TCC 02 Finalizado Final Revisado PROTOCOLAR ESTE

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 30

O CONSENTIMENTO NA UTILIZAÇÃO DE COOKIES DE NAVEGAÇÃO 1.

Nara Anklan Tozati Camilo

RESUMO

O presente artigo possui como objetivo abordar por meio de uma pesquisa bibliográfica como
funciona a situação do consentimento do usuário perante a concordância nas plataformas em
sites para a utilização da ferramenta de cookies de navegação, e em quais aspectos a Lei Geral
de Proteção de Dados exerce perante a segurança do titular dos dados. Além disso, é também
abordado as principais formas existentes de cookies de navegação e como os mesmos se
apresentam no universo prático. Ademais em como tais formas de cookies se comportam
perante a coleta de dados pessoais. Por fim, cabe ao referido artigo elucidar até qual ponto é
válido o consentimento do usuário perante o aceite de cookies, visto a natureza assimétrica dos
agentes envolvidos, demonstrando assim, qual o caminho abordado pela LGPD para diminuir
essa assimetria.

Palavras-chaves: Consentimento, Contratos, LGPD, Cookies de navegação, GDPR, Mercado


Informacional.

1
Artigo Científico apresentado à disciplina de TCC2, vinculado ao Projeto de Pesquisa Contratos na Sociedade de
Risco, do Grupo de Pesquisa A nova LGPD e seus efeitos nos contratos, sob a orientação da Professora Andreia
Cunha.

1
TERMO DE APROVAÇÃO

NARA ANKLAN TOZATI CAMILO

O CONSENTIMENTO NA UTILIZAÇÃO DE COOKIES DE NAVEGAÇÃO.

Artigo científico aprovado como requisito parcial para obtenção de aprovação na disciplina de
TCC 02, pela seguinte banca examinadora:

Orientadora: Andreia Cunha

Membros da banca:

_________________________________________

Professor

_________________________________________

Professor

_________________________________________

Professor

CURITIBA, DE JUNHO DE 2021.

2
SUMÁRIO

I. INTRODUÇÃO. P.04-05

II. COOKIES DE NAVEGAÇÃO. P.05

II.I O QUE SÃO COOKIES DE NAVEGAÇÃO, E QUAIS AS SUAS FUNÇÕES?


P.05-08

II.II. ESPÉCIES DE COOKIES DE NAVEGAÇÃO.P.08


a) COOKIES DE SESSÃO. P.08-10
b) COOKIES PERMANENTES. P.10-11
c) COOKIES DE TERCEIRO. P.11-16

III. COOKIES DE NAVEGAÇÃO E SUAS IMPLICAÇÕES JURÍDICAS NA


LGPD. P16-20.

III.I A VALIDADE DO CONSENTIMENTO NO ACEITE DOS COOKIES DE


NAVEGAÇÃO E A ASSIMETRIA INTRÍNSECA ENTRE USUÁRIO E PROVEDOR.
P. 20-23.

III.II A PESQUISA DA UNIVERSIDADE DE BOCHUM E O QUE ELA REVELA


SOBRE O CONSENTIMENTO NO ACEITE DOS COOKIES DE NAVEGAÇÃO. P.23-
25.

IV CONCLUSÃO. P. 25-27.

V REFERENCIAS BIBLIOGRÁFICAS. P.27-30

3
I. INTRODUÇÃO
Em um mundo conectado, a utilização da internet para fazer praticamente qualquer
coisa vem sendo mais comum, seja para pagar contas com os aplicativos de banco, pedir
comida, compras, ou até para a fechadura de muitas casas, utilizamos alguma conexão com a
Internet. Tal comportamento social foi devidamente denominado por Kevin Ashton como
Internet das Coisas (internet of Things- IoT), em 19992.
O termo trazido por Ashton, denomina o sistema que consiste na conexão de diversas
redes, sensores, e objetos “smarts”, com o objetivo de torná-los inteligentes e programáveis
para uma melhor e mais fácil interação com o usuário.3Isto é, produtos como smartwatches,
smarts TVs e até o próprio conceito de domótica4 estão inseridos no contexto de internet das
coisas. Sendo assim, a tendência é que tudo ao redor do mundo off-line passe a ser integrado
ao mundo on-line, o que leva a produzir uma quantidade imensurável de produção de dados5.
Ou seja, cada indivíduo, utilizando-se de diversas ferramentas conectadas nessa grande
rede, independente de tais dados serem sensíveis ou anonimizados, cria-se a sua “personalidade
virtual” por meio dos incontáveis dados que o mesmo deixa, podendo ser tais rastros curtidas
em posts, compras, sites mais visitados, hábitos alimentares registrados em aplicativos, passos
diários, e etc. Logo, por sua extensão eletrônica ser praticamente uma extensão da sua
personalidade, há o grande desafio na tutela de tais dados pessoais para o direito.6
Por conta disso, o direito juntamente com o social evoluiu para tutelar devidamente as
questões que o mundo digital acaba proporcionando. Um exemplo amplamente conhecido é o
julgado alemão de 1983, conhecido como Lei do Censo alemã (Volkszählungsgesetz) 7, no qual

2
FORNASIER, MATEUS DE OLIVEIRA. The applicability of the Internet of Things (IoT) between fundamental
rights to health and to privacy. Rev. Investig. Const., Curitiba , v. 6, n. 2, p. 297-321, Aug. 2019 . Available
from <http://www.scielo.br/scielo.php?script=sci_arttext&pid=S2359-56392019000200297&lng=en&nrm=iso>.
access on 02 Apr. 2021. Epub Jan 31, 2020. http://dx.doi.org/10.5380/rinc.v6i2.67592.
3
Mais informações sobre a IoT pode ser encontrado em: IEEE-Standards
Association<https://iot.ieee.org/images/files/pdf/iot_ecosystem_exec_summary.pdf> acessado dia 3 de abril de
2021.
4
Domótica é o termo em portugês para casa inteligente, proveniente do francês Domotique, no qual junta-se
Domus “casa” com Immotique “automático”.
5
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, pág. 86.
6
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, pág. 87, Op. cit “O ser humano terá um prolongamento e projeção completa no ambiente digital, sendo
todas as suas individualidades datificadas. Problematiza-se, mais ainda, o desafio da tutela dos dados pessoais
como um novo direito da personalidade, já que muitos aspectos da vida de uma pessoa poderão ser decididos a
partir dessa sua extensão eletrônica”.
7
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, pág. 97

4
concebeu o fundamento da autodeterminação informativa ou informacional8, devidamente
presente no art.2º, II da nossa atual Lei Geral de Proteção de Dados9.
Afirma Bione, que até a aprovação da LGPD, o Brasil contava somente com leis
setoriais de proteção de dados. Era uma verdadeira “colcha de retalhos” que não cobria
setores importantes da economia e, dentre aqueles cobertos, não havia uniformidade em seu
regramento (BIONE, 2019).10
Assim, percebe-se que a aprovação de uma lei geral de proteção de dados pessoais
trouxe ao Brasil uma importante juridicidade para uma questão já amplamente difundida em
diversos lugares do mundo.
No mais, o objetivo deste artigo é abordar, perante uma pesquisa bibliográfica, a questão
do consentimento e concordância para a utilização da ferramenta de cookies de navegação, sob
a perspectiva da Lei Geral de Proteção de Dados brasileira.
II. COOKIES DE NAVEGAÇÃO
Primeiramente é necessário saber o que são tais ferramentas de conexão conhecidas
como cookies, afinal, frases parecidas com: o nosso site utiliza cookies para melhorar a
navegação, seguida logo de um “li e aceito” é uma experiência comum para todas as pessoas
que frequentam qualquer site na internet. Mas, em síntese fática, o que seriam esses cookies?
E por que há ou não a necessidade de aceitá-los? Cabe a este capítulo do presente artigo,
elucidar tais questões.
II.I O QUE SÃO COOKIES DE NAVEGAÇÃO, E QUAIS AS SUAS FUNÇÕES?
De acordo com Claude Castelluccia, cookies são arquivos de texto codificados. Estes
arquivos são comumente depositados no computador do usuário pela página acessada e
permitem a identificação desse internauta para facilitar o funcionamento do site e/ou o
monitoramento da navegação. Os cookies podem pertencer à própria página visitada ou a

8
BLUM, Renato Opice, LÓPEZ, Nuria, Lei Geral de Proteção de Dados no setor público: transparência e
fortalecimento do Estado Democrático de Direito, Cadernos Jurídicos, São Paulo, ano 21, nº 53, p. 171-177,
Janeiro-Março/2020.
9
Segue o art.: 2º A disciplina da proteção de dados pessoais tem como fundamentos:(...)II - a autodeterminação
informativa;(...).
10
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, pág. 103.

5
outras entidades (cookies de terceiros), além de serem temporariamente apagáveis (cookies de
sessão) ou persistentes (cookies permanentes).11
Ou seja, independente da espécie do cookie, a função é fazer essa ponte de arquivos
codificados, entre o servidor do site e o disco rígido do computador do usuário, onde o seu
propósito é principalmente facilitar a interação do usuário com o serviço ou site que utiliza a
ferramenta. Sendo assim, cookies podem apresentar diversas informações e funcionalidades
como, por exemplo, preferências de idiomas, conteúdo de um carrinho de compras, notícias
que mais interessam o usuário, quanto tempo o usuário passou em determinado produto, quais
lugares do site receberam cliques, dentre outras diversas funções que tornam a experiência de
navegação muito mais personalizada e facilitadora.
Inclusive, o cookie passa a ser um elemento que abrange uma gama de funções tão
diversas que chega a ser quase indispensável para a comunicação com os sites na Internet, de
maneira que se tornaria completamente diferente e provavelmente mais dificultosa a navegação
que conhecemos hoje.12
É válido afirmar, que na época em que foram criados os cookies (1994), já existia o
mundo interconectado, onde três principais desafios já haviam sido resolvidos, sendo estes: a
exteriorização do conceito de hipertexto, em 1965; a implementação da internet, em 1969; e a
criação da world wide web, em 1990.13
Logo, o surgimento dos cookies preenche uma importante lacuna, sendo esta a
dificuldade de registrar informações do usuário para futuras trocas de informações com os sites

11
CASTELLUCCIA, Claude. Behavioural Tracking on the Internet: A Technical Perspective. Em: GUTWIRTH,
S. LEENES, R. DE HERT, P. POULLET, Y. (eds). European Data Protection: In Good Health? Dordrecht:
Springer, 2012 p. 23-4. DOI: <https://link.springer.com/chapter/10.1007/978-94-007-2903-2_2#citeas> Acessado
dia 04 de abril de 2021.
12
Tal parágrafo foi decorrente do entendimento do artigo OLIVEIRA, J. V; SILVA, L. A. “É de Comer?” Cookies
de Navegador e os Desafios à Privacidade na Rede. R. Tecnol. Soc., Curitiba, v. 15, n. 37, p. 297-310, jul./set.
2019. Disponível em:<https://periodicos.utfpr.edu.br/rts/article/view/8419 >. Acesso em: 03 de abril de 2021. No
qual cita-se: HORMOZI, Amir M. Cookies and Privacy, EDPACS: The EDP Audit, Control, and Security
Newsletter, vol. 32:9, pp. 01-13, 2005. DOI: <10.1201/1079/45030.32.9.20050301/86855.1>.
13
OLIVEIRA, Jordan Vinícius de; SILVA, Lorena Abbas da. Cookies de navegador e história da internet:
desafios à lei brasileira de proteção de dados pessoais. Revista de Estudos Jurídicos UNESP, Franca, ano 22, n.
36, p.307, jul/dez. 2018. Disponível em:
<https://ojs.franca.unesp.br/index.php/estudosjuridicosunesp/issue/archive>.Op Cit: Os cookies de navegador
surgiram no ano de 1994. Antes disso, contudo, três dos grandes desafios técnicos para o mundo interconectado
já haviam sido solucionados: a exteriorização do conceito de hipertexto, em 1965; a implementação da internet,
em 1969; e a criação da world wide web, em 1990.

6
ou serviços que o mesmo acessava, sendo assim, foi nesse cenário que Lou Montulli, na época
funcionário da empresa Netscape, desenvolveu os conhecidos “cookies” de navegação. 14
Assim, percebe-se que hoje a utilização dos cookies é essencial para a forma de
navegação na internet como conhecemos. Pois, se não fossem os cookies, por exemplo, o
usuário que estivesse interessado em adquirir um item em um site de compras, ao incluir esse
item no carrinho e ir para a página de pagamento, o carrinho iria aparecer vazio, já que na
arquitetura original de rede, sem os cookies, não é possível que o servidor gravasse o objeto
escolhido pelo usuário, impossibilitando assim todo o mecanismo de compras online que
conhecemos hoje.15
Contudo, tais informações captadas pelos cookies de navegação podem suscitar
diversos problemas referentes à privacidade e à proteção de dados do usuário. Afinal, o
cruzamento de dados coletados por diversos sites pode fazer com que obtenha-se conhecimento
de não apenas dados deliberadamente informados pela pessoa, mas sim, dados sensíveis como
a opinião política, conhecimento de alguma doença16 ou, inclusive, até mesmo uma gravidez e
o estágio em que ela se encontra.
Como devidamente demonstrado pelo incidente da empresa Target nos Estados Unidos,
onde um pai veio reclamar ao gerente da loja, que a sua filha, estando no ensino médio, estava
recebendo cupons de produtos voltados para bebês como berços e roupas infantis. Porém,
ligando novamente para repetir o pedido de desculpas, o gerente descobriu por intermédio do
pai da jovem que, de fato, a filha dele estava grávida. Ou seja, tal situação comprova o nível de

14
OLIVEIRA, Jordan Vinícius de; SILVA, Lorena Abbas da. Cookies de navegador e história da internet:
desafios à lei brasileira de proteção de dados pessoais. Revista de Estudos Jurídicos UNESP, Franca, ano 22, n.
36, p.307, jul/dez. 2018. Disponível em:
<https://ojs.franca.unesp.br/index.php/estudosjuridicosunesp/issue/archive>.OP Cit: “Como solução ao problema,
o então funcionário da Netscape, Lou Montulli, desenvolveu os chamados “cookies” de navegador e disseminou
as especificações para a sua adoção por outros navegadores e páginas. Desse modo, os cookies são responsáveis
por manter a comunicação entre cliente e servidor e identificar de forma contínua um usuário enquanto ele navega
por uma página na web. (KRISTOL, 2001, p. 152-4).”
15
FRAZÃO, Ana, TEPEDINO, Gustavo, OLIVA, Milena Donato, Lei Geral de Proteção de Dados Pessoais e
suas repercussões no Direito brasileiro, 1ª Edição, 2019, pág. 611.
16
AYENSON, Mika D; WAMBACH, Dietrich James; SOLTANI, Ashkam; GOOD, Nathan; HOOFNAGLE,
Chris Jay. Behavioral advertising: the offer you can't refuse. Harvard Law & Policy Review, n 6, v 273, pag. 276.
Disponível em: [https://lawcat.berkeley.edu/record/1125236?ln=en]. Acesso dia 1 de maio de 2021. Op Cit: “The
privacy problem from cookies comes from the aggregation of this tracking across different websites into profiles
and through attempts at linking this profile to the user's identity. By tracking these identifiers across websites that
users visit, advertisers can infer users' interests, perhaps sensitive ones, such as medical conditions, political
opinions, or even sexual fetishes.”

7
informação disponível quando se cruza os dados de alguém, podendo até, como neste caso,
prever uma gravidez até mesmo antes do conhecimento dos pais da jovem17.
Além deste caso específico, há muitas outras situações que comprovam como a coleta
e tratamento de dados podem prever situações completamente diversas. De rompimentos de um
relacionamento a um possível surto de gripe com base nos termos buscados no google18.
No mais, como observado, os cookies são umas das principais ferramentas utilizadas
hoje na coleta de dados pessoais, sendo assim, urge definir algumas de suas espécies e,
igualmente, como operam. Inicialmente citado por Castelluccia no presente capítulo, sabe-se
que há diferenciadas espécies de cookies que valem ser devidamente trabalhadas
individualmente no seguinte subcapítulo.
II.II ESPÉCIES DE COOKIES:
Os cookies podem ser definidos por sua duração, sendo estes cookies de sessão ou
persistentes, ou por seu domínio, como os cookies de terceiro. Caberá neste capítulo abordar as
principais formas que os cookies são apresentados para uma melhor compreensão do impacto
que tal ferramenta de navegação implica, sendo cada um apresentado com imagens para uma
melhor visualização de como os cookies se apresentam no navegador do usuário.
a) COOKIES DE SESSÃO:
São cookies onde a sua principal característica é ser transitório, isto é, ele é devidamente
apagado depois que o usuário utiliza e fecha o site. Tal espécie de cookie tem como
armazenamento a memória temporária do dispositivo, por conta disso não se mantém no
aparelho após o uso. Por conseguinte, esses cookies em específico não coletam informações do
dispositivo, geralmente não retendo assim dados pessoais do usuário. Nas palavras de Dayane
Caroline de Souza e Flávia Amaral:
“Cookies de sessão são normalmente essenciais para a
navegação, constituem a memória de curto prazo de um site, à

17
Para uma melhor descrição do caso e mais informações, veja o artigo de Charles Duhigg (How companies learn
your secrets. New York Times. Disponível em [https://www.nytimes.com/2012/02/19/magazine/shopping-
habits.html]. Acesso dia 1 de maio de 2021.
18
Houve um projeto, com início em 2008, denominado Google Flu, apresentado como tendências de gripe no
Brasil, que, em suma, era uma ferramenta do Google que disponibilizava por meio dos dados coletados em sua
ferramenta de busca, uma estimativa de gripe ou até possível epidemia em uma região específica. Porém, o projeto
foi extinto em 2015 por ter tido grandes percentuais de falhas, sendo um de até 140% em um pico de gripe em
2013. Todavia, a tentativa desse projeto, apesar de ter falhado em seu objetivo principal, trouxe importantes
avanços para o tratamento de dados em questões de saúde pública. Para saber mais, acesse o artigo de Lazer, D.,
R. Kennedy, G. King, and A. Vespignani. 2014. “The Parable of Google Flu: Traps in Big Data
Analysis.”[http://nrs.harvard.edu/urn-3:HUL.InstRepos:12016836]. Acesso dia 2 de maio de 2021.

8
medida que o usuário passa de uma página para outra dentro de seu
domínio. Por exemplo, num site de compras, quando o usuário
seleciona vários itens, ao mudar para a página de pagamento, os
itens selecionados estão no “carrinho” de compras. Então, por meio
deste tipo de cookie, o site salva as informações de uma página em
outra. Os cookies de sessão não coletam informações sobre o
computador do usuário, nem abstraem informações capazes de
identificar com facilidade um usuário. Além disso, são temporários,
ou seja, quando o usuário fecha a janela de navegação, o
computador exclui todos esses cookies automaticamente.”19

A título de exemplo, segue uma imagem que exemplifica um cookie de sessão:

Como pode-se observar, considera-se um cookie de sessão, pois a validade do cookie é


apenas até a duração da sessão (expires when the browsing session ends), então apesar de ter

19
SOUZA, Dayane Caroline, AMARAL, Flávia, Cookies e publicidade comportamental estão na mira da proteção
de dados, Revista Consultor Jurídico, 22 de fevereiro de 2020, 6h02. Acessado dia 05 de abril pelo
link>https://www.conjur.com.br/2020-fev-22/opiniao-cookies-publicidade-mira-protecao-dados<

9
acesso às informações do usuário, o armazenamento dessas informações fica presente na
memória temporária do dispositivo, por conta disso, é o tipo mais “seguro” dos cookies.
b) COOKIES PERSISTENTES:
Podem ser conhecidos também como primários, permanentes ou armazenados. Tal
cookie tem como a sua principal característica um prazo de validade específico, ou seja, ele
funciona como uma memória de longo prazo do site frequentado pelo usuário, guardando assim
informações e configurações de idioma, senha, credenciais de login, ou qualquer outra
informação do gênero. Sendo assim, este cookie tem como finalidade autenticar e memorizar
as informações do usuário para facilitar a navegação, até, claro, a sua data de validade. Assim,
observa-se na imagem abaixo:

Percebe-se na imagem acima, que este cookie em específico possui a sua data de
validade para o dia 8 de maio de 2021. Ou seja, as informações obtidas desse cookie são,
principalmente, o nome do usuário, como “urlLastSearch”, que, por sua vez, acaba já
descrevendo o conteúdo do cookie, sendo principalmente os objetos de pesquisa que o usuário
acessou no site. Isto posto, esta espécie de cookie permite à empresa uma experiência de
individualização para com o usuário, sendo os demais elementos opcionais, como o caminho,

10
isto é, o endereço da web onde o cookie é válido, o domínio, os padrões de conexão, e a sua
data de criação e expiração.20
Portanto, conclui-se que os cookies persistentes são muito utilizados, principalmente
em sites de comércio online, já que com a sua utilização o site pode sugerir outros itens
semelhantes aos itens que captaram o interesse do usuário. Por exemplo, a origem do cookie
apresentado na imagem é de uma editora de livros, assim, a função deste cookie em específico
é captar as informações de quais livros este usuário demonstrou interesse, permitindo assim
que essa editora possa recomendar livros semelhantes, de acordo com o histórico de navegação
deste usuário dentro do site.
c) COOKIES DE TERCEIRO:
Talvez a forma mais maliciosa e complicada de espécie de cookies, os cookies de
terceiro caracterizam-se principalmente pelo domínio ser pertencente a um terceiro, isto é, ao
contrário dos cookies de sessão e primários, o cookie de terceiro tem um domínio diferente do
que o site que ele se apresenta, acarretando assim um dos principais problemas se segurança de
dados. Assim explica-se:
“Os cookies de terceiro fornecem os padrões de navegação
dos usuários a empresas ou sujeitos que não guardam relação com
seu acesso. Assim, ao acessar o “site A”, o sujeito pode interagir
com cookies de navegador do mesmo site, mas também do “site B”,
do “site C” e por aí em diante.”21

Logo, os cookies de terceiro já foram muito utilizados principalmente para fins de


marketing, onde as marcas utilizam-se desses cookies de terceiro para coletar dados específicos,
com o objetivo de direcionar anúncios específicos para o usuário. Assim, os cookies de terceiro
representam uma enorme vantagem para as companhias que utilizam essa forma de marketing
já que com a utilização desse cookie, é coletado todo o histórico de buscas do usuário, não
limitando-se assim naquele site em específico que o cookie foi instalado a priori.22

20
OLIVEIRA, J. V; SILVA, L. A. “É de Comer?” Cookies de Navegador e os Desafios à Privacidade na Rede.
R. Tecnol. Soc., Curitiba, v. 15, n. 37, p. 297-310, jul./set. 2019. Disponível
em:<https://periodicos.utfpr.edu.br/rts/article/view/8419 >. Acesso em: 1 de maio de 2021.
21
Idem, pág 298.
22
KHOLOD, Yaroslav, The end of third-party cookies: How it will affect advertisers and publishers, artigo
acessado no site [https://marketingtechnews.net/news/2021/apr/20/the-end-of-third-party-cookies-how-it-will-
affect-advertisers-and-publishers/] no dia 1 de maio de 2021. Op cit: “Brands have long used third-party cookies
to track website visitors, improve user experience, and collect data to target ads to the right audience. The main

11
Contudo, é justamente essa característica tão vantajosa para o marketing digital que
torna os cookies de terceiros vistos até de maneira maliciosa, afinal, a quantidade de dados
coletados sem sequer a possibilidade de o usuário conscientizar-se de maneira completamente
plena, já que o domínio do cookie de terceiro não pertence ao site visitado especificamente,
chega a ser incalculável. Além disso, como ele não é originado do site visitado, não apresenta
nenhuma utilidade necessária para a navegação específica do site, não interferindo
drasticamente na experiência de navegação do usuário.
Por conta disso, principalmente os cookies de terceiro, enfrentam uma possível
extinção. Muitas empresas já adotaram medidas que pretendem bloquear totalmente os cookies
de terceiro de seus navegadores, Mozilla com o Firefox, a Apple com o Safari, e, a última
empresa a tomar tal atitude, o Google com o Chrome, no qual informou no seu blog de notícias
e desenvolvimentos que pretende extinguir a utilização de cookies de terceiro até 2022 em
nome de uma maior confiabilidade na segurança digital para com os usuários. 23
Apesar de seu teor perigosamente invasivo, os cookies de terceiro podem ser uma
ferramenta interessante, sites como o blackboard, por exemplo, utilizam cookies de terceiro por
conta de uma terceirizada responsabilizada pelo controle de fluxo no site. Veja, o cookie de
terceiro do blackboard também é considerado um cookie de sessão, já que o mesmo expira
assim que a sessão é encerrada, porém, quando os cookies de terceiro são bloqueados do
navegador, o blackboard para de funcionar, já que o mesmo utiliza-se de uma ferramenta do
cookie de terceiro onde informações de funcionamento de página, denominada real user
monitoring (RUM) é disponibilizado pela empresa New Relic24, isto é, essa empresa terceiriza
a função de monitoramento em seus servidores de coleta de dados. Como explica em seu
próprio site:
“Dependendo do seu nível de assinatura, o New Relic
Browser pode monitorar uma variedade de detalhes sobre tudo,
desde o tempo de carregamento da página até o tempo gasto no front
end, no back end, na geografia e no tipo de navegador.

advantage of third-party cookies for advertisers was that they enabled the tracking of what users were browsing
throughout the entire web within a specific browser, not just on the site on which these cookies had been installed.”
23
A publicação do blog pode ser acessada pelo link[https://blog.chromium.org/2020/01/building-more-private-
web-path-towards.html] acessado no dia 01 de maio de 2021.
24
Mais informações sobre esse cookie em específico e o funcionamento dele podem ser encontrados no
link>https://docs.newrelic.com/docs/browser/new-relic-browser/page-load-timing-resources/page-load-timing-
process/< acessado dia 12 de maio de 2021.

12
Para coletar os dados, o New Relic Browser usa elementos
JavaScript colados ou injetados em suas páginas da web,
normalmente como parte do HEAD da página, contendo detalhes de
configuração e instrumentação essencial do ambiente do navegador.
Quando a página termina de carregar, um script adicional é baixado
de um servidor CDN. Este script adicional processa os dados
coletados e os reporta à New Relic via bam.nr-data.net 1.1k para
que você possa ver os dados em sua conta da New Relic. Você pode
encontrar mais detalhes sobre como a instrumentação do navegador
funciona na documentação.25”

Assim, na prática, tal cookie que o navegador lê como terceiro, por possuir um domínio
diferente, aparece da forma descrita nas duas imagens a seguir:

25
Tradução livre retirada do site de discussão sobre a empresa New Relic, mais informações podem ser
encontradas no link> https://discuss.newrelic.com/t/relic-solution-what-is-bam-nr-data-net-new-relic-browser-
monitoring/42055< acessado dia 12 de maio de 2021. Op.cit: Depending on your subscription level, New Relic
Browser can monitor a variety of details about everything from page load timing to time spent in the front end,
time spent in the back end, geography, and browser type.
To collect the data, New Relic Browser uses JavaScript elements pasted or injected into your webpages, typically
as part of the HEAD of the page, containing configuration details and essential browser environment
instrumentation. Once the page finishes loading, an additional script is downloaded from a CDN server. This
additional script processes collected data and reports it back to New Relic via bam.nr-data.net 1.1k so that you
can see the data in your New Relic account. You can find more details about how Browser instrumentation works
in the documentation.

13
14
Logo, como visto nas imagens acima, o nome do supracitado cookie é JSESSIONID,
tal cookie é utilizado para que a New Relic consiga monitorar o fluxo de entrada no site. O seu
domínio denomina-se como “bam.nr-data.net”, sendo este o domínio da empresa New Relic. É
justamente por esta razão que este cookie em específico é considerado de terceiro, já que o seu
domínio difere-se dos outros cookies do blackboard.

No mais, percebe-se que apesar dos cookies de terceiro não serem unicamente utilizados
para o marketing de forma maliciosa, a utilização dos mesmos enfrenta uma eminente extinção
justamente por uma demanda dos próprios usuários, nos quais aclamaram por mais privacidade,
transparência, a própria situação de consentir e, principalmente, um maior controle de como
estão sendo utilizados os seus dados. Nesta seara, afirma Justin Schuh, diretor do corpo de
engenharia do Chrome:

“Os usuários estão exigindo maior privacidade - incluindo


transparência, escolha e controle sobre como seus dados são usados
- e está claro que o ecossistema da web precisa evoluir para atender
a essas demandas crescentes. Alguns navegadores reagiram a essas
preocupações bloqueando os cookies de terceiros, mas acreditamos
que isso tenha consequências indesejadas que podem impactar
negativamente os usuários e o ecossistema da web. Pois, ao minar o
modelo de negócios de muitos sites com anúncios, pode levar a uma
abordagem rude perante os cookies de terceiro, podendo encorajar
uso de técnicas mais complicadas, como impressão digital (uma
solução invasiva para substituir tais cookies), o que pode realmente
reduzir a privacidade e o controle do usuário. Acreditamos que nós,
como comunidade, podemos e devemos fazer melhor.”26

Assim, percebe-se que há ultimamente um cuidado maior com a privacidade e o


tratamento dos dados, pois, quando se controla o tratamento de dados, não é apenas o indivíduo

26
Tradução diretamente retirada do blog, podendo ser acessada pelo
link[https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html] acessado no dia 01 de
maio de 2021. Segue: “Users are demanding greater privacy--including transparency, choice and control over
how their data is used--and it’s clear the web ecosystem needs to evolve to meet these increasing demands. Some
browsers have reacted to these concerns by blocking third-party cookies, but we believe this has unintended
consequences that can negatively impact both users and the web ecosystem. By undermining the business model
of many ad-supported websites, blunt approaches to cookies encourage the use of opaque techniques such as
fingerprinting (an invasive workaround to replace cookies), which can actually reduce user privacy and control.
We believe that we as a community can, and must, do bette r”.

15
que é devidamente resguardado, mas sim, o grupo social que ele pertence, isto é, o tratamento
devido de dados protege não apenas o usuário, mas todo seu ciclo social.27
Por fim, é de suma importância, reconhecer a intervenção jurídica para com a proteção
digital do indivíduo, pois, em um mundo extremamente conectado com o atual, tornou-se
essencial uma educação digital e um cuidado com a privacidade com os dados da persona do
usuário online. Dado tal necessidade, surgiram regulamentos essenciais, como, por exemplo, a
General Data Protection Regulation(GDPR) da União Europeia, a Califórnia Consumer Privacy
Act (CCPA) nos Estados Unidos e a brasileira Lei Geral de Proteção de Dados(LGPD).
Isto posto, cabe no seguinte capítulo apresentar a Lei Geral de Proteção de Dados, e o
seu impacto perante o consentimento no aceite dos cookies de navegação anteriormente
abordados.
III. COOKIES DE NAVEGAÇÃO E SUAS IMPLICAÇÕES JURÍDICAS NA LGPD
Como explicado anteriormente, os cookies representam um papel importantíssimo,
porém perigoso caso não sejam devidamente observados. Já que, como anteriormente
observado, os cookies movimentam uma quantidade praticamente imensurável de dados. Por
conta disso, diversas questões jurídicas vieram à tona, já que é função eterna do direito
acompanhar as atualidades.
É neste cenário que surge dentre as primeiras e com maior relevância mundial, a General
Data Regulation (GDPR), que, possui como objetivo em seu art. 1º, defender os direitos e as
liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos
dados pessoais28. Iniciando assim, uma tendência mundial para uma melhor regularização na
proteção de dados pessoais. Como explica Jan Philipp Albrecht, membro do parlamento
europeu:
“No decurso da revisão da Convenção 108 do Conselho da
Europa, a GDPR deixará a sua pegada também nos países vizinhos
da UE ou mesmo no estrangeiro. Em contraste com a imagem de
terror de uma fortaleza digital na Europa distribuída por

27
FRAZÃO, Ana, TEPEDINO, Gustavo, OLIVA, Milena Donato, Lei Geral de Proteção de Dados Pessoais e
suas repercussões no Direito brasileiro, 1ª Edição, 2019, pág. 297. Op cit: Quando se controla o tratamento de
dados, não se resguarda apenas o indivíduo cujos dados estão relacionados, mas também o grupo social do qual
ele faz parte, interesses coletivos e as futuras gerações.
28
Artigo 1º do capítulo 1 da GDPR, no qual subscreve-se: Subject-matter and objectives: This Regulation lays
down rules relating to the protection of natural persons with regard to the processing of personal data and rules
relating to the free movement of personal data.; This Regulation protects fundamental rights and freedoms of
natural persons and in particular their right to the protection of personal data.; The free movement of personal data
within the Union shall be neither restricted nor prohibited for reasons connected with the protection of natural
persons with regard to the processing of personal data.

16
representações empresariais dos EUA, a GDPR está servindo como
um ponto de partida para padrões internacionais para um mercado
digital confiável.”29
Isto posto, a Lei Geral de Proteção de Dados, a desejo do legislador, encontra-se
fortemente alinhada com a GDPR, pois assim, a LGPD poderá adequar-se ao sistema europeu,
facilitando transações e cooperações com os países da União Europeia30. Destarte, apesar de
apresentarem diferenças substanciais em seus regimes jurídicos, principalmente no tocante da
técnica legislativa utilizada31, a aproximação de ambas é deveras vantajosa para o mundo
comercial.

Ao contrário da GDPR32, a LGPD não cita especificamente sobre ferramentas de


trackings como os cookies, mas, parte da ideia de que há a existência de dados identificáveis.
Afinal, dados pessoais que inicialmente podem não parecer de suma relevância, uma vez
cruzados de uma maneira específica, podem resultar em dados extremamente específicos e
sensíveis sobre determinada pessoa.33 Assim apresenta o art. 5º34, principalmente nos três

29
Albrecht, J.How the GDPR Will Change the World. European Data Protection Law Review. Jahrgang 2,
Ausgabe 3 (2016) pp. 287 - 289. Acessado dia 1 de maio de 2021. Tradução livre: “In the course of the revision
of the Council of Europe’s Convention 108 the GDPR will leave its footprint also in neighbouring countries of the
EU or even further abroad. In contrast to the horror picture of a digital fortress Europe distributed by US business
representations, the GDPR is serving as a starting point for international standards and a trustworthy digital
market.”
30
FRAZÃO, Ana, TEPEDINO, Gustavo, OLIVA, Milena Donato, Lei Geral de Proteção de Dados Pessoais e
suas repercussões no Direito brasileiro, 1ª Edição, 2019, pág. 293.
31
Idem, pag.803.
32
Na GDPR, os tracking de navegação, conhecido como cookies, são citados no seu recital 30, no qual segue:
“Pessoas físicas podem ser associadas a identificadores online fornecidos por seus dispositivos, aplicativos,
ferramentas e protocolos, como endereços de protocolo de internet, identificadores de cookies ou outros
identificadores, como etiquetas de identificação por radiofrequência. Isto pode deixar vestígios que, em particular
quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser
utilizados para criar perfis de pessoas singulares e identificá-las”. Todos os recitais da GDPR podem ser
encontrados do site[ https://gdpr.eu/recital-30-online-identifiers-for-profiling-and-identification/?cn-reloaded=1]
Acessado dia 1 de maio de 2021. Tradução livre, do recital: “Natural persons may be associated with online
identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses,
cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which,
in particular when combined with unique identifiers and other information received by the servers, may be used
to create profiles of the natural persons and identify them.”
33
FRAZÃO, Ana, TEPEDINO, Gustavo, OLIVA, Milena Donato, Lei Geral de Proteção de Dados Pessoais e
suas repercussões no Direito brasileiro, 1ª Edição, 2019, pág. 295.
34
Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural
identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III - dado
anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento;(...).

17
primeiros incisos, onde explica taxativamente as definições de dado pessoal, dado pessoal
sensível e anonimizado. Onde, considera um dado pessoal uma informação relacionada a
pessoa natural sendo esta identificada ou identificável, um dado sensível como um dado que
pode gerar uma discriminação perante a pessoa natural, o dado anonimizado, que, opostamente
ao dado sensível ou identificável, é caracterizado pela não identificação do indivíduo. Por fim,
configura-se também no art.1335, parágrafo 4º da mesma lei, o dado pseudonimizado, no qual
tem como definição um dado que perde a possibilidade de associação, sendo esta direta ou
indireta, a um indivíduo específico, ou seja, a não ser que seja utilizado dados adicionais, os
dados pseudonimizados não identificam o sujeito titular do dado.

Ora, observa-se que a LGPD tem como principal objetivo proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural.36Ou seja, o objetivo da lei permeia principalmente na proteção perante a parte
mais afetada no mercado informacional, isto é, a pessoa titular dos dados. Dá-se assim, uma
ênfase na autonomia do indivíduo em possuir o controle sobre o seu próprio fluxo de
informações pessoais37.

Explica Bione, que é justamente essa preocupação com a autonomia e protagonismo do


indivíduo onde nasce a chamada terceira geração de leis38. Afinal, nesta geração, as normas de

35
Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados
pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de
estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em
regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem
como considerem os devidos padrões éticos relacionados a estudos e pesquisas. (...)
§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade
de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente
pelo controlador em ambiente controlado e seguro.
36
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural
ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As
normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito
Federal e Municípios.
37
RODOTÁ, Stefano. Persona, riservatezza, identità. Rivista Crtica del diritto Privato, ano XV, n.4. P. 583-609,
dic. 1997.
38
De acordo com Bione, as leis de proteção de dados enfrentaram três gerações principais, a primeira geração de
leis de proteção de dados decorre da preocupação do processamento massivo dos dados pessoais dos cidadãos na
formação do estado moderno, ou seja, em um mundo pós segunda guerra mundial, no contexto da criação de
National Data Centers como ferramenta utilizada para a expansão orgânica da população, a primeira geração das
leis possuía um foco muito mais governamental, dado ao medo de um grande controle estatal Orwelliano com o
imaginário do Grande Irmão. Já a segunda geração de leis que versam sobre a proteção de dados, decorre de uma

18
proteção de dados têm como um de seus objetivos assegurar a participação do indivíduo perante
a proteção de seus dados pessoais, justamente em referência a autodeterminação informacional,
isto é, mira-se em um maior controle ativo do indivíduo perante a proteção dos dados39.

Todavia, apesar do consentimento obter o seu grande protagonismo na terceira geração


de leis de proteção de dados, percebe-se que há um problema inerente à plena autonomia do
consentimento da pessoa natural detentora dos dados. Já que há uma assimetria clara entre o
usuário e o fornecedor no mercado informacional, pois a pessoa natural precisa dar os seus
dados pessoais para diversas atividades do dia a dia, seja essa atividade a compra de um remédio
em uma farmácia, matrícula na academia, abrir uma conta em um banco, comprar online, etc.
Como expressa Mayer-Schonenberger, somente eremitas alcançariam a proteção plena de seus
dados, já que, como decorrência da sua recusa em fornecê-los, amargaram assim o custo social
decorrente da exclusão de tais atividades.40

Logo, observa-se que além de garantir as qualificadoras para o exercício do


consentimento, faz-se necessário a busca por outras ferramentas regulatórias com o objetivo de

preocupação não apenas estatal, mas sim da esfera privada, tendo, como explica Bione, a figura do Grande Irmão
diluída em Pequenos irmãos, ou seja, na segunda geração, o foco das leis de proteção de dados transfere para o
próprio titular de dados a responsabilidade de protegê-los por meio do consentimento. Há, além das 3 gerações
principais, a última e quarta geração, que possui como principal característica problematizar justamente o papel
ativo do titular dos dados, nas palavras de Bione. Op cit: “A quarta geração veio para cobrir essa deficiência das
gerações das leis anteriores. A disseminação de autoridades independentes para a aplicação de leis de proteção
de dados pessoais, bem como de proposições normativas, que não deixavam ao reino do individuo a escolha sobre
o processamento de certos tipos de dados pessoais (e.g., sensíveis), relativizaram a referenciada centralidade do
consentimento.” Um maior detalhamento sobre esta questão pode ser consultado no livro BIONE, Bruno Ricardo,
proteção de dados pessoais a função e os limites do consentimento, editora forense 2º edição, 2019. Capítulo III.
39
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, 2019. Pág 111. Op Cit: Nesse estágio que as normas de proteção de dados pessoais procuraram assegurar
a participação do indivíduo sobre todos os movimentos dos seus dados pessoais: da coleta ao compartilhamento.
Alcançar-se-ia, assim, o êxtase da própria terminologia da “autodeterminação informacional”, pois com tal
participação, possibilitar-se-ia que o sujeito tivesse um controle mais extensivo sobre as suas informações
pessoais.”
40
MAYER-SCHONEBERGER, Viktor, CUKIER, Kennet. Big Data: A Revolution will transform how we live,
work and think. New York: Houghton Mifflin Publishing, 2013. Op cit., pag.229: “But what price does one have
to pay for that? Is it acceptable that such data protection liberties can be exercised only by hermits? Have we
reached an optimum of data protection if we guarantee privacy rights that, when exercised, will essentially expel
the individual citizen from society?” Tradução da citação dada por BIONE, Bruno Ricardo, proteção de dados
pessoais a função e os limites do consentimento, página 112.

19
equalização na assimetria natural do mercado informacional, isto é, ferramentas que possam
minimamente equalizar a intrínseca dinâmica de poder perante o usuário e provedor41.

Isto é, não basta um consentimento do usuário perante o aceite de cookies, mas sim
uma observância de até qual ponto é realmente válido tal consentimento, dado a grande
problemática estrutural que abarca a autodeterminação informacional e essa assimetria de poder
perante a pessoa natural e o sujeito que coleta tais dados no mercado informacional. Caberá
assim, no subcapítulo seguinte ilustrar como a LGPD, abarca em sua legislação as ferramentas
utilizadas para tentar reduzir essa assimetria dos agentes que se relacionam na troca e produção
de dados pessoais.

III.I A VALIDADE DO CONSENTIMENTO NO ACEITE DOS COOKIES DE


NAVEGAÇÃO E A ASSIMETRIA INTRÍNSECA ENTRE USUÁRIO E PROVEDOR

Como visto anteriormente, existe uma grande assimetria entre os agentes que compõem
o negócio do mercado informacional, ou seja, a pessoa natural estaria, sem a interferência do
direito, à mercê dos agentes provedores de serviços em troca dos dados pessoais. Dado este
fato, há um amplo rol de artigos na LGPD que transmitem essa preocupação do legislador em
reduzir o máximo possível a assimetria intrínseca dessa relação.

Observa-se que com o amplo rol de princípios e referencias a boa-fé objetiva, o


legislador procurou atenuar essa assimetria, pois de um lado tem-se geralmente grandes
empresas e Estados, detendo uma gama de poderes e informações, enquanto no outro lado do
polo desta relação, há o sujeito titular dos dados, sendo muitas vezes um cidadão comum e até
desempenhando um papel de consumidor42.

41
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, 2019. Pág.112. Op cit: “(...) mais do que garantir, artificialmente, diversos qualificadores para o
consentimento, deve-se buscar, sobretudo, outras ferramentas regulatórias para equalizar a referenciada
assimetria do mercado informacional, redesenhando a sua dinâmica de poder.”
42
FRAZÃO, Ana, TEPEDINO, Gustavo, OLIVA, Milena Donato, Lei Geral de Proteção de Dados Pessoais e
suas repercussões no Direito brasileiro, 1ª Edição, 2019. Pág 295. Op cit: “O estabelecimento de um amplo rol de
princípios na LGPD e a referência à boa-fé objetiva revelam a preocupação do legislador com as atividades de
tratamento de dados pessoais. Vive-se em ambiente marcado por elevada assimetria informacional: uma parte,

20
Dessarte, atribui-se que, em certos aspectos, a LGPD estabeleceu um sistema parecido
com a estrutura jurídica do Código do Consumidor, principalmente quanto trata-se de proteção
perante o titular dos dados em caso de possíveis danos, vide a já abarcada assimetria entre os
agentes43.

Percebe-se tal situação principalmente no art.6º da LGPD, onde abarca dentre os seus
dez princípios sobre a atividade de tratamento de dados, a questão do livre acesso, qualidade
dos dados, transparência, segurança, prevenção, e, talvez o que melhor ilustra o objetivo do
legislador em tentar diminuir essa assimetria e garantir a autodeterminação informativa, a
responsabilização e prestação de contas do agente 44.

Todavia, é apenas no art. 7º da LGPD45 onde o legislador abarcou taxativamente as dez


hipóteses obrigatórias para o tratamento de dados pessoais, sendo o consentimento presente em

geralmente grandes empresas e Estados, detém mais poder, recursos, e melhores informações do que o cidadão
comum, por vezes, consumidor nas relações desenvolvidas.”
43
GIANNOTTI, Luca d’Arce, A responsabilidade civil dos agentes de tratamento de dados e o fato de serviço
consumerista, Faculdade de Direito da Universidade de São Paulo, 2019. Pág. 7. O artigo pode ser acessado pelo
link> https://www.levysalomao.com.br/files/fckeditor/file/Monografia%202%20colocado.pdf,< acessado dia 26
de maio de 2021.
44
Cita-se o art. 6º na íntegra com todos os princípios: Art. 6º As atividades de tratamento de dados pessoais
deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos
legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas
ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário
para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em
relação às finalidades do tratamento de dados; IV - livre acesso: garantia, aos titulares, de consulta facilitada e
gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V -
qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo
com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência: garantia, aos
titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de medidas
técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas para
prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - não discriminação:
impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização
e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
45
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o
fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo
controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à
execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou
instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos
por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário
para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular,
a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou

21
seu primeiro inciso. Logo, como é apresentado no art.5º, XII46 da supracitada lei, define-se o
consentimento como uma manifestação livre, informada e inequívoca onde o titular concorda
com o tratamento de seus dados pessoais para a finalidade observada.

Ou seja, o consentimento deve ser livre no sentido do titular poder escolher entre aceitar
ou recusar o tratamento de seus dados sem qualquer tipo de situação que possa causar um vício
em seu consentimento47. Informada, sob o aspecto de ser necessário ao usuário o devido acesso
a informações claras e adequadas acerca do que constitui-se o tratamento de seus dados48, pois
como é disposto no art.9º49 da referida lei, a informação deverá ser clara, adequada e ostensiva
acerca da finalidade, forma, identificação, contato do controlador, o compartilhamento dos
referidos dados, a responsabilidade dos agentes envolvidos, e os direitos do titular dos dados.
Por fim, sob o aspecto do inequívoco, fica claro o desejo do legislador de reafirmar o cuidado

arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;VII - para a
proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, em procedimento
realizado por profissionais da área da saúde ou por entidades sanitárias; VIII - para a tutela da saúde,
exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Vigência IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no
caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. (...).
46
Art. 5º Para os fins desta Lei, considera-se: (...) XII - consentimento: manifestação livre, informada e inequívoca
pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; (...).
47
FRAZÃO, Ana, TEPEDINO, Gustavo, OLIVA, Milena Donato, Lei Geral de Proteção de Dados Pessoais e suas
repercussões no Direito brasileiro, 1ª Edição, 2019. Pág 301.
48
FRAZÃO, Ana, TEPEDINO, Gustavo, OLIVA, Milena Donato, Lei Geral de Proteção de Dados Pessoais e
suas repercussões no Direito brasileiro, 1ª Edição, 2019. Pág 301. Op Cit: “Para diminuir a assimetria técnica e
informacional existente entre as partes, exige a lei que ao cidadão sejam fornecidas informações transparentes,
adequadas, claras e em quantidade satisfatória acerca dos riscos e implicações do tratamento de seus dados.”
49
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão
ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em
regulamentação para o atendimento do princípio do livre acesso: I - finalidade específica do tratamento; II - forma
e duração do tratamento, observados os segredos comercial e industrial; III - identificação do controlador; IV -
informações de contato do controlador; V - informações acerca do uso compartilhado de dados pelo controlador e
a finalidade; VI - responsabilidades dos agentes que realizarão o tratamento; e VII - direitos do titular, com menção
explícita aos direitos contidos no art. 18 desta Lei.§ 1º Na hipótese em que o consentimento é requerido, esse será
considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham
sido apresentadas previamente com transparência, de forma clara e inequívoca.§ 2º Na hipótese em que o
consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis
com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de
finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.§ 3º Quando o tratamento de
dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular
será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular
elencados no art. 18 desta Lei.

22
necessário do controlador para não induzir o usuário ao erro, pois tal situação anularia o
consentimento, como dispõe o supracitado art.9º em seu primeiro parágrafo.

Além disso, em um cenário de crescimento legislativo perante a proteção de dados,


percebeu-se que, em um cenário pós GDPR, o crescimento de pedidos de aceite para o uso dos
cookies de navegação, cresceram exponencialmente. Neste tocante, a pesquisa realizada pela
Universidade alemã de Bochum 50, apresenta, como é no mundo fático o exercício da
transparência dos sites pesquisados, e de que forma a prática de tratamento de dados pessoais
pelas plataformas com a utilização dos pedidos de aceite dos cookies possui de fato um auxílio
na obtenção de um consentimento válido perante os usuários. Cabendo assim, analisar a
referida pesquisa e o que o resultado da mesma proporciona perante o entendimento do
consentimento dos usuários na utilização de seus dados pessoais.

III.II A PESQUISA DA UNIVERSIDADE DE BOCHUM E O QUE ELA


REVELA SOBRE O CONSENTIMENTO NO ACEITE DOS COOKIES DE
NAVEGAÇÃO

Inicialmente, a pesquisa pretendeu responder três questões principais, sendo elas: 1) A


posição de um aviso de consentimento de cookie em um site influencia as decisões de
consentimento dos visitantes?; 2) O número de escolhas e empurrões via ênfase / pré-seleção
influenciam as decisões dos usuários quando enfrentam avisos de consentimento de cookies?;
3)A presença de um link de política de privacidade ou o uso de linguagem técnica / não técnica
(“este site usa cookies” vs. “este site coleta seus dados”) influencia o consentimento dos
usuários em sua tomada de decisão?51.

50
Christine Utz, Martin Degeling, Sascha Fahl, Florian Schaub, and Thorsten Holz. 2019. (Un)informed Consent:
Studying GDPR Consent Notices in the Field. In 2019 ACM SIGSAC Conference on Computer and
Communications Security (CCS ’19), November 11–15, 2019, London, United Kingdom. ACM, New York, NY,
USA, 18 pages. https://doi.org/10.1145/3319535.3354212.
51
Idem. Tradução nossa, Op cit: The study comprises three distinct field experiments to answer the following
research questions: (1) Does the position of a cookie consent notice on a website influence visitors’ consent
decisions? (Experiment 1, n = 14,135) (2) Do the number of choices and nudging via emphasis / preselection
influence users’ decisions when facing cookie consent notices? (Experiment 2, n = 36,530) (3) Does the presence
of a privacy policy link or the use of technical / non-technical language (“this website uses cookies” vs. “this
website collects your data”) influence users’ consent decisions? (Experiment 3, n = 32,225). Pág.2.

23
Isto posto, o primeiro experimento mostrou que o aviso de consentimento perante os
cookies era posicionado no topo ou final em mais de 91,8% dos sites analisados, não possuindo
assim uma fácil visualização do usuário, ou seja, se tais notificações não bloqueiam o conteúdo
do site em si, constatou-se que houve uma baixa taxa de cliques52.

Já no segundo teste realizado pela pesquisa, observou-se quatro motivos principais pela
falta de interação do usuário perante os termos de consentimento. Sendo estes, respectivamente:
a) a adesão obrigatória do consentimento, onde em muitos sites não existia a opção do não
aceite dos cookies; b) quando havia tais opções era apenas se o usuário aceitava os cookies ou
não, não informando detalhes ou opções de espécies de cookies que o mesmo poderia aceitar
ou não, gerando uma lógica binária e pouco informativa, já que apenas o termo cookie não
explica, que está sendo de fato coletados dados ao aceitá-lo; c) e, quando informava em mais
detalhes, fornecendo mais de duas opções(sim e não), ocorriam diversos percalços que
dificultavam o pleno consentimento do usuário, sendo estes, muitas vezes, com a opção de
aceite dos cookies pré marcado, ou alguma dificuldade perante o design, por exemplo, a opção
de não aceite se apresentar da mesma cor que o fundo, enquanto a do aceite ser de uma cor
diferente53.

Por fim, o terceiro e último teste teve como objeto o uso da linguagem dos avisos, onde
entrevistou-se diversos usuários, perguntando-os sobre a acessibilidade dos termos nas
plataformas, notando-se assim a grande dificuldade de tornar a linguagem do aviso acessível,
onde o usuário consiga compreender plenamente o que está acontecendo com os seus dados
pessoais, já que alguns entrevistados afirmaram que não compreendiam a aplicação das suas

52
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, 2019. pág. 15.
53
Christine Utz, Martin Degeling, Sascha Fahl, Florian Schaub, and Thorsten Holz. 2019. (Un)informed Consent:
Studying GDPR Consent Notices in the Field. In 2019 ACM SIGSAC Conference on Computer and
Communications Security (CCS ’19), November 11–15, 2019, London, United Kingdom. ACM, New York, NY,
USA, 18 pages. https://doi.org/10.1145/3319535.3354212. Tradução nossa. Op cit: “Typical techniques include
color highlighting of the button to accept privacy-unfriendly defaults, hiding advanced settings behind hard to see
links, and pre-selecting checkboxes that activate data collection.”

24
escolhas, onde, acreditava-se inclusive, que a recusa dos cookies impediria o acesso deles ao
site54.

Deste modo, dentre as perguntas levantadas pela pesquisa, constatou-se que, na


primeira, conclui-se que sim a localidade do termo influencia diretamente na interação ou a não
interação do usuário, já na segunda pergunta, percebe-se que o número de escolhas de opções
ou a pré-seleção de um aceite influenciam muito a decisão do usuário de aceitar ou não, pois
deve haver um equilíbrio entre não sobrecarregá-lo55, ou não fornecer as opções que tragam
transparência e liberdade de escolha do usuário, já que uma grande maioria dos usuários
concorda que possuem preferência por uma maior transparência das plataformas perante a
coleta de dados. E, por fim, a terceira e última pergunta, conclui-se que a linguagem técnica
influencia igualmente no aceite ou não do usuário, já que o mesmo não consegue compreender
de forma plena o que de fato está consentindo ou não.

Logo, percebe-se que além do direito avançar perante o consentimento e a diminuição


da assimetria perante usuário e provedor, é igualmente de suma importância observar o
ambiente fático do exercício do consentimento perante a coleta de dados. Pois, como conclui a
pesquisa supracitada, a arquitetura do site influencia na tomada de decisão do usuário, sendo
assim, necessário uma forma que o design das plataformas apresente melhores maneiras de
interação para um pleno consentimento, porém sem sobrecarregar o usuário com informações
que dificultem a sua utilização da plataforma.56

IV. CONCLUSÃO

54
Idem. Tradução nossa. Op cit: “Survey feedback indicates that users favor category-based choices over a
vendor-based approach, and they expressed a desire for a transparent mechanism. A common motivation to give
consent is the assumption that the website cannot be accessed otherwise.”
55
Ibidem. Tradução nossa. Op Cit: “Overall, consent notices have become ubiquitous but most provide too few
or too many options, leaving people with the impression that their choices are not meaningful and fueling the
habit to click any interaction element that causes the notice to go away instead of actively engaging with it and
making an informed choice.”
56
Ibidem. Tradução nossa. Op cit: “we are positive that there are design decisions that better motivate people to
interact with consent notices in a meaningful way instead of annoying them.”

25
Neste artigo, procurou-se elucidar a vulnerabilidade do usuário perante o Mercado
informacional, e em como o seu consentimento na utilização dos cookies de navegação
possuem um problema intrínseco, dada a grande assimetria apresentada entre os sujeitos.

Assim, apesar do conceito da hipossuficiência de uma das partes envolvidas não ser
novidade no direito brasileiro, pois tal conceito é presente, por exemplo, na legislação
consumerista e trabalhista. Dentro da proteção de dados, surge uma nova forma dessa
assimetria, assim explica Danilo Doneda:

“A abundância da informação passível de ser obtida sobre o


consumidor pode caracterizar uma nova vulnerabilidade do consumidor em
relação àqueles que detêm a informação pessoal. O acesso do fornecedor a
estas informações é capaz de desequilibrar a relação de consumo em várias
de suas fases, ao consolidar uma nova modalidade de assimetria
informacional. Esta nova assimetria informacional não se revela somente no
poder a que o fornecedor pode ascender em relação ao consumidor ao tratar
suas informações pessoais, porém também em uma nova modalidade de
modelo de negócio na qual a própria informação pessoal se objetiva como
commodity, como um ativo que pode chegar a ser o eixo de um determinado
modelo de negócios.57”

Isto posto, percebe-se que a assimetria informacional, além de exercer um poder ao


agente que recolhe os dados utilizando-se de ferramentas como os cookies, envolve uma nova
modalidade de negócio onde, os dados pessoais são usados como moeda de troca pelo bem de
consumo, porém, não é possível mensurar os custos materiais de tais transações econômicas,
ou seja, a pessoa natural detentora dos dados pessoais, não possui conhecimento do valor que
seus dados pessoais possuem, já que torna-se incerto o alcance do fluxo dos seus dados e o que
é possível extrair deles.58

57
DONEDA, Danilo, A proteção de dados pessoais nas relações de consumo: para além da informação
creditaria/ Escola Nacional de Defesa do Consumidor. Brasília: SDE/DPDC, 2010. Pág.9-10.
58
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, 2019. pág. 157.

26
Logo, como anteriormente explicado por Doneda, surge neste tocante uma nova forma
de vulnerabilidade, tornando assim questionável o consentimento do usuário, já que há um
grande abismo entre o conhecimento do usuário e a plataforma. Justamente por conta disso, a
LGPD apresenta no seu princípio da transparência já anteriormente apresentado que é
necessário garantir ao titular de dados informações claras e precisas. Nestes termos afirma
Bione que:

“(...) a informação não é apenas aproximação, mas,


mediante tal perspectiva, ela possibilita ao leigo uma autoproteção.
Assim, sob o ponto de vista substancial (qualitativo), a informação
deve somar, deve acrescer, deve preencher o vazio da assimetria
informacional, equalizando-a.59”

Por fim, é fundamental para um exercício pleno do consentimento a transparência das


plataformas em como são tratados os dados, pois, como apresentado na própria LGPD, tem-se
por nulo o consentimento que não foi abarcado pela transparência.

V. REFERÊNCIAS BIBLIOGRAFICAS

ALBRECHT, J. How the GDPR Will Change the World. European Data Protection
Law Review. Volume 2, Issue 3 (2016) pp. 287 – 289. Disponível em <
https://edpl.lexxion.eu/article/edpl/2016/3/4> Acesso dia 1 de maio 2021.
AYENSON, Mika D; WAMBACH, Dietrich James; SOLTANI, Ashkam; GOOD,
Nathan; HOOFNAGLE, Chris Jay. Behavioral advertising: the offer you can't refuse. Harvard
Law & Policy Review, n 6, v 273, pag. 276. Disponível em:
<https://lawcat.berkeley.edu/record/1125236?ln=en>. Acesso dia 1 de maio de 2021.
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do
consentimento, editora forense 2º edição, 2019.

59
BIONE, Bruno Ricardo, proteção de dados pessoais a função e os limites do consentimento, editora forense 2º
edição, 2019. pág. 181

27
BLUM, Renato Opice, LÓPEZ, Nuria, Lei Geral de Proteção de Dados no setor
público: transparência e fortalecimento do Estado Democrático de Direito, Cadernos Jurídicos,
São Paulo, ano 21, nº 53, p. 171-177, Janeiro-Março/2020.

BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de


Proteção de Dados Pessoais. Brasília, DF: Presidência da República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.

CASTELLUCCIA, Claude. Behavioural Tracking on the Internet: A Technical


Perspective. Em: GUTWIRTH, S. LEENES, R. DE HERT, P. POULLET, Y. (eds). European
Data Protection: In Good Health? Dordrecht: Springer, 2012 p. 23-4. DOI:
<https://link.springer.com/chapter/10.1007/978-94-007-2903-2_2#citeas> Acessado dia 04 de
abril de 2021.
DONEDA, Danilo, A proteção de dados pessoais nas relações de consumo: para além
da informação creditaria/ Escola Nacional de Defesa do Consumidor. Brasília: SDE/DPDC,
2010. Pág.9-10.

DUHIGG, Charles, How companies learn your secrets. New York Times. Disponível
em <https://www.nytimes.com/2012/02/19/magazine/shopping-habits.html>. Acesso dia 1 de
maio de 2021.
FORNASIER, MATEUS DE OLIVEIRA. The applicability of the Internet of Things
(IoT) between fundamental rights to health and to privacy. Rev. Investig. Const., Curitiba, v.
6, n. 2, p. 297-321, Aug. 2019. Dispónivel pelo link<
http://www.scielo.br/scielo.php?script=sci_arttext&pid=S2359-
56392019000200297&lng=en&nrm=iso>

FRAZÃO, Ana, TEPEDINO, Gustavo, OLIVA, Milena Donato, Lei Geral de


Proteção de Dados Pessoais e suas repercussões no Direito brasileiro, 1ª Edição, 2019.

GIANNOTTI, Luca d’Arce, A responsabilidade civil dos agentes de tratamento de


dados e o fato de serviço consumerista, Faculdade de Direito da Universidade de São Paulo,
2019. Disponível no link <

28
https://www.levysalomao.com.br/files/fckeditor/file/Monografia%202%20colocado.pdf>
acessado dia 5 de maio de 20021.

Google Chrome Blog, Disponível em <https://blog.chromium.org/2020/01/building-


more-private-web-path-towards.html>. Acesso dia 1 de maio de 2021.

IEEEStandardsAssociation<https://iot.ieee.org/images/files/pdf/iot_ecosystem_exec
_summary.pdf> acessado dia 3 de abril de 2021.

KHOLOD, Yaroslav, The end of third-party cookies: How it will affect advertisers and
publishers, artigo acessado no site <https://marketingtechnews.net/news/2021/apr/20/the-end-
of-third-party-cookies-how-it-will-affect-advertisers-and-publishers/> no dia 1 de maio de
2021.
MAYER-SCHONEBERGER, Viktor, CUKIER, Kennet. Big Data: A Revolution
will transform how we live, work and think. New York: Houghton Mifflin Publishing, 2013.

NEW RELIC, Page load timing process, Link


https://docs.newrelic.com/docs/browser/new-relic-browser/page-load-timing-resources/page-
load-timing-process/ Acessado dia 12 de maio de 2021.

NEW RELIC, Relic Solution: What is bam.nr-data.net? New Relic Browser monitoring.
Link < https://discuss.newrelic.com/t/relic-solution-what-is-bam-nr-data-net-new-relic-
browser-monitoring/42055> Acessado dia 12 de maio de 2021.

OLIVEIRA, J. V; SILVA, L. A. “É de Comer?” Cookies de Navegador e os Desafios


à Privacidade na Rede. R. Tecnol. Soc., Curitiba, v. 15, n. 37, p. 297-310, jul./set. 2019.
Disponível em:<https://periodicos.utfpr.edu.br/rts/article/view/8419 >. Acesso em: 1 de maio
de 2021.

OLIVEIRA, Jordan Vinícius de; SILVA, Lorena Abbas da. Cookies de navegador e
história da internet: desafios à lei brasileira de proteção de dados pessoais. Revista de Estudos
Jurídicos UNESP, Franca, ano 22, n. 36, p.307, jul/dez. 2018. Disponível em:

29
<https://ojs.franca.unesp.br/index.php/estudosjuridicosunesp/issue/archive>. Acesso dia 4 de
abril 2021.

RODOTÁ, Stefano. Persona, riservatezza, identità. Rivista Crtica del diritto Privato,
ano XV, n.4. P. 583-609, dic. 1997.
SOUZA, Dayane Caroline, AMARAL, Flávia, Cookies e publicidade comportamental
estão na mira da proteção de dados, Revista Consultor Jurídico, 22 de fevereiro de 2020, 6h02.
Link>https://www.conjur.com.br/2020-fev-22/opiniao-cookies-publicidade-mira-protecao-
dados< Acessado dia 05 de abril.
UTZ, Christine; DEGELING Martin; FAHL Sascha; SCHAUB Florian; HOLTZ
Thorsten. 2019. (Un)informed Consent: Studying GDPR Consent Notices in the Field. In 2019
ACM SIGSAC Conference on Computer and Communications Security (CCS ’19), November
11–15, 2019, London, United Kingdom. ACM, New York, NY, USA, 18 pages.
https://doi.org/10.1145/3319535.3354212.

30

Você também pode gostar