Artigos

Projetos de adequação a LGPD no e-Commerce e a questão dos cookies 

Como as lojas virtuais podem se adequar à Lei Geral de Proteção de Dados


Ao entrar em vigor em agosto de 2020, a LGPD - Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2017) impedirá que dados pessoais sejam coletados ou utilizados indiscriminadamente, sendo necessário que as empresas passem a obter consentimento  específico junto aos seus usuários ou enquadrar o tratamento de dados em outra base legal. 
 
Vale lembrar que, nos termos da legislação, dados pessoais são não apenas as informações relacionadas a pessoa natural que permitem a sua identificação, como nome, RG, CPF, e-mail, etc., mas também quaisquer informações que possibilitem a identificação do indivíduo de forma não imediata ou indiretamente, atraindo desta forma, a aplicação da LGPD.  
 
A nova legislação também trouxe o conceito de dado anônimo, que é a informação que não permite a identificação do indivíduo, considerando a utilização de meios técnicos disponíveis e razoáveis na ocasião do tratamento destes dados. 
 
Os dados pessoais, anônimos ou não, são bastante importantes para o e-commerce, pois permitem o oferecimento de oportunidades aos clientes ou potenciais clientes.  
 
Feita a distinção entre dados pessoais e dados anônimos, é já possível perceber que a nova lei impactará como o e-commerce fará a gestão dos dados recolhidos diretamente no cadastro ou por meio dos cookies. 
 
Em princípio, os cookies, por si só, não podem identificar uma pessoa física, haja vista que os mesmos, no mais das vezes, gravam informações do acesso efetuado pelo indivíduo, ou seja, informações sobre a página acessada, item clicado, ferramentas de monitoração ou algumas preferências identificadas no site. 
 
Estas informações, mesmo quando atreladas ao IP (ou Internet Protocol), não permitem identificar o indivíduo, mas apenas aquele equipamento que acessou determinado site. 
 
Assim, temos que o uso de cookies, inicialmente, não caracteriza uma violação à LGPD, desde que o consumidor seja informado (art. 7º da Lei nº 12.965/2014 - Marco Civil da Internet) e não se utilize um web beacon malicioso. 
 
Portanto, não é necessário o consentimento, tal como previsto pela LGPD, para cookies voltado para armazenamento técnico ou o acesso, como cookies de entrada do usuário, de autenticação durante uma sessão, cookies de segurança, especialmente para detectar abusos de autenticação e vinculados à funcionalidade explicitamente solicitada pelo usuário, por uma duração limitada, assim como cookies de players de conteúdo multimídia (flash player). 
 
Todavia, pode se tornar um problema de privacidade após o início da vigência da lei, quando o consumidor efetua o cadastramento e os posteriores logons no site de compras. 
 
Com efeito, a partir do momento em que o logon é efetuado pelo usuário, os sistemas dos sites do e-commerce podem cruzar as informações do cadastro do consumidor e os cookies que foram instalados no equipamento, possibilitando a posterior identificação do indivíduo em seus novos acessos, ainda que este não esteja logado. 
 
O que temos verificado nos processos de assessment realizados nas empresas de e-commerce, é que muitas ainda não se atentaram para este momento, onde se deixa de enquadrar a questão apenas pelo Marco Civil da Internet, que  exigia apenas a mera comunicação, pois a possibilidade de identificação do indivíduo através dos cookies passa a atrair a aplicação da LGPD.  
 
Torna-se importante que o e-commerce preveja a situação em sua política de privacidade, especialmente informando ao consumidor, de forma bastante clara, a finalidade e a necessidade da guarda dos dados pessoais, além do próprio ciclo de vida desta informação no ambiente da corporação. 
 
A política de privacidade deve prever e colocar em prática a possibilidade do usuário ser minimamente informado acerca da existência de cookies e ter a oportunidade de recusá-los antes do acesso ao site do e-commerce. 
 
Na Europa, onde a aplicação da e-Privacy Directive e da própria GDPR1 está mais adiantada que no Brasil, recomenda-se ao site adotar uma página de aviso específica ao utilizar cookies não essenciais, não se limitando simplesmente em vincular à página geral de aviso de cookie, listando todos os cookies próprio e de terceiros com informações sobre sua finalidade, tipo de dados coletados , armazenados ou transmitidos por cookies, período de retenção de dados e sua base legal, além de fornecer esclarecimentos quanto aos meios para o gerenciamento de consentimento nos principais browser do mercado2. 
 
Assim, a LGPD força o e-commerce a adotar uma política de gestão de cookies e exigir o consentimento inequívoco do consumidor quanto à sua utilização. 
 
E, na medida em que, até o momento da elaboração deste texto, a Agência Nacional de Proteção de Dados não iniciou a regulamentação da LGPDP, podemos nos valer da legislação europeia sobre cookies, que estabelece alguns itens interessantes sobre como proceder, para garantir a privacidade dos dados dos consumidores do e-commerce. 
 
A solução europeia para o consentimento do cookie é um kit baseado em JavaScript que, adicione automaticamente um banner de cabeçalho à página, que desaparecerá quando o usuário aceitar ou recusar os cookies usados no site. 
 
O referido banner deve ter um a) um assistente para declarar seus cookies e o link para sua página de aviso de cookies; b) uma API JavaScript que ajudem a impedir o armazenamento prévio de cookies; c) um cookie de consentimento para lembrar a escolha do usuário em websites e; d) um template para a página de aviso de cookie. 
 
Assentadas estas premissas, o e-commerce deverá, ainda, manter um gerenciador de cookies com todos os registros de autorização/desautorização de cookies, bem como registrar os ciclos de vida dos dados gerados e quais tratamentos foram adotados. 
 
Como colocado no início deste informativo, a LGPD (Lei nº 13.709/2017) entra em pleno vigor em agosto de 2020 e, um ano, é um período relativamente curto para adequação, e o setor do comércio digital não poderá fugir desta responsabilidade. 
 

 

Autores

Márcio Cots
Sócio do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Advogado Brasileiro, Europeu (PT) e membro do escritório norte-americano CyberLawStudio PLLC, com sede em Nova Iorque. Consultor estrangeiro (fora da Europa) do escritório espanhol LetsLaw. Consultor convidado pelo Senado para debater pontos técnicos da Lei Geral de Proteção de Dados Pessoais e autor do livro Lei Geral de Proteção de Dados Pessoais Comentada - Editora Revista dos Tribunais, 2018. Professor universitário de Direito no meio Digital em MBAs e palestrante internacional. Mestre em Direito pela FADISP, especialista em CyberLaw pela HARVARD LAW SCHOOL - EUA, com extensão universitária em Direito da Tecnologia da Informação, pela FGV-EPGE. Membro do Harvard Faculty Club. Consultor jurídico da Associação Brasileira de Comércio Eletrônico (ABCOMM) e Diretor Jurídico da Associação Brasileira de Internet das Coisas (ABINC).
Autor de diversos artigos sobre o tema Direito no meio Digital e coautor de livro sobre o Marco Civil Regulatório da Internet - Editora Atlas, 2014. Foi assessor jurídico de órgãos de representação na discussão do Marco Civil regulatório da Internet no Brasil. É consultor jurídico do SEBRAE Nacional, para propositura de políticas públicas relacionadas ao comércio eletrônico e inovação (startups), tendo assessorado empresas do Brasil, EUA, França, Chipre e Angola.

 

Dr. Ricardo Azevedo
Advogado associado do COTS Advogados, o Dr. Ricardo é Gerente Jurídico e Consultor Legal de diversas empresas do setor de Tecnologia da Informação. Especialista em Direito Tributário pela GVLAW/EDESP e Pós-Especialização em Tributação dos Negócios de Tecnologia e Propriedade Intelectual pela GVLAW/EDESP. Professor de Planejamento Tributário do Curso de Gestão Estratégicas de Negócios pela Faculdade de informática e Administração Paulista - FIAP. Mais de 20 anos de experiência com atuação nas esferas Consultiva e Contenciosa em Direito Tributário, Trabalhista, Contratos e questões relacionadas a Inovação e Tecnologia. Experiência em projetos de relevância para empresas envolvendo, planejamento tributário, redução de contingências fiscais e trabalhistas, implantação de novos negócios e reestruturações societárias.


Márcio Cots Advogado e autor do livro Lei Geral de Proteção de Dados Pessoais Comentada Sócio do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Advogado Brasileiro, Europeu (PT) e membro do escritório norte-americano CyberLawStudio PLLC, com sede em Nova Iorque. Consultor estrangeiro (fora da Europa) do escritório espanhol LetsLaw. Consultor convidado pelo Senado para debater pontos técnicos da Lei Geral de Proteção de Dados Pessoais e autor do livro Lei Geral de Proteção de Dados Pessoais Comentada - Editora Revista dos Tribunais, 2018.

SEE ALSO ...