Baixe o app para aproveitar ainda mais
Prévia do material em texto
FUNDAÇÃO PEDRO LEOPOLDO CURSO DE DIREITO PAULO ROBERTO BRASIL JOVIANO A RELAÇÃO DO USO DE COOKIES DE RASTREAMENTO COM A LGPD Pedro Leopoldo 2022 FUNDAÇÃO PEDRO LEOPOLDO CURSO DE DIREITO PAULO ROBERTO BRASIL JOVIANO A RELAÇÃO DO USO DE COOKIES DE RASTREAMENTO COM A LGPD Trabalho de Conclusão de Curso apresentado na Faculdade de Direito da Fundação Dr. Pedro Leopoldo como requisito básico para a conclusão do Curso de Direito Orientador: Prof. Ms. Alexandre de Andrade Gomes Pedro Leopoldo 2022 PAULO ROBERTO BRASIL JOVIANO A RELAÇÃO DO USO DE COOKIES DE RASTREAMENTO COM A LGPD Trabalho Final de Conclusão de Curso aprovado em ___/___/_____ BANCA EXAMINADORA ____________________________________________ Orientador: Prof. Ms. Alexandre de Andrade Gomes FPL ____________________________________________ ____________________________________________ RESUMO O direito fundamental de proteção aos dados pessoais é colocado em norma no Brasil, devido à sanção da Lei Geral de Proteção de Dados no 13.709/2018 (LGPD). Tendo em vista o panorama atual da nossa sociedade, a LGPD trás expectativas para a defesa dos direitos dos indivíduos, mas será que estes indivíduos estão totalmente protegidos e amparados pela nova lei em relação a segurança de seus dados pessoais ? Nesse sentido, o presente trabalho busca trazer uma análise sobre a segurança dos dados pessoais dos usuários da internet e analisar a relação dos cookies de rastreamento com a LGPD. Palavras-chave: Lei geral de proteção de dados, cookies de rastreamento, privacidade. ABSTRACT The fundamental right to protection of personal data is established as a norm in Brazil, due to the enactment of the General Data Protection Law No. 13,709/2018 (LGPD). In view of the current scenario of our society, the LGPD brings expectations for the defense of the rights of individuals, but are these individuals fully protected and supported by the new law in relation to the security of their personal data? In this sense, the present work seeks to bring an analysis on the security of the personal data of internet users and to analyze the relationship of tracking cookies with the LGPD. Keywords: General data protection law, tracking cookies, privacy. LISTA DE ABREVIATURAS E SIGLAS LGPD Lei Geral de Proteção de Dados ANPD Autoridade Nacional de Proteção de Dados CDC Código de Defesa do Consumidor CF Constituição Federal SUMÁRIO 1. INTRODUÇÃO ........................................................................................................ 7 2. COOKIES DE RASTREAMENTO ........................................................................... 9 3. PROTEÇÃO DE DADOS PESSOAIS NO ORDENAMENTO JURÍDICO ............. 11 4. RELAÇÃO ENTRE A LGPD E OS COOKIES DE RASTREAMENTO ................. 15 4.1. Ausência de finalidade específica ................................................................... 16 4.2. Vício de consentimento ................................................................................... 16 4.3. Direitos dos titulares ....................................................................................... 18 5. CONCLUSÃO ....................................................................................................... 24 REFERÊNCIAS ......................................................................................................... 26 7 1. INTRODUÇÃO Nos dias atuais há novas noções de negócios na internet. Um grande número de pessoas físicas e jurídicas estão migrando para o mundo virtual, consequência dos avanços tecnológicos e pela globalização. As empresas disponibilizaram seus serviços online, bem como produtos que possuem interação com a internet de maneira muito mais frequente. Com tudo isso, há grande facilidade de troca de informações e dados a qualquer momento, e estes mecanismos se tornaram indispensáveis para o bom funcionamento da sociedade. Diante disso, toda a informação se tornou algo mais acessível. Até o final do século XX, a divulgação pública de informações nunca esteve ao alcance do cidadão comum. Por exigir grandes recursos financeiros (necessários para o acesso à tecnologias de reprodução e difusão, como parques gráficos e emissoras de rádio ou televisão), essa possibilidade estava restrita a uma elite, que detinha o controle dos veículos de massa. Além disso, por serem provenientes de poucas fontes, essas informações podiam ser facilmente controladas. (MONTEIRO, 2021, p.7). Os usuários quando acessam a rede de internet e visitam determinados sites, preenchem formulários de cadastros, informando dados de caráter pessoal, que várias vezes são informações sensíveis a respeito do usuário. Todo cadastro que é feito, é preciso que o usuário tenha o conhecimento e concorde com os Termos e Condições de Uso da empresa, onde é mostrado como deve ser feito o uso do serviço, aplicativo ou produto e também como a empresa utilizará das informações que foram concedidas pelo usuário ao se cadastrar. Os termos e as condições de uso são elaborados, de forma que a preencha de forma rápida e muita vezes, não leia, devido a diversos fatores (estar escondido, ser pequeno, estar camuflado, ser de difícil leitura, ou não estar em evidência). A partir disso, o usuário fica sujeito ao que concordou, mas sem saber com precisão ou segurança de como os dados fornecidos vão ser utilizados utilizados pela empresa, mais especificadamente no compartilhamento e no potencial uso desses dados pessoais por terceiros. 8 Alem disso, as empresas conseguem cada vez mais clientes e informações de vários usuários, gerando um enorme banco de dados, com todos os dados pessoais. Caso não estejam protegidos, podem ser objeto de ataques ou exposições. Várias informações pessoais ficam disposição dos sites. Tais dados possuem um alto valor de mercado ma sociedade atual. Neste contexto, observa a necessidade de garantir meios para que as informações coletadas sejam armazenadas de forma correta, e que a pessoa tenha controle e segurança dos seus dados pessoais. A Lei nº 13.709, de 14 de agosto de 2018 Lei Geral de Proteção de Dados, vem para realizar a regulamentação e proteção dos dados pessoais dos indivíduos. Outras leis iniciaram o conceito dessa proteção, como exemplo o Código de Defesa do Consumidor ao proteger os dados do titular frente a banco de dados e o habeas data, como é observado na orientação de Danilo Doneda a respeito: A proteção de dados pessoais no ordenamento brasileiro não se estrutura a partir de um complexo normativo unitário. A Constituição Brasileira contempla o problema da informação inicialmente por meio das garantias à liberdade de expressão e do direito à informação, que deverão eventualmente ser confrontados com a proteção da personalidade e, em especial, com o direito à privacidade. ( DONEDA, 2011 p. 103) Quando é utilizado cookies de rastreamento, a empresa tem acesso a dados e informações privilegiadas de pessoas. Em resumo oque se tem é a base da LGPD, que são os dados pessoais e, por conta disso, precisa se adequar e estar em conformidade com a lei. A LGPD conseguiria abranger toda a triagem dos cookies quanto a proteção dos dados pessoais dos usuários ? A partir deste cenário, surge um desafio para o direito brasileiro, que consistente na proteção efetiva dosdireitos de todos os usuários da internet, que são violados pelos sites que não oferecem segurança nas informações dos usuários, mesmo tendo como base a LGPD. Pretende-se, a partir disso, estabelecer a relação entre a LGPD e os cookies de rastreamento, demonstrando a vulnerabilidade dos usuários da internet e analisando quanto a eficácia da lei. 9 2. COOKIES DE RASTREAMENTO “Cookies” em sua tradução para a língua portuguesa são denominados como biscoitos mas, em sua tradução informal, são pedaços ou fragmentos de códigos que dão a um site uma espécie de memória. Os cookies foram criados para os sites se lembrarem de informações, como itens de um carrinho de compras em uma loja online, ou para registrar a atividade de navegação do usuário, como histórico ou cadastro. Podem ser usados para lembrar as informações que o usuário já inseriu antes, como nomes, endereços, senhas e números de cartão de credito, mas também tem como principal objetivo mapear um perfil sobre os interesses do usuário e oferecer essas informações a outros sites. Quais são os tipos de cookies de rastreamento: a) Session Cookie Esse cookie funciona enquanto usuário está navegando no site. Quando sair, suas informações são deletadas. b) Persistent ou Permanent Cookie São os cookies que gravam os dados mesmo o usuário saindo do site. Ele somente ira expirar quando desenvolvedor achar necessário. Mas, esses dados eles podem ser apagados pelo visitante a qualquer momento nas configurações do navegador. c) Third-Party Cookies São acessados por terceiros, como no exemplo das redes de anúncio. d) Supercookie É um Cookie de rastreamento que permite acompanhar todos os movimentos do usuário, mas diferentemente dos outros cookies, não podem ser bloqueados ou excluídos. e) Zombie Cookie É um tipo de Cookie que volta mesmo após ser excluído, sendo conhecido também como Evercookie. Basicamente os cookies de rastreamento são arquivos criados pelos sites que você visita, que economizam informações e dados de navegação. Com o 10 uso dos cookie, os sites mantem seu login, além de lembrar todas as suas preferências. Muitos sites precisam de cookie para funcionar corretamente, sendo necessário utilizar alguns tipos específicos de cookies, como o exemplo da Netflix, que a partir do seu perfil, recomenda categorias de filmes específicas A relação da LGPD com o cookie de rastreamento é primordial para que tenha legalidade. Caso a empresa coletar e utilizar dados pessoais via cookies sem o consentimento explícito do usuário, pode estar violando a LGPD, que pode resultar em sanções e multas. O consentimento é um ponto importante da lei e é um princípio fundamental para que um site esteja adequado à LGPD. 11 3. PROTEÇÃO DE DADOS PESSOAIS NO ORDENAMENTO JURÍDICO O Marco Civil da Internet é trazido com a Lei n. 12.965, de 23 de abril de 2014, contando ao todo com 32 artigos, sendo formação como base a opinião pública. O projeto de lei teve participação direta da sociedade por meio canais na internet como blogs e fóruns. O marco civil da internet foi sancionado em 2014, pela presidente Dilma Rousseff. Mas o projeto tem inicio em 2009 e tramitou desde 2011 entre as casas legislativas. Importante esclarecer que na internet, é de grande importância a aplicação dos princípios da razoabilidade e proporcionalidade. Dispõe também em consonância com o princípio constitucional da privacidade, art. 5, inciso XII. Em relação ao direito da privacidade, o Marco Civil da Internet surge da necessidade de proteger os dados pessoais que são usados de maneira indevida por terceiros, uma vez que o simples fato de um dado ser exibido publicamente no meio digital ou encaminhado para terceiros não garante a sua utilização ou exibição de forma não autorizada. É seguindo esse raciocínio que o art. 7, a Lei n. 12.965, de 23 de abril de 2014, traz a exigência de consentimento livre e expresso por parte do usuário, bem como dos direitos de inviolabilidade da intimidade e da vida privada. Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; (...) VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei. (BRASIL, Lei nº 12.965/14, 2022). Embora o Marco Civil da Internet prevê a segurança de dados apenas em ambiente online, a LGPD se direciona em normas mais específicas de aplicação e segurança, especificando os tipos de dados existentes e assegurando toda a movimentação de dado, inclusive offline. A lei geral de proteção de dados tem como objetivo garantir transparência no uso dos dados das pessoas físicas em quaisquer meios, além de adaptar e http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm 12 atualizar os institutos nacionais as regras internacionais de proteção desses direitos. A Lei no 13.709/2018 é um novo marco legal brasileiro de grande impacto, tanto para as instituições privadas como para as públicas, por tratar da proteção dos dados pessoais dos indivíduos em qualquer relação que envolva o tratamento de informações classificadas como dados pessoais, por qualquer meio, seja por pessoa natural, seja por pessoa jurídica. É uma regulamentação que traz princípios, direitos e obrigações relacionadas ao uso de um dos ativos mais valiosos da sociedade digital, que são as bases de dados relacionadas às pessoas (PINHEIRO, p. 15). Para melhor visualização, ficam elencados a seguir os principais objetivos da LGPD: a) Atualizar as normas internas para tornar o Brasil um país moldado a proteção de dados pessoais; b) Assegurar a livre iniciativa, livre concorrência e a defesa do consumidor no ambiente online e offline; c) certificar a segurança jurídica frente ao tema proteção de dados pessoais; d) Fomentar o desenvolvimento econômico e tecnológico da sociedade; e) Possibilitar regras claras para as empresas sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais; f) Regular a proteção de dados pessoais. A LGPD dispõe no seu art. 7º: Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular. (BRASIL, Lei nº 13.709/18, 2022). Se mostra muito importante, para toda a sociedade brasileira, que os sites cumpram a LGPD, para que tenham seus dados pessoais protegidos e seguros. Evitando o processamento indevido desses dados, por meio de instituições públicas e privadas, iniciou a regularização desta matéria no Brasil, nesse contexto que para Rafael Fernandes na sua obra “Manual Prático sobre à Lei Geral de Proteção de Dados” diz qual o papel da LGPD: A LGPD dispõe sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, INCLUSIVE POR MEIO DIGITAL (art. 1o) (FERNANDES, 2020, p. 17). De acordo com a legislação, a coleta e utilização dados pessoais via cookies sem o consentimento explícito, é uma violação a LGPD, o que pode https://getprivacy.com.br/entenda-as-bases-legais-da-lgpd/ 13 resultar em sanções e multas. O consentimento é um ponto importante da lei e é um princípio fundamental para que um site esteja em conformidade com a LGPD, neste caso, o usuário precisa estar atualizado sobre o assunto, em específico sobre o uso de cookies e dosdados pessoais. Na prática, a empresa precisa oferecer os meios para que o usuário do seu site tinha a opção por aceitar ou recusar diferentes tipos de cookies. O consentimento para o usuário deve ser demonstrado de maneira clara e objetiva, assim facilitando o entendimento, conforme os art. 8º e 9º da LGPD: Art. 8 (...) § 4º. O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. Art. 9 (...) § 1º. Na hipótese em que o consentimento é requerido, este será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. (BRASIL, Lei nº 13.709/18, 2022). O vício de consentimento ou o tratamento sem permissão são maneiras explícitas de descumprimento da lei. A Lei Geral de Proteção de Dados tem semelhanças com direitos e garantias do consumidor brasileiro, elencados na Constituição Federal de 1988 e com o Código de Defesa do Consumidor. Em seu artigo 2º, a lei menciona em 6 incisos quais são seus princípios e a abrangência e aplicação da disciplina de proteção de dados pessoais. Diz o texto da lei: Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. (BRASIL, Lei nº 13.709/18, 2022). Já no inciso primeiro e posteriores, observamos a relação da lei com o artigo 5º da Constituição Federal Brasileira, bem como o mesmo direito positivado no Código Civil brasileiro de 2002, no que se refere a“ respeito à 14 privacidade, a liberdade de expressão, de informação, de comunicação e opinião, a inviolabilidade da honra e imagem”, já no inciso sexto, podemos observar que a LGPD tem entre seus fundamentos também “a livre iniciativa, a livre concorrência e a defesa do consumidor”. Neste ponto, há uma grande relação com o Código de Defesa do Consumidor, podendo quem for competente agir na proteção e na defesa dos direitos do consumidor, utilizando além dos artigos do CDC, artigos também da LGPD. A Lei Geral de Proteção de Dados, através do Código de Defesa do Consumidor, como define a Lei 13.709 de 14 de Agosto de 2018, permite o uso de órgãos de proteção e defesa do consumidor para a solicitação e busca de informações acerca dos dados pessoais dos consumidores armazenados nos diversos bancos de dados das empresas, e também a correção ou modificação ou a sua exclusão definitiva. Desse modo as duas leis, trabalham em perfeita sintonia. Prever a responsabilização e a prestação de contas como princípio demonstra a intenção da Lei em alertar os controladores e os operadores de que são eles os responsáveis pelo fiel cumprimento de todas as exigências legais para garantir todos os objetivos, fundamentos e demais princípios nela estabelecidos. E não basta somente pretender cumprir a Lei, é necessário que as medidas adotadas para tal finalidade sejam comprovadamente eficazes. Ou seja, os agentes deverão, durante todo ciclo de vida de tratamento de dados sob sua responsabilidade, analisar a conformidade legal e implementar os procedimentos de proteção dos dados pessoais de acordo com a sua própria ponderação de riscos (MALDONADO e BLUM, 2019, p. 166-167). A fragilidade da LGPD em relação ao cookie de rastreamento é que ainda há dados de navegação armazenados via cookies que transferidos sem consentimento dos seus donos, o que é uma flagrante violação de privacidade, o que precisa de uma fiscalização mais severa. A ideia da LGPD é coibir esse tipo de prática no Brasil, estabelecendo limites e aplicando sanções para quem usar dados de terceiros de forma ilegal. 15 4. RELAÇÃO ENTRE A LGPD E OS COOKIES DE RASTREAMENTO Quando se utiliza o cookie, a empresa tem acesso a dados e informações privilegiadas de pessoas. Em outras palavras, tem acesso à matéria-prima da LGPD, que são os dados pessoais, e, por conta disso, precisa se adequar e estar em conformidade com a lei. Nesse sentido, cabe a observação de Patricia Peck Pinheiro: […] a informação passou a ser a principal moeda de troca utilizada pelos usuários para ter acesso a determinados bens, serviços ou conveniências [...]. (PINHEIRO, 2018, p. 30). Seguindo a legislação mais recente, se você coletar e utilizar dados pessoais via cookie sem o consentimento explícito do usuário, pode estar violando a LGPD, fato que pode resultar em sanções e multas. Para melhor evitar essa problemática, o usuário precisa estar de acordo e bem informado sobre o uso de cookies e dos seus dados pessoais. Na prática, a relação entre a LGPD e os cookies de rastreamento se dá nos meios para que o usuário da internet opte por aceitar ou recusar diferentes tipos de cookies. Os cookies podem gerar e armazenar diferentes tipos de informações, como as páginas que foram visitadas no site, o tempo gasto e até dados que foram preenchidos em um formulário. A partir disto, quando você navega em um site e preenche um formulário, por exemplo, com dados pessoais como o seu nome, e-mail e telefone, todos eles são armazenados em um cookie e, da próxima vez que você acessar o site, o sistema pode identificar que é você, salvando os seus passos e estudando o seu comportamento como usuário ou consumidor. Por meio de cookies é possível salvar os dados de login e senha de um site, a preferência por um determinado idioma, o histórico de navegação de páginas e os produtos que foram adicionados a um carrinho de compras, como explicado em um dos tópicos acima. Este cookie em específico é usado para análise de visualizações de páginas e de contagem de usuários no site. O mau uso dos dados coletados violam as normas da LGPD. Tendo como foco a LGPD, podemos observar os seguintes aspectos em sites quanto ao uso dos cookies de rastreamento. 16 4.1. Ausência de finalidade específica Quando o site solicitar o consentimento do usuário para armazenarem os cookies, o mesmo deve informar explicitamente e de forma clara qual a finalidade da coleta do determinado. O que diz a lei: Art. 8 (...) § 4º. O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. Art. 9 (...) § 1º. Na hipótese em que o consentimento é requerido, este será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. (BRASIL, Lei nº 13.709/18, 2022). 4.2. Vício de consentimento O vício de consentimento somente gera infração a lei quando o consentimento for indispensável O que diz a lei quanto a esse tipo de prática: “Art. 8º (...) § 3º. É vedado o tratamento de dados pessoais mediante vício de consentimento. (BRASIL, Lei nº 13.709/18, 2022)”. Exemplo disso é quando o pop-up mostrando as opções iniciais desmarcadas ou após o titular desmarcar as opções de consentimento dos cookies, as suas informações continuarem sendo gravadas e as informações ainda continuam sendo coletadas. Neste caso, a infração é o tratamento baseado em consentimento que continua sendo realizado mesmo depois do usuário negar o rastreamento de dados. O vício de consentimento e o tratamento sem permissão são exemplos de como se poderia facilmente coletar provas explícitas sobre o descumprimento da lei. Hácasos na lei que não há necessidade de consentimento para tratamento dos dados, são eles: 17 Art. 7º (…) § 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei. (BRASIL, Lei nº 13.709/18, 2022). Também elenca o Art. 7º que é fundamental solicitar o consentimento do titular, exceto nos casos de: Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996. VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. (BRASIL, Lei nº 13.709/19, 2022). Ou seja, há casos específicos em que a empresa ou instituição não obrigada a pedir o consentimento do indivíduo para coleta e tratamento de seus dados pessoais. Contudo, os dados coletados sem consentimento podem ser utilizados apenas para os fins específicos citados acima. Tratando de dados pessoais tornados manifestamente públicos pelos titulares, a exigência do consentimento deixa de ser obrigatório. Porém, nesses casos específicos, os direitos do titular que previstos na LGPD em relação a essas informações também permanecem. A lei fala especificamente sobre os dados sensíveis, que podem ser tratados sob consentimento dado “de forma específica e destacada, para finalidades específicas”. Os dados pessoais sensíveis são aqueles “religião, 18 etnia, opinião política, filosófico ou político, dados referentes a sexualidade, dados genéticos ou biométricos, quando vinculado a uma pessoa natural. Os dados sensíveis devem ser tratados somente com o consentimento do titular. Todavia, Art. 11, Inciso II determina os casos excepcionais em que o consentimento não é obrigatório, são eles: Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. (BRASIL, Lei nº 13.709/19, 2022). 4.3. Direitos dos titulares A LGPD prevê nove direitos dos titulares que a empresa controladora dos dados deve atender a qualquer momento. Mas em relação aos cookies destacamos os seguintes: Art. 18 (...) VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; Art. 19 (...) § 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento. (BRASIL, Lei nº 13.709/19, 2022). 19 Dessa forma, a empresa que pediu o consentimento deve garantir que os dados serão salvos em um formato que permita gerar essa cópia para o titular ou posteriormente a eliminação desses dados. Além dos dados gerados pelos próprios cookies, as empresas que armazenam estes dados precisam garantir aos terceiros que irão utilizar os dados que o titular autoriza a sua divulgação ou tem o consentimento desta ação. Lembrando que a responsabilidade pelos dados dos terceiros e entregá-los ao titular é da empresa controladora. Se a empresa responsável não atender aos pedidos, está cometendo uma infração. A partir da análise deste ponto, é valido utilizar o conceito de BIONI (2018): (...) publicidade direcionada é uma prática que procura personalizar, ainda que parcialmente, tal comunicação social, correlacionando-a a um determinado fator que incrementa a possibilidade de êxito da indução ao consumo. (BIONI, 2018, p.15). O usuário da internet que têm seus dados vazados são extremamente vulneráveis, pensando no fato de que todos as suas informações privadas podem ser expostas de maneira criminosa, como mencionado por Sean Gallader em seu artigo a Sophos, que é uma desenvolvedora, fornecedora de software e hardware de segurança: No ano passado, vimos os ataques se voltarem cada vez mais para o roubo de cookies, por conta da crescente adoção da MFA. Os invasores estão recorrendo a versões novas e aperfeiçoadas de roubo de dados, como o ‘Raccoon Stealer ’para simplificar o processo de obtenção de cookies de autenticação – também conhecidos como tokens de acesso ( Sean Gallader, 2022 ) TRADUZIDO Em um vazamento de dados podem ser expostas as informações pessoais, que podem incluir, como exemplo, números de previdência social, números de cartão de crédito e quaisquer outros dados pessoais que possam resultar em roubo de identidade, como explica Gallader: Embora historicamente tenhamos visto roubos de cookies em massa, os invasores estão adotando uma abordagem precisa e direcionada para essa finalidade. Como grande parte do ambiente de trabalho hoje em online, realmente não há fim para as possibilidades de atividades maliciosas que cibercriminosos podem realizar com cookies de sessão roubados. Eles podem adulterar a infraestrutura da nuvem, comprometer o e-mail comercial, convencer outros funcionários a baixar malware ou até mesmo reescrever códigos para produtos. A única limitação seria a própria criatividade (Sean Gallader, 2022) TRADUZIDO. 20 São exemplos de informações vazadas: a) Informações de identidade: nome, endereço, número de telefone, endereço de e-mail, nome de usuário, senha. b) dados de atividade: pedido e histórico de pagamento, hábitos de navegação, detalhes de uso; c) informações de cartão de crédito: números de cartão,códigos CVV, datas de validade, códigos postais de cobrança. As informações do cliente não são a única coisa que podem ser expostas. Informações corporativas podem ser vazadas, como exemplo: a) Comunicações internas: memorandos, e-mails e documentos detalhando operações da empresa; b) métricas: estatísticas de desempenho, projeções e outros dados coletados da empresa; c) estratégia: detalhes de mensagens, roteiros e outras informações de negócios. Vendo a partir deste cenário, podemos compreender que o usuário é extremamente vulnerável por conta de ter várias informações pessoais a disposição de sites, muitas vezes, irregulares quanto a LGPD. A LGPD abrangeria toda a triagem dos cookies quanto a proteção dos dados pessoais? A LGPD prevê em sua legislação a proteção integral de sua liberdade, privacidade, segurança, consentimento expresso, acesso as suas informações, correções e pronto atendimento, caso você queira excluir seus dados pessoais. Está claro que a denominação mais precisa para os delitos ora em estudo é “crimes informáticos” ou “delitos informáticos”, por basear-se no bem jurídico penalmente tutelado, que é a inviolabilidade das informações automatizadas (dados) (VIANNA, 2001, p.33). O controle da LGPD é realizado pela Autoridade Nacional de Proteção de Dados. A ANPD foi fundada pela Medida Provisória n. 869, de 27 de dezembro de 2018, e após foi convertida em Lei n. 13.853, de 14 de agosto de 2019. O Decreto 10.474, de 26 de agosto de 2020 ficou responsável pela aprovação da Estrutura Regimental, do Quadro Demonstrativo dos Cargos em Comissão e também das Funções de Confiança da ANPD. A ANPD possui autonomia para criar normas sobre proteção de dados pessoais, inclusive legislar sobre normas de compartilhamento de dados utilizados pelo poder público, julgar e aplicar sanções sobre eventuais 21 descumprimentos a LGPD, comunicando as autoridades competentes os casos de infrações de esferas criminais ou cíveis. Cabe ainda a ANPD decidir sobre a interpretação da LGPD nos casos omissos. Dizendo de maneira resumida, a ANPD é o órgão da administração pública federal responsável pela proteção de dados pessoais e por e fiscalizar o cumprimento da LGPD no Brasil. As sanções que competem a ANPD aplicar, em razão das infrações, são previstas no artigo 52 da LGPD: Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados pessoais a que se refere a infração; VII - (VETADO); VIII - (VETADO); IX - (VETADO). X - (VETADO); XI - (VETADO); XII - (VETADO). X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (BRASIL, Lei nº 13.709/19, 2022). Todas as penalidade aplicadas pela LGPD possuem caráter financeiro e também administrativo sobre as empresas. Já o CDC determina que o consumidor terá acesso as informações pessoais existentes em fichas, registros, cadastros e dados arquivados sobre ele, e também suas fontes, nos termos do artigo 43 CDC. Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Msg/VEP/VEP-288.htm https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Msg/VEP/VEP-288.htm https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Msg/VEP/VEP-288.htm 22 pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1º Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. § 2º A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. § 3º O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas. § 4º Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público. § 5º Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores. § 6o Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor. (BRASIL. Código de defesa do consumidor. Lei 8.078 de 11/09/90. Brasília, Diário Oficial da União, 1990.) Diferente das sanções previstas na LGPD em seu art. 52, a violação dos direitos dos consumidores no CDC constitui infração penal, tendo em vista que impedir ou dificultar o acesso do consumidor e também deixar de corrigir ou lhe entregar informações a seu respeito, se configura como crime, com pena de detenção ou multa, de acordo com o artigo 72 e 73 do CDC: Art. 72. Impedir ou dificultar o acesso do consumidor às informações que sobre ele constem em cadastros, banco de dados, fichas e registros: Pena Detenção de seis meses a um ano ou multa. Art. 73. Deixar de corrigir imediatamente informação sobre consumidor constante de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser inexata: Pena Detenção de um a seis meses ou multa. (BRASIL. Código de defesa do consumidor. Lei 8.078 de 11/09/90. Brasília, Diário Oficial da União, 1990.) Levando em consideração que com o fácil acesso a internet, ficou mais fácil criar novos sites ou fóruns, que de alguma forma recebem e compartilham informações dos usuários. Isso nos dias de hoje acontece de maneira astronomia. O número total de sites em todo o mundo foi confirmado pela NetCraft, que é uma empresa que fornece serviços de segurança na Internet, incluindo interrupção de crimes cibernéticos, testes de segurança de aplicativos 23 e verificação automatizada de vulnerabilidades. Publicado em sua mais recente pesquisa, mesmo o numero de sites mudando a cada segundo, existem mais de um bilhão de sites, de acordo com a pesquisa de servidores da Web de março de 2022. A todo momento novos sites são criados, sejam eles de qualquer natureza. Isso em uma grande escala demonstra difícil em questão do controle das informações, levando em conta de que é algo aparentemente novo, pois estamos começando a era digital neste século. 24 5. CONCLUSÃO Observada a forma comercial com a qual os dados pessoais são tratados atualmente no Brasil, a LGPD ainda encontradesafios para que consiga fiscalizar todos os sites, e a melhor maneira de se barrar diversas ilegalidades é estar informado sobre o tratamento de dados e sobre cookies de rastreamento, e sempre fazer uma triagem de sites que potencialmente pode roubar suas informações pessoais Entende-se que a LGPD é uma regra para todos, ou seja, ele tem uma abrangência no cenário de segurança jurídica válido para todo o país; estabelecido de maneira clara, o que são os dados pessoais e como deve ser realizado o seu correto tratamento; regra geral, para o tratamento de dados pessoais, o consentimento do titular deve ser, com exceção dos casos em que seja necessário cumprir os critérios legais. Não importa se a organização ou data center é dentro ou fora do Brasil, seu alcance extraterritorial é bem valorizado no trabalho, em caso de descumprimento do regulamento, são aplicadas penalidades severas a lei traz consigo as definições de que são dados pessoais essenciais para uma boa compreensão da legislação. A Lei destaca as responsabilidades de cada agente de processamento e suas funções. Portanto, é necessário que os agentes de tratamento procurem também maneiras de proteger os dados pessoais, mas também informar aos titulares, levar a informação do que está acontecendo de maneira objetiva, gerando uma cultura de proteção de dados. O direito de proteção de dados configurado como um direito de personalidade do indivíduo, e isso significa dizer que todos temos um direito fundamental de proteção de dados na sociedade digital, que consequentemente exige o esforço do estatal para tutela legal. A interpretação da LGPD não pode ser realizada sem a analise e observação de seus princípios norteadores, sendo essencial é necessário entender a forma com a qual a privacidade alterou-se diante da sociedade informacional, se adequando para dar ao indivíduo o poder de controle sobre a coleta e tratamento de seus dados pessoais. 25 A Lei 13.709/2018 ainda encontra diversos desafios para concretizar seus objetivos, mas é de extrema importância para satisfazer as lacunas normativas que dizem a respeito ao direito fundamental de proteção de dados. 26 REFERÊNCIAS BINARIONET. Quais são os riscos dos cookies? [S.I.], 6 jan. 2021. Disponível em: https://www.binarionet.com.br/quais-sao-os-riscos-dos-cookies/. Acesso em: 23 out. 2022. BRANDÃO, Emerson. Pesquisa mostra descaso de usuários com os cookies: como proceder?. Site Uol, 18 mar. 2022. Disponível em: https://gizmodo.uol.com.br/pesquisa-mostra-descaso-de-usuarios-com- os-cookies-como-proceder/ Acesso em: 23cout. 2022. BRASIL. Conselho Nacional do Ministério Público. (CNMP). Política de Cookies. Disponível em: https://www.cnmp.mp.br/portal/transparencia/lei-geral-de-protecao-de- dados-pessoais-lgpd/cidadao/politica-de-cookies. Acesso em 26 out. 2022. BRASIL. Lei nº 13.709/2018, de 14 de agosto de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 23 out. 2022. BRASIL. Lei nº 12.965, de 23 de Abril de 2014. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2014/Lei/L12965.htm. Acesso em: 21 out. 2022. BRASIL. Secretaria de Governo Digital do Ministério da Economia. Guia do Framework de Segurança Lei Geral de Proteção de Dados. Jan. 2022. Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e- protecao-de-dados/guias/guia_framework_seguranca.pdf. Acesso em: 23 out. 2022. EDITORA FGV. Política de Cookies: Site da FGV Editora. [S.I] nov. 2020. Disponível em: https://editora.fgv.br/termos/politica_cookies. Acesso em: 23 out. 2022. DEVELOPER.MOZILLA.ORG. Cookies HTTP [S.I] 10 nov. 2022. Disponível em: https://developer.mozilla.org/pt-BR/docs/Web/HTTP/Cookies. Acesso em 10 nov. 2022. DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law [EJJL], [S.l.], v. 12, n. 2, p. 91–108, 2011. Disponível em: https://periodicos.unoesc.edu.br/espacojuridico/article/view/1315. Acesso em 20 de nov. de 2022 FLEMING; Maria Cristina. Cookies e LGPD – O que está errado em 99% dos sites? LGPD AZUL. 20 ago. 2021. Disponível em: https://www.lgpdazul.com.br/cookies-e-lgpd-o-que-esta-errado-em-99- perc-dos-sites/. Acesso em: 28 set. 2022. https://www.binarionet.com.br/quais-sao-os-riscos-dos-cookies/ https://gizmodo.uol.com.br/pesquisa-mostra-descaso-de-usuarios-com-os-cookies-como-proceder/ https://gizmodo.uol.com.br/pesquisa-mostra-descaso-de-usuarios-com-os-cookies-como-proceder/ https://www.cnmp.mp.br/portal/transparencia/lei-geral-de-protecao-de-dados-pessoais-lgpd/cidadao/politica-de-cookies https://www.cnmp.mp.br/portal/transparencia/lei-geral-de-protecao-de-dados-pessoais-lgpd/cidadao/politica-de-cookies http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_Identificacao/lei%252012.965-2014?OpenDocument http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2014/Lei/L12965.htm https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_framework_seguranca.pdf https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_framework_seguranca.pdf https://editora.fgv.br/termos/politica_cookies https://developer.mozilla.org/pt-BR/docs/Web/HTTP/Cookies https://periodicos.unoesc.edu.br/espacojuridico/article/view/1315 https://www.lgpdazul.com.br/cookies-e-lgpd-o-que-esta-errado-em-99-perc-dos-sites/ https://www.lgpdazul.com.br/cookies-e-lgpd-o-que-esta-errado-em-99-perc-dos-sites/ 27 GOOGLE. Limpar, ativar e gerenciar cookies no Chrome. [S.I.] [2022?]. Disponível em: https://support.google.com/chrome/answer/95647?hl=pt- BR&co=GENIE.Platform%3DDesktop. Acesso em: 15 nov. 2022. GUERRA, Sidney Cesar Silva. O direito à privacidade na internet: uma discussão da esfera privada no mundo globalizado. Rio de Janeiro: América Jurídica, 2004. LEGALCLOUD. Cookies na LGPD: O que são e quais tipos? [Tabela completa]. [S.I.] 12 nov. 2020. Disponível em: https://legalcloud.com.br/cookies-lgpd-tabela/. Acesso em: 26 out. 2022. MALDONADO, Viviane Nóbrega; BLUM, Renato Ópice. LGPD: Lei Geral de Proteção de Dados comentada. 1.ed. São Paulo: Revista dos Tribunais, 2019. PINHEIRO, Patrícia Peck. Proteção de dados pessoais: Comentários à Lei 13.709/2018 (LGPD). 2.ed. São Paulo: Saraiva Jur, 2020. ROHR, Altieres. Saiba como os 'cookies' ou 'web beacons' rastreiam você. Site G1.Globo. 05 jan. 2017. Disponível em: https://g1.globo.com/tecnologia/blog/seguranca-digital/post/saiba-como- os-cookies-ou-web-beacons-rastreiam-voce.html. Acesso em: 06 nov. 2022. RUIZ, Evandro Eduardo Seron. Cookies: doces ou travessuras na LGPD. Site Migalhas, 29 jan. 2021. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de- dados/339601/cookies-doces-ou-travessuras-na-lgpd. Acesso em: 26 out. 2022. SEBRAE. O que é LGPD? [S.I.] [2021?]. Disponível em: https://www.sebrae.com.br/sites/PortalSebrae/canais_adicionais/conheca _lgpd. Acesso em: 21 out. 2022. SWENSSIN, Walter Cruz. Direito e internet. São Paulo: Themis Livraria e Editora, 2001. VALENTE, Jonas. Punições contra violações da proteção de dados entram em vigor. Empresa Brasil de Comunicação (EBC), 01 ago. 2021. Disponível em: https://agenciabrasil.ebc.com.br/geral/noticia/2021-08/punicoes-contra- violacoes-da-protecao-de-dados-entram-em-vigor. Acesso em: 26 out. 2022. VILELA, Luíza. A relação do uso de cookies com a LGPD. Site consumidormoderno, 30 abr. 2021. Disponível em: https://www.consumidormoderno.com.br/2021/04/30/cookies-lgpd/. Acesso em: 29 out. 2022. WACHOWICZ, Marcos. A proteção jurídica das bases de dados em face da revolução da tecnologia da informação. Revista de direito autoral, São Paulo, v. iii, p.59-84, 2005.Disponível em: https://www.gedai.com.br/wp- https://support.google.com/chrome/answer/95647?hl=pt-BR&co=GENIE.Platform%2525253DDesktop https://support.google.com/chrome/answer/95647?hl=pt-BR&co=GENIE.Platform%2525253DDesktop https://legalcloud.com.br/cookies-lgpd-tabela/ https://g1.globo.com/tecnologia/blog/seguranca-digital/post/saiba-como-os-cookies-ou-web-beacons-rastreiam-voce.html https://g1.globo.com/tecnologia/blog/seguranca-digital/post/saiba-como-os-cookies-ou-web-beacons-rastreiam-voce.html https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/339601/cookies-doces-ou-travessuras-na-lgpd https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/339601/cookies-doces-ou-travessuras-na-lgpd https://www.sebrae.com.br/sites/PortalSebrae/canais_adicionais/conheca_lgpd https://www.sebrae.com.br/sites/PortalSebrae/canais_adicionais/conheca_lgpd https://agenciabrasil.ebc.com.br/geral/noticia/2021-08/punicoes-contra-violacoes-da-protecao-de-dados-entram-em-vigor https://agenciabrasil.ebc.com.br/geral/noticia/2021-08/punicoes-contra-violacoes-da-protecao-de-dados-entram-em-vigor https://www.consumidormoderno.com.br/2021/04/30/cookies-lgpd/ https://www.gedai.com.br/wp-content/uploads/2018/08/Artigo-Base-Dados-Marcos-Wachowicz.pdf 28 content/uploads/2018/08/Artigo-Base-Dados-Marcos-Wachowicz.pdf. Acesso em: 21 nov. 2022. Sean Gallagher, 18 de Agosto de 2022. As organizations move to cloud services and multifactor authentication, cookies tied to identity and authentication give attackers a new path to compromise.https://news.sophos.com/en- us/2022/08/18/cookie-stealing-the-new-perimeter-bypass/. Acesso em 23 de nov. de 2022 https://news.netcraft.com/archives/2022/11/10/november-2022-web-server- survey.html. Acesso em 24 de nov. de 2022. https://www.gedai.com.br/wp-content/uploads/2018/08/Artigo-Base-Dados-Marcos-Wachowicz.pdf https://news.netcraft.com/archives/2022/11/10/november-2022-web-server-survey.html https://news.netcraft.com/archives/2022/11/10/november-2022-web-server-survey.html
Compartilhar