No ultimo dia 26 de maio tivemos a possibilidade de ter um primeiro vislumbre do que poderá ser a relação entre a ANPD e os cookies.
Para quem ainda não sabe, a Autoridade divulgou em seu site um documento (bem correto e fundamentado, na minha visão) intitulado “ANPD emite recomendações para adequação da prática de coleta de cookies do Portal Gov.br”. O documento em PDF está disponível neste link.
E aí muita gente foi à loucura.
Neste sentido, vejo aqui três pontos a serem destacados:
- 1) O pessoal do lobby do legítimo interesse para fundamentar o tratamento de dados pessoais via cookies;
- 2) O pessoal que reclamou porque a ANPD indicou o consentimento “como principal base legal”, sendo que (supostamente) o Poder Público não pode usar consentimento como base legal;
- 3) A questão principal: cookies tratam ou não dados pessoais?
Em relação ao primeiro ponto, o texto acima é autoexplicativo. Tem muita gente que fez/faz adequação e que resolveu utilizar o legítimo interesse como base legal para cookies. E aí agora dar o braço a torcer e dizer que a Autoridade recomendou de maneira diferente – e que, portanto, o trabalho de adequação terá de ser refeito – é ruim para os negócios.
Eu sempre defendi que o legítimo interesse não pode ser utilizado para cookies. Inclusive, durante um tempo defendi que até os “estritamente necessários” deviam se basear no consentimento (ainda que eu tenha alterado esta visão depois). E por que não usar legítimo interesse? Porque no teste de balanceamento é necessário comprovar que o tratamento é necessário (perdoem-me pela repetição das palavras), o que foi recentemente confirmado pela ANPD no parágrafo 52 do seu Guia Orientativo sobre o Tratamento de Dados Pessoais pelo Poder Público. Ipsis literis, o princípio da necessidade “desaconselha o próprio tratamento de dados pessoais quando a finalidade que se almeja pode ser atingida por outros meios menos gravosos ao titular de dados” – algo que, aliás, falo desde as minhas primeiras aulas de proteção de dados em 2018. Como eu justifico que um cookie da Google é necessário ao funcionamento do meu site quando eu, controlador, sei que existem inúmeras outras opções para análises estatísticas que são menos intrusivas?
Já em relação ao segundo ponto das críticas feitas à “relação” entre a ANPD e os cookies, é extremamente pertinente a indicação de que o consentimento não deve ser utilizado como base legal pelo Poder Público. A explicação é óbvia: o consentimento pressupõe uma escolha “livre, informada e inequívoca”. E quando o Poder Público oferece algo ao cidadão (ou seja, ao titular de dados pessoais) e pede seu consentimento, provavelmente a decisão do cidadão não será livre, já que o Poder Público estará agindo com base no cumprimento de leis e o cidadão não tem a opção de não cumprir estas leis. Basta imaginar a Receita Federal perguntando, na primeira tela do programa do IRPF: “Você, cidadão, me autoriza a tratar seus dados pessoais para cobrar impostos de você?”, e as opções “Sim” ou “Não”. Nem preciso dizer o resultado disso.
Porém, isto não é o mesmo que dizer que o Poder Público não pode tratar dados pessoais com base no consentimento. O mesmo Guia Orientativo acima citado indica, no seu parágrafo 19, que “o consentimento poderá eventualmente ser admitido como base legal para o tratamento de dados pessoais pelo Poder Público. Para tanto, a utilização dos dados não deve ser compulsória e a atuação estatal não deve, em regra, basear-se no exercício de prerrogativas estatais típicas, que decorrem do cumprimento de obrigações e atribuições legais.” Ora, estamos falando de cookies “opcionais”, englobando todas as categorias que não sejam os “estritamente necessários”. Portanto, sendo efetivamente opcionais e não obrigatórios, não há problema algum em se pedir o consentimento do titular em um site do Poder Público. Se é algo opcional, o titular terá a liberdade de escolher o que melhor lhe apetecer. E, até onde sei, cookies analíticos em um site do Poder Público não me parece ser algo que corresponda ao “exercício de prerrogativas estatais típicas”.
Isto inclusive é reforçado no parágrafo 20 do mesmo Guia Orientativo: “a utilização da base legal do consentimento no âmbito do tratamento de dados pessoais pelo Poder Público pressupõe assegurar ao titular a efetiva possibilidade de autorizar ou não o tratamento de seus dados, sem que de sua manifestação de vontade resultem restrições significativas à sua condição jurídica ou ao exercício de direitos fundamentais.” Em conjunto com o princípio da necessidade já apresentado acima, me parece que se os dados tratados via cookies não são obrigatórios, o titular poderá sim dar ou não seu consentimento de maneira livre neste caso, já que não existirão “restrições significativas à sua condição jurídica ou ao exercício de direitos fundamentais” porque aceitou ou não este ou aquele cookie.
Por fim, temos o terceiro ponto – que, na verdade, talvez devesse ser o primeiro porque dele dependem todas as interpretações subsequentes: cookies tratam ou não dados pessoais? A resposta, para mim, é “depende”. Sendo este o ponto mais polêmico, vou escrever sobre ele em breve. Mas deixo aqui como sugestão a leitura do texto do Gustavo Zaniboni (disponível neste link), que faz algumas provocações pertinentes sobre o tema – ainda que eu continue achando que um banner de cookies é essencial para cumprir com o princípio da boa-fé!
Qual será o relacionamento futuro entre a ANPD e os cookies? Deixe abaixo seus comentários sobre o tema!