Melhorias para o Guia sobre cookies da ANPD

Como deve ser de conhecimento de todos que visitam este site, a ANPD lançou no último dia 18 de outubro o seu Guia Orientativo “Cookies e Proteção de Dados Pessoais”. E apesar do lançamento ser recente, não há dúvidas de que já são sugeridas melhorias para o Guia sobre cookies da ANPD.

Uma destas melhorias é propostas pelo Rodrigo Ferreira, que publicou o texto abaixo no seu perfil do LinkedIn e que gentilmente nos autorizou a replicá-lo aqui no site. Vale a pena refletir sobre estes pontos, especialmente quando consideramos o objetivo de melhorar o Guia e buscar efetivar a proteção de dados dos titulares via cookies – algo extremamente intrusivo como já provei em uma live em meu Canal no YouTube.


Comentei ontem acerca de imprecisões técnicas no Guia Orientativo de Cookies da ANPD, e que poderiam ter sido evitadas com uma etapa prévia de tomada de subsídios. Seguem mais algumas.

O Guia afirma que “Cookies são arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas”.

Essa é uma afirmação frequente e equivocada. Cookies são mecanismos de persistência de dados entre requisições HTTP, nos termos do RFC 6265. A forma como ocorre a persistência de dados depende do agente de usuário (navegador). Os principais navegadores atualmente utilizam bancos de dados (no caso do Chrome, o SQLite) e cookies são apenas registros nesse banco de dados. Gravar um cookie, na grande maioria dos casos, não instala arquivo nenhum em lugar nenhum.

O texto também afirma que cookies “permitem a coleta de determinadas informações”. Embora a frase não esteja equivocada, é bom frisar que cookies não são executáveis.

Cookie não coleta, não monitora, não processa informação, não repassa informação, não queima lâmpada nem fura pneu. O cookie é um par nome/valor (ex: idioma=Português ou, melhor, lang=pt-BR) gravado pelo navegador mediante requisição do próprio servidor (ou seja, o dado do cookie JÁ ERA CONHECIDO por esse servidor), e é repassado a esse servidor nas requisições seguintes pelo navegador.

Identificadores únicos em cookies podem ser usados para o monitoramento e perfilamento de usuários por sistemas? Podem. Mas quem monitora e perfila são os sistemas, não os cookies. Aliás, esses sistemas têm sido aprimorados justamente para continuarem fazendo a mesma coisa sem usar cookies. Onde deveria estar o foco dos reguladores? Nos sistemas ou nos cookies? Pois é. Mas, infelizmente, estamos (de novo) copiando os europeus justamente naquilo que os próprios europeus já viram que erraram.

Essa coisa de consentimento para cookies, banners de cookies para todo lado, é resultado da Diretiva ePrivacy europeia. O fundamento lá não é o tratamento de dados pessoais, mas o fato de dados estarem sendo gravados em dispositivos do usuário – sejam eles pessoais ou não.

O Brasil não tem nenhuma lei equivalente à Diretiva ePrivacy. Então por que banners seriam necessários especificamente para cookies? Por que o consentimento é para o cookie (a ferramenta) e não para os tratamentos subjacentes independentemente da ferramenta adotada – que é o que faria sentido pela LGPD?

A própria ideia de cookies “estritamente necessários” é um conceito da Diretiva ePrivacy. Não existe isso nem na LGPD nem no RGPD europeu.

Quem ganha? Os fabricantes de soluções de gerenciamento de cookies, que agora podem vender no Brasil a mesmíssima solução que vendem para os europeus, sem ajustar uma linha de código, mesmo sem uma Diretiva ePrivacy aqui. Mas tudo com foco no titular de dados, claro. Tudo pelo titular. Viva a proteção de dados pessoais! 😉


Que outras melhorias para o Guia sobre cookies da ANPD você sugere? Deixe nos comentários a sua sugestão!

Vamos que vamos e #colanopapai!

#dponapratica #gestordeprivacidade