®BuscaLegis.ccj.ufsc.br
Dados pessoais
Uso de cookies pode
infringir privacidade do internauta
Demócrito Reinaldo
Filho*
Uma decisão recente coloca em
cheque a utilização de cookies, por operadores de websites, quando é feita sem
o conhecimento do internauta. A decisão, publicada em 16 de abril deste ano,
foi tomada pelo Comissário para a proteção da Privacidade (Privacy Comissioner)
do Canadá, em processo administrativo aberto em função de uma reclamação de um
visitante do site de uma companhia aérea. Como fundamentos, o queixoso alegou
basicamente o seguinte: a) que lhe foi negado acesso ao website porque o seu
programa de navegação (browser) estava configurado para desabilitar cookies; e
b) que a companhia se utiliza de cookies, conseqüentemente coletando
informações pessoais, sem o conhecimento e consentimento dos visitantes do
site.
Como se sabe, cookies são
pequenos arquivos (text files) que funcionam coletando e armazenando
informações. Existem basicamente duas espécies: os cookies permanentes e os
temporários. Os primeiros são indefinidamente instalados no hard drive do
internauta, enquanto a segunda categoria é automaticamente deletada do browser
assim que ele se retira do site. Em regra, os websites possibilitam que o
visitante desabilite os cookies.
A companhia aérea reclamada fazia
uso tanto de cookies permanentes como temporários. Através dos cookies
definitivamente instalados no computador do internauta, ela armazenava dados
como a língua e o país de origem do visitante. Assim, toda vez que ele retornasse,
era saudado em sua língua de origem e tinha acesso à versão do site previamente
escolhida. Por meio de cookies temporários, eram colhidos dados como o nome do
visitante, código de endereçamento postal do seu país e informações sobre
programa de milhagens. A página de entrada do site requeria que o visitante
escolhesse a língua e indicasse o país de origem, para prosseguir adiante em
direção às páginas secundárias. O site estava construído de tal forma que, uma
vez desabilitados os cookies permanentes, o internauta não tinha como adentrar
nas páginas seguintes. Assim que tomou conhecimento da reclamação, a companhia
adotou providências para dar nova configuração ao site, de maneira a permitir a
navegação por páginas internas mesmo quando desativados os cookies. Em relação
a uma política de privacidade, admitiu que não havia incluído nada sobre o uso
de cookies, mas que já estava providenciando a publicação de informações sobre
esse assunto.
Examinando o caso, o Comissário
concluiu que a conduta da companhia aérea feriu os princípios encapsulados nos
itens 4.3 e 4.3.3 do Personal Information Protection and Electronic Documents
Act conhecido simplesmente pela sigla PIPEDA). O item 4.3 dessa lei estatui que
o conhecimento e consentimento do indivíduo são requisitos para a coleta, o uso
ou divulgação de informação pessoal, exceto quando tal medida se mostrar
inapropriada . Já o princípio 4.3.3 estabelece que uma empresa não deve, como
condição para o fornecimento de produto ou serviço, exigir de um indivíduo o
consentimento para a coleta, o uso ou divulgação de informação além do que for
necessário para atingir o legítimo e explicitamente especificado propósito (de
coleta da informação).
Para o Comissário, a companhia
aérea não respeitou a provisão do item 4.3, referente à exigência do
conhecimento e consentimento prévios, já que não tinha uma política sobre
cookies visível em seu website. Além disso, embora tendo tomado medidas para
permitir o acesso às páginas internas do seu site mesmo àqueles internautas que
optassem por desabilitar os cookies, já havia cometido infração em relação ao
item 4.3.3, na medida em que o reclamante teve seu acesso negado.
Essa decisão, embora na esfera
administrativa, antecipa os problemas que vamos ter que lidar no futuro aqui no
Brasil. O problema é que ainda não temos, como lá (no Canadá), um agente
governamental para a proteção de dados pessoais.
Revista Consultor Jurídico, 25 de
junho de 2003.
--------------------------------------------------------------------------------
Demócrito Reinaldo Filho é juiz
de Direito em Recife/PE, fundador do Instituto Brasileiro da Política e do
Direito da Informática (IBDI), coordenador do livro "Direito da
Informática - Aspectos Polêmicos" (Edipro, 2002) e responsável pelo site InfoJus.