A Autoridade Nacional de Proteção de Dados (ANPD) acaba de publicar um Guia Orientativo de Cookies e proteção de dados pessoais. Muitos acertos, alguns pontos a eventualmente melhorar em edições futuras e o grande mérito de trazer alguma segurança jurídica nesse tema tão importante.
A pergunta anterior, entretanto, é se o campo da proteção de dados pessoais – que transformou os cookies em inimigos a derrotar – está adotando o foco correto, ou se, para adotar a ilustração milenar, estamos coando o mosquito e engolindo o camelo.
A primeira dificuldade é a delimitação adequada do que efetivamente são os cookies, já que, inclusive entre especialistas, é comum encontrarmos conceitos ou atributos equivocados.
O próprio Guia, reproduzindo uma ideia comum, mas imprecisa, afirma que cookies são "arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações".
Na realidade, cookies são mecanismos de persistência de dados entre requisições HTTP, nos termos do RFC 6265. Para essa persistência, os principais navegadores atualmente utilizam bancos de dados. Cookies são dados gravados pelo navegador, não um arquivo instalado.
Exatamente por serem apenas dados gravados, cookies não coletam informações. Um cookie do Google Analytics, por exemplo, seria algo como _ga=GA1.1.1422343456.1666469123.
Assim como uma frase em um documento de texto não observa ninguém, um cookie – que é apenas um par de dados (nome/valor) gravado – não realiza ação nenhuma. Não coleta dados, não monitora comportamento, não perfila usuários, não gera estatísticas, não direciona publicidade. De onde vem então a má fama dos cookies? Do seu uso como identificadores para sistemas de rastreamento.
Vamos a um exemplo. Suponha que um usuário entre em um site de viagens que utiliza ferramentas de anúncio do Google, e, na primeira requisição, receba um cookie com o identificador ABC12345. Após uma breve pesquisa, passa a navegar, por vários minutos, na área de um pacote de viagem para Buenos Aires.
O mesmo usuário, tempos depois, entra em um site de notícias que utiliza a rede de anúncios do Google para ver as novidades esportivas. E aí uma “mágica” acontece: o Google, pelo identificador já existente, saberá que quem está lendo as notícias é o ABC12345. E, analisando sua base de dados (não o cookie), saberá que o ABC12345 estava antes no site de viagens, que paga por remarketing, mais especificamente na página do pacote para Buenos Aires. Resultado: um belíssimo anúncio do pacote de viagem a Buenos Aires aparecerá em meio às notícias esportivas. Todos nós já observamos essa “mágica” ocorrer, certo?
O relevante aqui é que o interesse pela viagem a Buenos Aires não está no cookie. O histórico de navegação também não. A propaganda a ser veiculada também não. Nenhuma informação do perfilamento está no cookie ou é coletada pelo cookie: o cookie contém apenas o identificador ABC12345. Todo o resto é realizado por scripts que interagem diretamente com servidores do Google e que estão inseridos nessas páginas.
A ideia de que cookies coletam informação é equivocada. A ideia de que navegadores coletam informações do cookie também. Notem que o valor ABC12345 foi atribuído pelo próprio Google durante a requisição original. E esse valor é repassado automaticamente e proativamente pelo navegador a cada nova requisição a servidores do Google: ou seja, tecnicamente, o Google sequer “busca” a informação no navegador, ele já a recebe passivamente.
O risco à privacidade dos indivíduos não está nos cookies em si mesmos, mas nos sistemas que monitoram e perfilam indivíduos, e que têm sido ajustados para depender cada vez menos de cookies. Na realidade, há sistemas de estatísticas que operam integralmente a partir de técnicas de fingerprinting muito mais invasivas que cookies. Mas, vejam que ótimo, como não usam cookies são vistos como mais protetivos. Não são.
Da mesma forma, já há mecanismos cada vez mais sofisticados para associar conversões de marketing a usuários sem a necessidade de cookies, como a API de Conversões do Facebook, em que as informações transitam de servidor para servidor. Mas, olha que ótimo, não usam cookies. São então super protetivos, certo? Errado.
É importante lembrarmos que os tais banners de cookies nasceram com a Diretiva ePrivacy, uma norma de 2002. Estamos copiando, em 2022, uma abordagem de 2002. De lá para cá, muita coisa mudou. Tanto é assim que os próprios europeus já se preparam para a ePrivacy Regulation, que adota uma abordagem bastante diferente. Mais restritiva em atividades de risco elevado que independem de cookies – como fingerprinting –, e mais flexível em atividades de menor risco mesmo que usem cookies – como estatísticas próprias.
O foco dos reguladores, em 2022, não deve estar nos cookies, tal como foi o foco da Diretiva ePrivacy vinte anos atrás. Devemos atacar, de forma efetiva, o crescente e abusivo monitoramento online, o perfilamento por meios ocultos, as práticas discriminatórias, sendo irrelevante a tecnologia empregada. E isso não se resolve com banners de cookies.
Regular cookies, em 2022, pode ser uma solução de transição, mas é uma solução anacrônica. A ANPD trouxe regras importantes, como as que combatem os “dark patterns”, mas com vida útil limitada. Com os grandes navegadores já anunciando o fim do suporte aos cookies de terceiros, e com cada vez mais tecnologias imersivas ganhando espaço sobretudo entre os mais jovens, é preciso redirecionar o foco.
Talvez o único aspecto regulatório relacionado especificamente aos cookies e ainda relevantíssimo em 2022 seja definirmos, de uma vez por todas, que o nome disso em português é biscoito, e não bolacha. Para todo o resto, parece melhor que o esforço regulatório esteja direcionado ao tratamento de dados pessoais, não à tecnologia adotada. Os banners de cookies coam os mosquitos. Precisamos agora olhar os camelos.