Dados pessoais

®BuscaLegis.ccj.ufsc.br

Dados pessoais

Uso de cookies pode infringir privacidade do internauta

Demócrito Reinaldo Filho*

Uma decisão recente coloca em cheque a utilização de cookies, por operadores de websites, quando é feita sem o conhecimento do internauta. A decisão, publicada em 16 de abril deste ano, foi tomada pelo Comissário para a proteção da Privacidade (Privacy Comissioner) do Canadá, em processo administrativo aberto em função de uma reclamação de um visitante do site de uma companhia aérea. Como fundamentos, o queixoso alegou basicamente o seguinte: a) que lhe foi negado acesso ao website porque o seu programa de navegação (browser) estava configurado para desabilitar cookies; e b) que a companhia se utiliza de cookies, conseqüentemente coletando informações pessoais, sem o conhecimento e consentimento dos visitantes do site.

Como se sabe, cookies são pequenos arquivos (text files) que funcionam coletando e armazenando informações. Existem basicamente duas espécies: os cookies permanentes e os temporários. Os primeiros são indefinidamente instalados no hard drive do internauta, enquanto a segunda categoria é automaticamente deletada do browser assim que ele se retira do site. Em regra, os websites possibilitam que o visitante desabilite os cookies.

A companhia aérea reclamada fazia uso tanto de cookies permanentes como temporários. Através dos cookies definitivamente instalados no computador do internauta, ela armazenava dados como a língua e o país de origem do visitante. Assim, toda vez que ele retornasse, era saudado em sua língua de origem e tinha acesso à versão do site previamente escolhida. Por meio de cookies temporários, eram colhidos dados como o nome do visitante, código de endereçamento postal do seu país e informações sobre programa de milhagens. A página de entrada do site requeria que o visitante escolhesse a língua e indicasse o país de origem, para prosseguir adiante em direção às páginas secundárias. O site estava construído de tal forma que, uma vez desabilitados os cookies permanentes, o internauta não tinha como adentrar nas páginas seguintes. Assim que tomou conhecimento da reclamação, a companhia adotou providências para dar nova configuração ao site, de maneira a permitir a navegação por páginas internas mesmo quando desativados os cookies. Em relação a uma política de privacidade, admitiu que não havia incluído nada sobre o uso de cookies, mas que já estava providenciando a publicação de informações sobre esse assunto.

Examinando o caso, o Comissário concluiu que a conduta da companhia aérea feriu os princípios encapsulados nos itens 4.3 e 4.3.3 do Personal Information Protection and Electronic Documents Act conhecido simplesmente pela sigla PIPEDA). O item 4.3 dessa lei estatui que o conhecimento e consentimento do indivíduo são requisitos para a coleta, o uso ou divulgação de informação pessoal, exceto quando tal medida se mostrar inapropriada . Já o princípio 4.3.3 estabelece que uma empresa não deve, como condição para o fornecimento de produto ou serviço, exigir de um indivíduo o consentimento para a coleta, o uso ou divulgação de informação além do que for necessário para atingir o legítimo e explicitamente especificado propósito (de coleta da informação).

Para o Comissário, a companhia aérea não respeitou a provisão do item 4.3, referente à exigência do conhecimento e consentimento prévios, já que não tinha uma política sobre cookies visível em seu website. Além disso, embora tendo tomado medidas para permitir o acesso às páginas internas do seu site mesmo àqueles internautas que optassem por desabilitar os cookies, já havia cometido infração em relação ao item 4.3.3, na medida em que o reclamante teve seu acesso negado.

Essa decisão, embora na esfera administrativa, antecipa os problemas que vamos ter que lidar no futuro aqui no Brasil. O problema é que ainda não temos, como lá (no Canadá), um agente governamental para a proteção de dados pessoais.

Revista Consultor Jurídico, 25 de junho de 2003.

--------------------------------------------------------------------------------

Demócrito Reinaldo Filho é juiz de Direito em Recife/PE, fundador do Instituto Brasileiro da Política e do Direito da Informática (IBDI), coordenador do livro "Direito da Informática - Aspectos Polêmicos" (Edipro, 2002) e responsável pelo site InfoJus.