Em recente decisão relacionada à privacidade e ao tratamento de dados pessoais, o Tribunal de Justiça da União Europeia (“TJUE”) entendeu ser necessário o consentimento ativo por parte do titular dos dados para a utilização de cookies. O pedido de decisão prejudicial foi apresentado ao TJUE pelo Supremo Tribunal Federal Alemão no âmbito de um litígio que opõe a Federação das Organizações e Associações de Consumidores alemã à empresa de jogos online “Planet49 GmbH”, no que se refere ao consentimento conferido pelos usuários participantes de um jogo promocional organizado pela empresa para a transmissão de seus respectivos dados pessoais de cadastro a patrocinadores e parceiros da “Planet49 GmbH”, bem como para o armazenamento de informações e para o acesso a informações armazenadas nos dispositivos desses participantes, através de cookies.
O quadro jurídico analisado pelo TJUE levou em consideração a legislação do país de origem do litígio (Alemanha), bem como diretivas da comunidade europeia sobre o tratamento de dados pessoais, sua livre circulação e a proteção da privacidade, além do artigo 6º, (1), alínea a do Regulamento Geral sobre a Proteção de Dados Europeu (GDPR), que estabelece o consentimento do titular de dados como base legal para o tratamento de seus dados pessoais para uma ou mais finalidades específicas.
Para decidir o caso em questão, o TJUE se propôs a analisar se o consentimento seria válido quando o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal do usuário fossem autorizados de forma passiva, mediante um mecanismo de opt-in pré-validado, sendo necessário que o utilizador desmarcasse tal opção para recusar o seu consentimento; e quais informações o prestador de serviços deveria comunicar ao usuário, de modo a cumprir o requisito legal da GDPR, de prestação de “informações claras e completas”.
Partindo da premissa de que, nos termos do artigo 4º, (11) do GDPR, o consentimento consiste numa manifestação de vontade livre, específica, informada e explícita, pelo qual o titular dos dados concorda, mediante declaração ou ação afirmativa clara, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento para uma finalidade específica, o TJUE decidiu, primeiramente, que a exigência legal acima referida implica na necessidade de um consentimento ativo, e não passivo, por parte do usuário. Desta maneira, o consentimento para o uso de cookies fornecido através de uma opção pré-marcada, por se tratar de um comportamento passivo, não se caracterizaria como um meio válido de obtenção de consentimento para o tratamento de dados pessoais no caso em questão.
Ainda, o TJUE decidiu pelo dever de prestação de informações claras e completas sobre o consentimento prévio obtido e sobre as finalidades do tratamento em questão, de maneira a possibilitar ao usuário a plena compreensão sobre o funcionamento dos cookies utilizados pela referida empresa. Outrossim, as informações que o prestador de serviços deve fornecer ao usuário de um website devem incluir a duração do funcionamento dos cookies e a possibilidade, ou não, de terceiros terem acesso a esses cookies, uma vez que, sem estas informações, os meios e fins do tratamento de dados pessoais não serão informados de maneira clara e completa ao usuário, prejudicando a validade de seu consentimento.
Em suma, o entendimento do TJUE demonstra que o consentimento para a utilização de cookies deve ser livre, informado, específico e explícito para que seja válido e eficaz. Tais requisitos para a validade do consentimento, entretanto, não são novidade no cenário europeu, tendo em vista que autoridades e órgãos internacionais referências em proteção de dados, como o “Article 29 Working Party”, possuem, por exemplo, publicações específicas sobre a necessidade de a manifestação de vontade do titular de dados ser livre e informada para que o consentimento seja válido. Entretanto, é possível notar que certas práticas, como obrigar o titular de dados a “rolar a tela para baixo” para fornecer seu consentimento à utilização de cookies, continuam a ser utilizadas, ainda que não necessariamente cumpram os requisitos legais supramencionados.
No cenário brasileiro, a Lei Geral de Proteção de Dados (Lei nº 13.709/18 – “LGPD”) define o consentimento em seu artigo 5º, inciso XII, como uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, prevendo, da mesma maneira que o GDPR, requisitos fundamentais para a validade do consentimento. Considerando a influência das decisões europeias no cenário de proteção de dados brasileiro, e a ausência, até este momento, de uma Autoridade de Proteção de Dados devidamente constituída e atuante, hábil a emitir as guidelines para a atuação do mercado nacional, é nítido que tal decisão implicará em mudança comportamental dos players nacionais.
Por fim, importante mencionar que, embora muito comum nos debates de proteção de dados, o uso do consentimento, seja no cenário de utilização de cookies ou em situações diversas, tende a ser a base legal mais crítica e volátil. Para sua utilização, orienta-se que os agentes de tratamento sigam à risca todas as regras impostas para a utilização dessa base legal, sob pena de estarem diante de um consentimento inválido (situação muito comum no mercado atualmente). E, enquanto inexistentes orientações a nível nacional, ou jurisprudência oriunda dos Tribunais de Justiça do país, que as decisões da União Europeia sejam utilizadas como importante arcabouço de orientação.
Confira a íntegra da decisão do TJUE em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:62017CJ0673&qid=1570469737618&from=EN (português) ou https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62017CJ0673&qid=1570469737618&from=EN (inglês).
Para receber as principais novidades do cenário legislativo relacionado à privacidade e proteção de dados, em âmbito nacional e internacional, acompanhe a equipe de Tecnologia, Mídia e Telecomunicações do Azevedo Sette Advogados.