Ao entrar em vigor em agosto de 2020, a LGPD – Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) – impedirá que dados pessoais sejam coletados ou utilizados indiscriminadamente, sendo necessário que as empresas passem a obter consentimento específico junto aos seus usuários ou a enquadrar o tratamento de dados em outra base legal.
Vale lembrar que, nos termos da legislação, dados pessoais são não apenas as informações relacionadas à pessoa natural que permitem a sua identificação, como nome, RG, CPF, e-mail etc. Entram nesse rol quaisquer informações que possibilitem a identificação do indivíduo de forma não-imediata ou indiretamente, atraindo, dessa forma, a aplicação da LGPD.
A nova legislação também trouxe o conceito de dado anônimo, que é a informação que não permite a identificação do indivíduo, considerando a utilização de meios técnicos disponíveis e razoáveis na ocasião do tratamento desses dados.
Os dados pessoais, anônimos ou não, são bastante importantes para o e-commerce, pois permitem oferecer oportunidades para clientes ou potenciais consumidores.
Feita a distinção entre dados pessoais e dados anônimos, é já possível perceber que a nova lei impactará como o e-commerce fará a gestão dos dados recolhidos diretamente no cadastro ou por meio dos cookies.
Em princípio, os cookies, por si só, não podem identificar uma pessoa física, haja vista que estes, no mais das vezes, gravam informações do acesso efetuado pelo indivíduo, ou seja, informações sobre a página acessada, item clicado, ferramentas de monitoração ou algumas preferências identificadas no site. Essas informações, mesmo quando atreladas ao IP (ou Internet Protocol), não permitem identificar o indivíduo, mas apenas aquele equipamento que acessou determinado site.
Assim, temos que o uso de cookies, inicialmente, não caracteriza uma violação à LGPD, desde que o consumidor seja informado (art. 7º da Lei nº 12.965/2014 – Marco Civil da Internet) e não se utilize um web beacon malicioso.
Portanto, não é necessário o consentimento, tal como previsto pela LGPD, voltado para cookies de armazenamento técnico ou o acesso – como cookies de entrada do usuário – de autenticação durante uma sessão – cookies de segurança -, especialmente para detectar abusos de autenticação e vinculados à funcionalidade explicitamente solicitada pelo usuário, por uma duração limitada, assim como cookies de players de conteúdo multimídia (flash player).
Todavia, pode se tornar um problema de privacidade após o início da vigência da lei, quando o consumidor efetua o cadastro e os posteriores logons no site de compras.
Com efeito, a partir do momento em que o logon é efetuado pelo usuário, os sistemas dos sites do e-commerce podem cruzar as informações do cadastro do consumidor e os cookies que foram instalados no equipamento, possibilitando a posterior identificação do indivíduo em seus novos acessos, ainda que este não esteja logado.
O que temos verificado nos processos de assessment realizados nas empresas de e-commerce é que muitas ainda não se atentaram para esse momento, quando se deixa de enquadrar a questão apenas pelo Marco Civil da Internet, que exigia apenas a mera comunicação, pois a possibilidade de identificação do indivíduo através dos cookies passa a atrair a aplicação da LGPD.
Torna-se importante que o e-commerce preveja a situação em sua política de privacidade, especialmente informando ao consumidor, de forma bastante clara, a finalidade e a necessidade da guarda dos dados pessoais, além do próprio ciclo de vida dessa informação no ambiente da corporação.
A política de privacidade deve prever e colocar em prática a possibilidade de o usuário ser minimamente informado acerca da existência de cookies e ter a oportunidade de recusá-los antes do acesso ao site do e-commerce.
Na Europa, onde a aplicação da e-Privacy Directive e da própria GDPR (equivalentes aos nossos Marco Civil da Internet e Lei Geral de Proteção de Dados Pessoais, respectivamente) está mais adiantada que no Brasil, recomenda-se ao site adotar uma página de aviso específica ao utilizar cookies não essenciais, não se limitando simplesmente em veicular apenas uma página geral de aviso de cookie. Deve-se listar todos os cookies próprios e de terceiros com informações sobre sua finalidade, tipo de dados coletados, armazenados ou transmitidos por cookies, período de retenção de dados e sua base legal, além de fornecer esclarecimentos quanto aos meios para o gerenciamento de consentimento nos principais browsers do mercado.
Assim, a LGPD força o e-commerce a adotar uma política de gestão de cookies e exigir o consentimento inequívoco do consumidor quanto à sua utilização.
E, na medida em que, até o momento da elaboração deste texto, a Agência Nacional de Proteção de Dados não iniciou a regulamentação da LGPD, podemos nos valer da legislação europeia sobre cookies, que estabelece alguns itens interessantes sobre como proceder para garantir a privacidade dos dados dos consumidores do e-commerce.
A solução europeia para o consentimento do cookie é um kit baseado em JavaScript que adiciona automaticamente um banner de cabeçalho à página, que desaparecerá quando o usuário aceitar ou recusar os cookies usados no site.
O referido banner deve ter um:
a) um assistente para declarar seus cookies e o link para sua página de aviso de cookies;
b) uma API JavaScript que ajude a impedir o armazenamento prévio de cookies;
c) um cookie de consentimento para lembrar a escolha do usuário em websites;
d) um template para a página de aviso de cookie.
Assentadas essas premissas, o e-commerce deverá, ainda, manter um gerenciador de cookies com todos os registros de autorização ou desautorização de cookies, bem como registrar os ciclos de vida dos dados gerados e quais tratamentos foram adotados.
Como colocado no início deste artigo, a LGPD (Lei nº 13.709/2017) entra em pleno vigor em agosto de 2020. Um ano é um período relativamente curto para adequação, e o setor do comércio digital não poderá fugir dessa responsabilidade.
Texto escrito por Ricardo Oliveira e por Ricardo Azevedo, do Cots Advogados. Artigo publicado, originalmente, na Revista E-Commerce Brasil