Ao entrar em vigor em agosto de 2020, a LGPD – Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) – impedirá que dados pessoais sejam coletados ou utilizados indiscriminadamente, sendo necessário que as empresas passem a obter consentimento específico junto aos seus usuários ou a enquadrar o tratamento de dados em outra base legal.
Vale lembrar que, nos termos da legislação, dados pessoais são não apenas as informações relacionadas à pessoa natural que permitem a sua identificação. Entram nesse rol quaisquer informações que possibilitem a identificação do indivíduo de forma não-imediata ou indiretamente, atraindo, dessa forma, a aplicação da LGPD.
A nova legislação também trouxe o conceito de dado anônimo, que é a informação que não permite a identificação do indivíduo, considerando a utilização de meios técnicos disponíveis e razoáveis na ocasião do tratamento desses dados.
Os dados pessoais, anônimos ou não, são bastante importantes para o e-commerce, pois permitem oferecer oportunidades para clientes ou potenciais consumidores.
Feita a distinção entre dados pessoais e dados anônimos, é já possível perceber que a nova lei impactará como o e-commerce fará a gestão dos dados recolhidos diretamente no cadastro ou por meio dos cookies.
Em princípio, os cookies, por si só, não podem identificar uma pessoa física, no mais das vezes, gravam informações do acesso efetuado pelo indivíduo. Portanto, informações sobre a página acessada, item clicado, ferramentas de monitoração ou algumas preferências identificadas no site. Essas informações, mesmo quando atreladas ao IP (ou Internet Protocol), não permitem identificar o indivíduo, mas apenas aquele equipamento que acessou determinado site.
Assim, temos que o uso de cookies, inicialmente, não caracteriza uma violação à LGPD, desde que o consumidor seja informado (art. 7º da Lei nº 12.965/2014 – Marco Civil da Internet) e não se utilize um web beacon malicioso.
Portanto, não é necessário o consentimento, tal como previsto pela LGPD, voltado para cookies de armazenamento técnico como cookies de entrada do usuário. Especialmente para detectar abusos de autenticação e vinculados à funcionalidade explicitamente solicitada pelo usuário.
Todavia, pode se tornar um problema de privacidade após o início da vigência da lei, quando o consumidor efetua o cadastro e os posteriores logons no site de compras.
Com efeito, a partir do momento em que o logon é efetuado pelo usuário, os sistemas dos sites do e-commerce podem cruzar as informações do cadastro do consumidor. Os cookies que foram instalados no equipamento, possibilitando a posterior identificação do indivíduo em seus novos acessos, ainda que este não esteja logado.
Torna-se importante que o e-commerce preveja a situação em sua política de privacidade, especialmente informando ao consumidor, de forma bastante clara, a finalidade e a necessidade da guarda dos dados pessoais, além do próprio ciclo de vida dessa informação no ambiente da corporação.
A política de privacidade deve prever e colocar em prática a possibilidade de o usuário ser minimamente informado acerca da existência de cookies.
Na Europa, onde a aplicação da e-Privacy Directive e da própria GDPR (equivalentes aos nossos Marco Civil da Internet e Lei Geral de Proteção de Dados Pessoais, respectivamente) está mais adiantada que no Brasil, recomenda-se ao site adotar uma página de aviso específica ao utilizar cookies não essenciais, não se limitando simplesmente em veicular apenas uma página geral de aviso de cookie. Deve-se listar todos os cookies próprios e de terceiros com informações sobre sua finalidade, tipo de dados coletados, armazenados ou transmitidos por cookies. Alem disso deve fornecer esclarecimentos quanto aos meios para o gerenciamento de consentimento nos principais browsers do mercado.
Assim, a LGPD força o e-commerce a adotar uma política de gestão de cookies e exigir o consentimento inequívoco do consumidor quanto à sua utilização.
E, na medida em que, até o momento da elaboração deste texto, a Agência Nacional de Proteção de Dados não iniciou a regulamentação da LGPD, podemos nos valer da legislação europeia sobre cookies, que estabelece alguns itens interessantes sobre como proceder para garantir a privacidade dos dados dos consumidores do e-commerce.
A solução europeia para o consentimento do cookie é um kit baseado em JavaScript que adiciona automaticamente um banner de cabeçalho à página, que desaparecerá quando o usuário aceitar ou recusar os cookies usados no site.
Assentadas essas premissas, o e-commerce deverá, ainda, manter um gerenciador de cookies com todos os registros de autorização ou desautorização de cookies. Como registrar os ciclos de vida dos dados gerados e quais tratamentos foram adotados.
Como colocado no início deste artigo, a LGPD (Lei nº 13.709/2017) entra em pleno vigor em agosto de 2020. Um ano é um período relativamente curto para adequação, e o setor do comércio digital não poderá fugir dessa responsabilidade.