Busca sem resultado
Temas Atuais de Proteção de Dados - Ed. 2022

Temas Atuais de Proteção de Dados - Ed. 2022

Capítulo 1. Cookies: Contornos Atuais

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Sumário:

Felipe Palhares

Bacharel em Direito pela Faculdade de Ciências Sociais de Florianópolis (CESUSC); Pós-graduado em Direito Empresarial pela Fundação Getulio Vargas – FGV/SP; Pós-graduado em Direito Societário pelo Instituto de Ensino e Pesquisa – INSPER; Mestre (LL.M.) em Corporate Law pela New York University – NYU. Único brasileiro a ser reconhecido como Privacy Law Specialist (PLS) pela International Association of Privacy Professionals – IAPP. Primeiro brasileiro a ser reconhecido como Fellow of Information Privacy (FIP) e o único brasileiro a ter obtido todas as certificações de privacidade e proteção de dados da IAPP (CIPP/E, CIPP/US, CIPP/C, CIPP/A, CIPM, CIPT). Certificado em Privacy and Data Protection Foundation pela EXIN. Certificado como Data Protection Officer pela Maastricht University . Certificado como Data Privacy Solutions Engineer pela ISACA (CDPSE). Professor convidado de matérias de proteção de dados pessoais do INSPER, da FGV/Rio, da Damásio/IBMEC, do ITS Rio, do Tribunal de Justiça do Estado de Santa Catarina, da Nextlaw Academy e do Instituto New Law. Co-fundador da Brazilian Legal Society at NYU School of Law . Selecionado pela the Law Society e o Bar Council of England and Wales para ser um dos representantes brasileiros no 6 th Latin American Young Lawyers’ Exchange Programme . Palestrante internacional, convidado para palestrar em eventos como o IAPP Data Protection Intensive: UK 2020 , o IAPP Global Privacy Summit 2020, o IAPP Summit Sessions 2020 e o IAPP Global Privacy Summit Online 2021 . Coordenador dos livros Temas Atuais de Proteção de Dados e Estudos sobre Privacidade e Proteção de Dados . Coautor dos livros LGPD – Manual de Implementação , Compliance no Direito Digital , Manual do DPO , LGPD na Saúd e, A Lei Geral de Proteçâo de Dados PessoaisLGPD no Setor Público e Privado – Temas Relevantes , e LGPD Aplicada . Autor de diversos artigos sobre proteção de dados publicados em periódicos internacionais e nacionais, como Valor Econômico, Estadão, O Globo, JOTA, Conjur e DataGuidance . Advogado, admitido para a prática jurídica no Brasil e no Estado de Nova York (EUA). Reconhecido entre os maiores advogados de proteção de dados do mundo com menos de 40 anos, figurando na lista 40 under 40 da Global Data Review . Sócio da área de Proteção de Dados e Cybersecurity do BMA – Barbosa, Müssnich, Aragão Advogados.

https://www.linkedin.com/in/felipepalhares/

https://www.instagram.com/ofelipepalhares/

felipe.palhares@bmalaw.com.br

1. Introdução

Quando você navega na internet, seja para verificar as notícias do dia, seja para buscar informações sobre um tema específico ou para realizar compras em sites de e-commerce , é quase certo que alguém esteja acompanhando a sua navegação, monitorando todos os seus passos, seus cliques e o tempo que você gasta em cada website visitado.

Um seriado de televisão norte-americano criado em 2011, intitulado Person of Interest , tinha uma chamada de entrada bem propícia, que iniciava dizendo: “You are being watched. The government has a secret system, a machine that spies on you every hour of every day 1 “. Embora a série fosse pautada numa máquina utilizada pelo governo, a vida real é mais abrangente: tanto entes públicos quanto empresas privadas possuem capacidades para vigiar seus passos e nenhuma máquina específica é necessária para isso. Basta uma tecnologia antiga, chamada de cookies .

O fato de a tecnologia não ser exatamente nova não retira a sua utilização extensiva mesmo nos tempos atuais. Com o aumento exponencial do acesso à internet ao redor do mundo, inclusive com a sua inclusão em diplomas legais como um direito essencial (vide o art. 4º, I, do Marco Civil da Internet, e a Proposta de Emenda à Constituição nº 185/2015), cookies se tornaram onipresentes, utilizados por um percentual expressivo dos principais websites de empresas e entes governamentais.

Embora referida tecnologia tenha sido criada com um objetivo específico, distinto do monitoramento constante das atividades realizadas na internet por usuários, o mercado passou a utilizar cookies da mesma forma com que drogas farmacêuticas são usadas para indicações off-label , para finalidades que não estão prescritas na bula, ou, no caso dos cookies , para objetivos não previstos por seus criadores.

Este artigo tem como intuito abordar o que são cookies e outras ferramentas de monitoramento similares utilizadas na internet, discutindo os riscos à privacidade e à proteção de dados pessoais no seu uso, além de contextualizar outras legislações globais que tratam sobre o tema e alguns precedentes regulatórios e jurisprudenciais, no nível internacional, acerca da utilização de cookies .

Por fim, pretende-se analisar como essa tecnologia poderá ser interpretada no Brasil quando da entrada em vigor da Lei Geral de Proteçâo de Dados Pessoais e quais os pontos de atenção que deverão ser observados por órgãos da administração pública e por companhias privadas para a conformidade do uso de cookies com o ordenamento jurídico brasileiro.

2. O que são cookies ?

A internet tem como base um protocolo de comunicação chamado HTTP (Hypertext Transfer Protocol), que permite a troca de conteúdos entre um cliente e um servidor. Quando você abre um navegador e coloca um determinado website na barra de endereço, o seu terminal (identificado como “cliente”) envia uma solicitação para buscar um documento na máquina do endereço indicado (identificada como “servidor”), geralmente um documento HTML (Hypertext Markup Language , a linguagem utilizada para a construção de páginas na web), que é então mostrado na tela do usuário. 2

Por padrão, o HTTP é um protocolo sem estado (stateless), o que significa que cada comunicação é considerada independente e não relacionada a uma requisição anterior. Em outras palavras, o protocolo encerra a conexão entre o cliente e o servidor assim que o servidor entrega a resposta à solicitação feita pelo cliente (o arquivo HTML que permite que você visualize um website), sem reter qualquer informação sobre essa comunicação. 3

A ausência de correlação entre uma requisição e outra consecutiva trazia uma série de dificuldades técnicas, como guardar informações importantes durante uma determinada sessão de navegação de um usuário, que facilitariam o seu uso do website . Um dos principais problemas enfrentados na utilização de um protocolo sem estado estava relacionado a sites de comércio eletrônico, já que não era possível ter uma cesta de compras que guardasse os itens que eram colocados no carrinho, considerando que a cada clique em um novo produto a informação da requisição anterior (inclusão de um item colocado anteriormente no carrinho) era perdida.

Imagine o seguinte cenário: você vai ao mercado com uma lista de compras de 30 produtos, entre itens de limpeza, frutas, enlatados, entre outros. Para cada item que você pega e coloca no seu carrinho, é necessário ir ao caixa, realizar o pagamento daquele produto e voltar novamente ao mercado para pegar o próximo item. Seriam 30 viagens diferentes e 30 pagamentos distintos. Como um protocolo sem estado não permite salvar as informações anteriores, seria como se o seu carrinho de compras só pudesse armazenar um item por vez.

Em 1995, a Netscape Communication Corporation desenvolveu uma tecnologia chamada inicialmente de magic cookies , ou formalmente de Persistent Client State HTTP Cookies . 4 A ideia central da ferramenta, que ficou conhecida simplesmente como cookies , era manter o estado do protocolo HTTP, fazendo com que informações fossem mantidas de modo a permitir a continuidade das transações entre cliente e servidor.

Cookies são pequenos arquivos de texto que são armazenados no terminal do usuário (cliente) e que são deixados pelo servidor web antes que o ciclo da comunicação por meio do protocolo HTTP se encerre. Toda vez que o usuário acessa novamente o mesmo website , os cookies inicialmente armazenados são lidos pelo servidor web , o que permite várias funcionalidades, como lembrar os itens colocados em um carrinho de compras, autenticar o usuário para o acesso à sua conta, personalizar aspectos da exibição da página (tais como a língua de exibição, padrões de medida, horários) ou mesmo para acompanhar o comportamento do usuário na página. 5

Para que um cookie seja criado, quando o servidor responde à requisição do cliente (de acesso a uma determinada página web) ele inclui, na sua resposta via HTTP, um cabeçalho Set-Cookie , com a indicação do nome e do valor do cookie . Quando o usuário retorna posteriormente ao site, sua requisição normalmente acompanha um cabeçalho Cookie , pelo qual o website recebe o valor existente no arquivo de texto e responde à requisição de acordo com essas informações, mantendo-se, assim, uma sessão com estado (stateful), na qual a comunicação entre cliente e servidor ocorre de forma contínua, fazendo com que as requisições do cliente sejam relacionadas às requisições anteriores. 6

O tamanho máximo de um cookie é de 4.096 bytes (4KB) e eles normalmente são compostos por 5 variáveis: nome, data de expiração, domínio do website , caminho e segurança. Conforme explicam Laura McCarthy e Dave Yates 7 , essas não são as únicas propriedades que um cookie pode ter:

“Depending on how the cookie is programmed it can also (a) record clickstream information about a user’s web browsing habits, (b) be shared by third-party web hosts without the user’s knowledge or permission (commonly known as third-party cookies), (c) lead to denial-of-service attacks (known as cookies storms), (d) contain content that is sensitive or classified which the user cannot control, and (e) provide the web browser with information from unvisited sites without the user’s knowledge or permission.” 8

Desse modo, verifica-se que cookies podem armazenar diversas informações sobre os hábitos de utilização da internet do usuário, desde os links em que foram clicados, os produtos que foram comprados, os termos que foram pesquisados, a região em que vive o usuário, e tantos outros dados valiosos para uma eventual segmentação de publicidade, que vão muito além dos objetivos para os quais foram inicialmente concebidos, de meramente viabilizar algumas funcionalidades específicas.

Orin S. Kerr comenta que cookies podem ser utilizados também para restringir o acesso contínuo ao conteúdo de portais de notícias e para a ativação de paywalls , bloqueios que impedem, no caso de websites de jornais e revistas, a visualização de matérias e reportagens depois de um determinado número de acessos. Contudo, como o usuário poderia deletar os cookies a qualquer instante, o modelo de ativação de paywalls foi posteriormente alterado para se pautar no bloqueio do número do endereço de IP do usuário, e não mais nos cookies existentes em sua máquina. 9

Cookies podem ser classificados principalmente em relação ao seu período de duração e a quem coloca os cookies na máquina do usuário. Cookies de sessão são aqueles que duram somente durante uma sessão de navegação e que são automaticamente excluídos da máquina do cliente quando o navegador é fechado. É comum encontrar essa modalidade de cookies relacionados à autenticação do usuário no website , para que quando o navegador seja encerrado e uma nova sessão seja iniciada, haja a necessidade de digitar novamente os dados de usuário e senha para realizar o login no sistema do site . Por outro lado, cookies persistentes são aqueles que possuem um período de expiração definido e que não está relacionado com a sessão de navegação do usuário. Eles podem perdurar por horas, dias, meses ou até anos, de acordo com a configuração realizada pelo servidor web . 10

No que tange a quem envia os cookies , e, consequentemente, tem acesso aos dados neles armazenados, divide-se entre first-party cookies e third-party cookies . Os primeiros são aqueles colocados na máquina do usuário pelo próprio website que ele está visitando. Já os third-party cookies são colocados por outros websites que não aquele que o usuário decidiu visitar, e, geralmente, são disparados por empresas de publicidade, que possuem parcerias com o site visitado. 11

Atualmente, tem sido comum a categorização de cookies de acordo com a sua função. Cookies estritamente necessários são aqueles essenciais para o funcionamento do website , como os que dão suporte a carrinhos de compras em sites de e-commerce ou a ferramentas para a autenticação do usuário. Cookies de performance são aqueles que coletam informações sobre como o site é utilizado pelo usuário, permitindo identificar quais as páginas mais acessadas e eventuais erros que aconteçam durante o acesso, de modo a melhorar a performance do site . Cookies de funcionalidades são aqueles que guardam informações sobre eventuais preferências do usuário (língua e região), bem como os que permitem o uso de algumas áreas do site que …

Experimente Doutrina para uma pesquisa mais avançada

Tenha acesso ilimitado a Doutrina com o plano Pesquisa Jurídica Avançada e mais:

  • Busca por termos específicos em uma biblioteca com mais de 1200 livros.
  • Conteúdo acadêmico de autores renomados em várias especialidades do Direito.
  • Cópia ilimitada de Jurisprudência, Modelos, Peças e trechos de Doutrina nas normas ABNT.
Ilustração de computador e livro
Comparar planos
jusbrasil.com.br
14 de Junho de 2024
Disponível em: https://www.jusbrasil.com.br/doutrina/secao/1-introducao-capitulo-1-cookies-contornos-atuais-temas-atuais-de-protecao-de-dados-ed-2022/1643176487