookies.

Por exemplo, se, mediante contrato, determinado usuário adquire acesso a uma área de membros ou a um ambiente escolar online, os cookies que permitem que o usuário efetivamente ingresse no ambiente contratado estão vinculados a um cumprimento de contrato.

Se um indivíduo, em uma loja online, insere itens em uma cesta de compras, os cookies que preservam a cesta entre as requisições e a vinculam a determinado visitante até o pagamento constituem procedimento preliminar a contrato.

Não faz sentido exigir consentimento para o cookie que permite que o titular acesse o serviço que ele mesmo contratou, ou que armazene item em cesta de compras preenchida pelo próprio titular de dados. Aplicável, nesses casos, a base de execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, e a seu pedido.

5.3.4 Administração pública para a execução de políticas públicas

Diversas políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres podem demandar interações online com agentes públicos ou cidadãos que imporão o uso de cookies.

Um exemplo é a autenticação de cidadãos em ferramentas de governo eletrônico, previstas em políticas públicas formalmente normatizadas. Sem cookies que permitam a autenticação, as próprias políticas públicas ficariam comprometidas.

Há diversos outros cenários possíveis, como campanhas de conscientização em temas de interesse público, sistemas para a requisição eletrônica de serviços públicos por cidadãos, plataformas de processo eletrônico etc.

A adoção de cookies instrumentais a políticas públicas requer, entretanto, duas cautelas inerentes a interpretações já manifestadas pela ANPD no Guia Orientativo de Tratamento de Dados Pessoais pelo Poder Público[22].

A primeira é o conceito de políticas públicas adotado pela ANPD, que requer, materialmente (i) um programa ou ação governamental específico; e, formalmente, (ii) ato formal que institua a política pública.

A segunda é o conceito de administração pública adotado pela ANPD, que limitou a adoção da base legal ao exercício de funções administrativas, com vistas à execução de políticas públicas. No caso de atividades finalísticas de entidades públicas, derivadas de normas de organização, entendeu a ANPD que a base legal adequada seria o cumprimento da obrigação legal ou regulatória que emanaria das normas de organização.

A interpretação da ANPD na matéria não parece ter sido a melhor. Primeiro, porque a expressão administração pública no arts. 7º e 11 da LGPD parece mais associada a seu aspecto subjetivo, abrangendo todos os órgãos e entidades da administração pública, e não a seu aspecto objetivo, como adotado pela ANPD para a limitar às funções administrativas. Segundo, porque atividades finalísticas que emanam de normas de organização compreendem amplo espectro de tratamentos discricionários, o que enfraquece o vínculo esperado entre um tratamento de dados pessoais específico e a correspondente obrigação legal ou regulatória.

De qualquer forma, compreender a atual interpretação da ANPD é relevante ao se definir a base legal para cookies, sendo certo que, em ambos os casos cumprimento de obrigação legal ou políticas públicas , o tratamento dispensará consentimento.

5.3.5 Legítimo Interesse

Uma das bases legais mais polêmicas para o tratamento de cookies é o legítimo interesse, seja pelas dificuldades legais próprias, seja pela tendência de atrair opiniões extremas dados os riscos e potenciais facilidades da base legal.

Preliminarmente, é preciso reconhecer que a base do legítimo interesse está na LGPD e é válida, de modo que poderá ser usada para quaisquer tratamentos de dados pessoais inclusive os relacionados a cookies caso seus requisitos estejam atendidos. As preferências teóricas ou ideológicas quanto a uma maior restrição ou flexibilização da base são apenas isso: preferências teóricas ou ideológicas. Mas não criam, por si, restrições ou faculdades aos agentes de tratamento.

O problema é que toda interpretação, seja a deste artigo, seja a que vier ser adotada pelos reguladores, seja a dos campos extremos em favor ou contra o legítimo interesse, parte de elementos teóricos e ideológicos. O contorno deste artigo tenta se restringir, portanto, aos cenários do razoável consenso que parece se formar entre os reguladores.

Partamos de um dos mais frequentes usos de cookies e cujo enquadramento no legítimo interesse, isoladamente, permitiria que significativa quantidade de sites não mais necessitasse de banners de consentimento: os cookies de estatísticas (analytics).

A simples contagem de usuários em ferramentas de estatísticas de sites possui, conforme reconhecido pelos reguladores europeus, baixo risco para os titulares de dados, a ponto de haver diversas propostas para que uma revisão da ePD estabeleça expressamente essa excludente de consentimento.

Com efeito, a proposta da ePrivacy Regulation, que potencialmente substituirá a ePD, possui expressa dispensa de consentimento para cookies quando forem necessários para uma medição de audiência da web, desde que tal medição seja efetuada pelo prestador do serviço da sociedade de informação solicitado pelo utilizador final (Art. 8º, 1, d, e Considerando 21 da proposta[1]). Ao mesmo tempo, se mantém radical na necessidade de consentimento para cookies de rastreamento e publicidade, bem como para adoção de outros mecanismos que monitoram sub-repticiamente (sim, o termo usado na proposta da ePrivacy Regulation é exatamente esse!) os hábitos de navegação para a definição de perfis (cf. Considerando 15).

Portanto, no que talvez venha a se mostrar o principal caso de uso prático de dispensa de consentimento para cookies, e considerando as mudanças pretendidas no regime europeu e as sinalizações mais recentes da ANPD, parece razoável a tese de que cookies exclusivamente de estatísticas admitem potencialmente o uso do legítimo interesse.

Algumas cautelas, entretanto, devem ser adotadas, em especial (i) o uso de cookies próprios e; (ii) a ausência de tratamentos laterais para outras finalidades, como redes de anúncios.

O uso de cookies próprios é conveniente não só para a proteção de dados pessoais, mas também para a própria efetividade das estatísticas. Com a crescente adoção de navegadores e plugins com bloqueios ativos para cookies de terceiros, a adoção de cookies próprios assegura estatísticas mais confiáveis porque alcançam efetivamente mais visitantes.

Quanto aos tratamentos laterais, diversos serviços de estatísticas utilizam identificadores para habilitar, paralelamente, redes de anúncios é o caso do Google Analytics, que opera com cookies da rede DoubleClick (associada à estrutura de marketing digital do Google). Naturalmente, o grau de tolerância regulatória às estatísticas mediante cookies próprios não é semelhante ao de rastreamento por redes de anúncios mediante cookies de terceiros.

O uso de cookies de rastreamento por terceiros para perfilamento por redes de anúncios, ainda que associados a sistemas de estatísticas, dificilmente superaria, na perspectiva de reguladores, o balanceamento necessário para o uso do legítimo interesse. Ou seja: a base de legítimo interesse para rastreamento e redes de anúncios será provavelmente vedada pelos reguladores. No regime europeu, essa afirmação corresponde a uma certeza à luz do ePD e a uma certeza à luz da proposta da ePrivacy Regulation. No regime brasileiro, em que ainda não há regulamentação pela ANPD, já se pode sinalizar como uma quase certeza à luz das manifestações já feitas.

Daí que, se por um lado é recomendável que estatísticas deixem de utilizar o consentimento seja porque se tornam mais úteis para os agentes de tratamento, seja porque, trazendo baixo risco, evitam a fadiga de consentimento pelos titulares sua operacionalização, sobretudo no que diz respeito à desvinculação de finalidades laterais não cobertas pelo legítimo interesse, não é trivial.

Seguem, para esse desafio, duas sugestões práticas. A primeira é o uso de sistemas de estatísticas de sites já desenvolvidos com foco em privacidade. É o caso da solução de código-aberto Matomo Analytics[2] ou de sua derivação corporativa Piwik PRO[3], que podem ser instalados em ambientes de hospedagem própria (self-hosted). É o padrão ouro, sendo atualmente utilizado em sites de organizações como a própria Comissão Europeia.

Com efeito, a própria CNIL, autoridade de proteção de dados francesa, admite expressamente o uso de sistemas como o Matomo Analytics ou o Piwik PRO (dentre alguns outros) sem necessidade de consentimento, contanto que um rol de configurações restritivas como a vedação de uso secundário ou o rastreamento em outros sites sejam adotadas e fique assegurado um mecanismo de opt-out. Trata-se de uma posição minoritária do regulador francês, mas não é anterior à ePD ou aos pronunciamentos de uniformização europeus: a posição mais recente da CNIL, reafirmando a conivência, é de setembro de 2021 (há menos de um ano, portanto)[4].

Registre-se que, nesses casos, a posição de uma autoridade não vincula as dos demais Estados-membros, de modo que a conformidade na França com a posição da CNIL não implica conformidade em toda a União Europeia. De qualquer forma, parece haver elevada tolerância dos reguladores europeus em relação aos cookies próprios e restritos às estatísticas, ainda que a maioria defenda que ainda é necessário o consentimento em virtude da ePD.

Frise-se, entretanto, que a tolerância aos cookies de estatísticas não implica tolerância ao sistema padrão de mercado, que é o Google Analytics. Diferentemente do Matomo ou do Piwik PRO, o Google Analytics não está na lista de softwares homologados pela CNIL para a dispensa de consentimento mediante configurações restritivas. Pelo contrário. A CNIL possui decisões recentes em casos concretos considerando o Google Analytics incompatível com o RGPD em virtude do modelo de operação e das transferências internacionais associadas[5], bem como recomendação formal, recentíssima, de que o Google Analytics não seja adotado enquanto não superados os efeitos da invalidação do Privacy Shield [6].

Considerando a ampla adoção do Google Analytics no Brasil, cabe, então, uma segunda recomendação prática, caso a adoção de sistemas mais protetivos não se mostre viável no caso concreto. Superados os aspectos relacionados às transferências internacionais de dados cujo tratamento regulatório ainda é embrionário no Brasil há configurações no Google Analytics que podem ser utilizadas para uma maior proteção de dados pessoais e o atingimento de padrões de menor risco para os titulares de dados.

Configurações razoáveis ainda que não necessariamente suficientes para a adoção do legítimo interesse seriam, (i) a desativação programática de todos os recursos de publicidade, configurando-se o parâmetro allow_google_signals como false[7]; (ii) a anonimização de IP nas requisições aos servidores do Google Analytics, configurando-se o parâmetro anonymize_ip como true[8]; e (iii) a ausência, no caso concreto, de cruzamentos adicionais de dados pessoais com outras finalidades (como o perfilamento de indivíduos).

Observe-se, entretanto, que a eventual inviabilidade do uso do legítimo interesse para a adoção do Google Analytics em um caso concreto não implica, necessariamente, a impossibilidade de uso da ferramenta. A consequência será, em regra, a necessidade de enquadramento em outra base legal (tipicamente, o consentimento) e das cautelas inerentes às transferências internacionais.


6 Conclusões

Cookies são ferramentas necessárias para diversas atividades básicas e legítimas que demandam dados persistentes mediante uso do protocolo HTTP, e suas características estão tecnicamente descritas no RFC 6265.

Por serem apenas dados gravados no agente de usuário, cookies não realizam ativamente qualquer ação violadora da privacidade dos titulares. Entretanto, identificadores únicos em cookies de terceiros podem ser associados a sistemas que promovem o rastreamento e perfilamento de indivíduos.

O RFC 6265 autoriza que navegadores tenham ferramentas ativas de restrição de cookies de terceiros sem violação ao protocolo. Entretanto, o combate aos cookies não resolve isoladamente o problema da privacidade, porque há mecanismos alternativos para que os mesmos sistemas continuem operando, como URL dinâmicas ou técnicas de fingerprinting.

Os cookies ganharam especial atenção no contexto regulatório internacional com a ePD, em especial a partir de 2009, com as emendas da Diretiva 2009/136/EC, que tornou expressa a necessidade de consentimento para quaisquer cookies que não sejam os estritamente necessários.

Desde então, tem havido inúmeras controvérsias inclusive entre os reguladores europeus quanto ao alcance do que se denomina estritamente necessário, quanto aos requisitos para o consentimento, e quanto à necessidade de aprimoramento da ePD para alcançar outras fontes de violações e reduzir a fadiga de consentimento.

No Brasil, não há norma equivalente à ePD, e a LGPD não faz qualquer distinção entre cookies necessários ou não necessários como determinante para obtenção de consentimento. Portanto, os cookies se sujeitam às regras ordinárias de tratamento de dados.

Nesse sentido, cookies que não contenham dados pessoais (i) não requerem consentimento prévio; (ii) não se submetem às regras da LGPD; e (iii) não são alcançáveis pelo poder regulador da ANPD.

Cookies que contenham dados pessoais, mas cuja finalidade esteja alcançada pelas excludentes de incidência do art. 4º da LGPD, (i) não requerem consentimento prévio; e (ii) se submetem apenas residualmente às disposições da LGPD, como é o caso das previsões do art. 4º, §§1º a 4º, para os tratamentos realizados para os fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Nos demais casos, a base legal deverá ser definida pela finalidade do tratamento de dados, não havendo correlação entre a base legal mais adequada e a categorização dos cookies entre necessários que poderão ser necessários para cumprimento de obrigação legal, cumprimento de contrato, execução de políticas públicas etc. ou não necessários cujo tratamento ainda assim poderia ser legitimado pelo legítimo interesse, consentimento etc.

Nesse sentido, para os efeitos regulatórios, não parece haver utilidade técnica na distinção de cookies entre necessários ou não necessários no Brasil. Melhor parece que a distinção regulatória seja entre os cookies baseados em consentimento e não baseados em consentimento, restringindo-se, àqueles, os requisitos para as coletas de consentimento, dentre as quais o uso de banners.

Sites que não utilizam cookies baseados em consentimento estariam dispensados dos banners de cookies, bastando a transparência quanto aos tratamentos em avisos de privacidade. Isso inclui sites cujos cookies sejam utilizados para fins de estatísticas e que, pelas cautelas adotadas, tenham legitimado o uso da base do legítimo interesse após o balanceamento necessário.

No mais, é preciso superar a ideia de que o consentimento legitima qualquer tratamento, já que ações de consentimento geral como os botões para Aceitar Todos podem decorrer do desejo de desobstruir o acesso ao conteúdo, da indução por dark patterns, ou mera confiança institucional, como no caso de sites governamentais. A análise a ser feita, antes da definição quanto à necessidade do consentimento para os cookies, é quanto à legitimidade do próprio tratamento.

Nesse contexto, as recomendações para a adequação do Portal Gov.br às disposições da LGPD, talvez de forma aprimorada em relação à estabelecida no Ofício nº 6/2022/CGTP/ANPD/PR, poderiam abranger:

  • (i) a reconsideração quanto ao uso do Google Tag Manager e do Google Analytics com configurações ativas para compartilhamento de dados com a rede de anúncios, considerando que o consentimento em site governamental não legitimaria, a princípio, o rastreamento e perfilamento de cidadãos por empresa estrangeira, com transferência internacional dos dados;

  • (ii) a avaliação da conveniência e oportunidade da adoção de ferramenta de estatísticas (analytics) que opere mediante cookies próprios, para essa finalidade exclusiva, e hospedada em servidores governamentais no território nacional, caso em que fica legitimado o uso do legítimo interesse e dispensada a necessidade de consentimento;

  • (iii) a avaliação dos casos em que os cookies não contenham dados pessoais ou cujas finalidades estejam abrangidas pelas excludentes do art. 4º da LGPD, sendo necessário, para a legalidade dos cookies remanescentes, o enquadramento em uma das bases legais da LGPD conforme a finalidade do tratamento;

  • (iv) a transparência quanto ao uso de cookies que contenham dados pessoais e suas finalidades em aviso de privacidade, devendo o portal Gov.br, para a redução da fadiga de consentimento, se abster do uso de banners quando não houver tratamento associado ao consentimento.

Cookies são mecanismos necessários para grande parte das operações realizadas por titulares de dados pessoais na Internet. É fundamental que a regulação de cookies no Brasil considere os acertos e erros da experiência internacional, os limites e liberdades definidos pela legislação e o equilíbrio necessário para que o peso regulatório seja compatível com os riscos associados a cada tratamento. Nem mais, nem menos.


Notas

[1] Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:52017PC0010&from=EN. Acesso em 07.06.2022.

[2] Confira-se em: https://matomo.org/. Acesso em 07.06.2022.

[3] Confira-se em: https://piwik.pro/. Acesso em 07.06.2022.

[4] Confira-se em: https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience. Acesso em 07.06.2022.

[5] Confira-se em: https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure. Acesso em 08.06.2022.

[6] Privacy Shield era o marco que regulava as transferências de dados pessoais para fins comerciais entre a União Europeia e os EUA, e foi invalidado em 2020 pela Corte de Justiça da União Europeia. Confira-se a posição da CNIL quanto aos efeitos sobre o Google Analytics em: https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite. Acesso em 08.06.2022.

[7] Confira-se em: https://developers.google.com/analytics/devguides/collection/gtagjs/display-features#disable_all_advertising_features. Acesso em 07.06.2022.

[8] Confira-se em: https://developers.google.com/analytics/devguides/collection/gtagjs/ip-anonymization. Acesso em 07.06.2022.


Autor

  • Rodrigo da Silva Ferreira

    Advogado e DPO na Casa da Moeda do Brasil. Sócio e professor na DecisionLab. Especialista em gestão pública e mestre em administração pública pela FGV/EBAPE, com formação executiva em gestão estratégica de órgãos regulatórios e de enforcement pela Harvard Kennedy School.

    Textos publicados pelo autor

    Fale com o autor


Informações sobre o texto

Como citar este texto (NBR 6023:2018 ABNT)

FERREIRA, Rodrigo da Silva. LGPD e cookies: fundamentos técnicos e regulatórios para uma abordagem coerente no Brasil. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 27, n. 6926, 18 jun. 2022. Disponível em: https://jus.com.br/artigos/98459. Acesso em: 13 ago. 2022.