Cookies e Rastreamento Online: Regulamentação no Brasil

Cookies e tecnologias de rastreamento online coletam dados de milhões de brasileiros diariamente, e a legislação nacional já estabelece limites claros para essa prática.

O que são cookies e como funcionam as tecnologias de rastreamento

Quando navegamos pela internet, praticamente todos os sites que visitamos instalam pequenos arquivos de texto nos dispositivos. Esses arquivos, conhecidos como cookies, armazenam informações sobre as preferências, histórico de navegação, dados de login e até padrões de comportamento online. Embora muitos cookies sejam essenciais para o funcionamento básico de um site (como manter o usuário logado ou lembrar itens no carrinho de compras), outros têm finalidades muito mais invasivas, como rastrear a atividade do usuário em diferentes plataformas para criar perfis detalhados de consumo.

Além dos cookies tradicionais, existem outras tecnologias de rastreamento que operam de forma ainda mais sofisticada. Os pixels de rastreamento, por exemplo, são imagens invisíveis inseridas em páginas web e e-mails que registram quando e como o conteúdo foi acessado. O fingerprinting (impressão digital do navegador) coleta características técnicas do dispositivo do usuário, como resolução de tela, sistema operacional, plugins instalados e configurações de idioma, para criar um identificador único mesmo sem o uso de cookies. Já os web beacons e os SDKs em aplicativos móveis ampliam essa coleta para ambientes que vão muito além do navegador convencional.

Classificamos os cookies em diferentes categorias conforme sua finalidade. Os cookies estritamente necessários garantem funcionalidades básicas do site e geralmente dispensam consentimento. Os cookies de desempenho ou analíticos coletam dados sobre como os visitantes utilizam o site, permitindo melhorias na experiência do usuário. Os cookies de funcionalidade armazenam preferências personalizadas. Já os cookies de publicidade e marketing são os que geram maior preocupação jurídica, pois rastreiam o usuário por múltiplos sites para construir perfis comportamentais e direcionar anúncios personalizados.

Esse assunto tem relação direta com direito ao esquecimento, tema que abordamos em artigo específico.

Esse assunto tem relação direta com proteção de dados em aplicativos, tema que abordamos em artigo específico.

A Lei Geral de Proteção de Dados e o tratamento de dados por cookies

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), conhecida como LGPD, é o principal instrumento normativo que regulamenta o tratamento de dados pessoais no Brasil, incluindo aqueles coletados por cookies e tecnologias de rastreamento. A LGPD não menciona expressamente o termo “cookies” em seu texto, mas os dados coletados por essas tecnologias se enquadram perfeitamente no conceito de dado pessoal estabelecido no artigo 5º, inciso I, da lei: “informação relacionada a pessoa natural identificada ou identificável”.

Um endereço IP, um identificador de cookie ou um perfil comportamental construído a partir da navegação do usuário são dados pessoais na medida em que permitem, direta ou indiretamente, a identificação de uma pessoa. Quando consideramos que cookies de rastreamento publicitário cruzam informações de dezenas de sites para criar um perfil detalhado do indivíduo (seus interesses, hábitos de consumo, localização frequente, condição de saúde pesquisada), verifica-se que o potencial de identificação é enorme.

Para que o tratamento de dados por cookies seja lícito nos termos da LGPD, é necessário que se enquadre em uma das bases legais previstas no artigo 7º da lei. As bases legais mais relevantes nesse contexto são o consentimento do titular (artigo 7º, inciso I) e o legítimo interesse do controlador (artigo 7º, inciso IX). O consentimento, conforme o artigo 5º, inciso XII, deve ser uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Isso significa que banners genéricos com a frase “este site usa cookies” e um botão de “aceitar” não atendem aos requisitos legais, pois não oferecem informação suficiente nem permitem escolha granular.

A simples exibição de um banner informando o uso de cookies não equivale ao consentimento válido exigido pela LGPD, que demanda manifestação livre, informada, inequívoca e granular do titular dos dados.

O legítimo interesse, por sua vez, pode ser invocado para cookies estritamente necessários ao funcionamento do site ou para cookies analíticos que coletam dados de forma agregada e anonimizada. Entretanto, utilizar o legítimo interesse como base legal para cookies de publicidade comportamental é uma posição arriscada, pois a expectativa razoável do titular dificilmente abrange o rastreamento massivo de sua atividade online por terceiros desconhecidos.

O Marco Civil da Internet e a proteção da privacidade online

Antes mesmo da LGPD, o Marco Civil da Internet (Lei nº 12.965/2014) já estabelecia princípios fundamentais para a proteção da privacidade no ambiente digital brasileiro. O artigo 3º do Marco Civil consagra a proteção da privacidade e dos dados pessoais como princípios da disciplina do uso da internet no Brasil. O artigo 7º, por sua vez, assegura ao usuário direitos como a inviolabilidade da intimidade e da vida privada, o sigilo do fluxo de suas comunicações e o não fornecimento de seus dados pessoais a terceiros sem consentimento livre, expresso e informado.

O Decreto nº 8.771/2016, que regulamenta o Marco Civil, traz disposições adicionais relevantes. Seu artigo 13 determina que os provedores de conexão e de aplicações devem reter a menor quantidade possível de dados pessoais e adotar medidas de segurança adequadas. Esse princípio de minimização se aplica diretamente ao uso de cookies: sites e aplicações devem coletar apenas os dados estritamente necessários para a finalidade declarada, evitando a acumulação indiscriminada de informações sobre o comportamento dos usuários.

Na prática, observamos que o Marco Civil e a LGPD funcionam de maneira complementar. Enquanto o Marco Civil estabelece princípios gerais de proteção da privacidade online e regras sobre guarda de registros de acesso, a LGPD oferece um arcabouço mais detalhado sobre bases legais, direitos dos titulares, obrigações dos controladores e sanções administrativas. Juntas, essas legislações compõem um sistema normativo robusto que impõe limites claros ao uso de cookies e tecnologias de rastreamento.

Obrigações práticas para sites e empresas que operam no Brasil

Considerando o arcabouço legal vigente, sites e plataformas digitais que utilizam cookies e tecnologias de rastreamento precisam adotar uma série de medidas para garantir conformidade. A primeira e mais fundamental é a implementação de um mecanismo de gestão de consentimento (comumente chamado de “cookie banner” ou “plataforma de gestão de consentimento”). Esse mecanismo deve permitir que o usuário visualize, de forma clara e acessível, quais categorias de cookies o site pretende utilizar, qual a finalidade de cada categoria, quais terceiros terão acesso aos dados coletados e por quanto tempo as informações serão armazenadas.

O mecanismo de consentimento deve oferecer opções granulares, permitindo que o titular aceite ou recuse cada categoria de cookie separadamente. Não é admissível condicionar o acesso ao conteúdo do site à aceitação integral de todos os cookies (prática conhecida como “cookie wall”), pois isso viola o requisito de liberdade do consentimento previsto na LGPD. Da mesma forma, o consentimento deve ser obtido antes da ativação dos cookies não essenciais, e não após (o chamado “opt-in” em vez de “opt-out”).

A política de privacidade do site deve conter uma seção específica sobre cookies e tecnologias de rastreamento, descrevendo de forma transparente e em linguagem acessível todos os aspectos relevantes dessa coleta de dados. Analisa-se que muitos sites brasileiros ainda mantêm políticas de privacidade genéricas, traduzidas de modelos estrangeiros, que não refletem a realidade da legislação nacional nem as especificidades do tratamento de dados efetivamente realizado.

Outro aspecto relevante diz respeito aos cookies de terceiros, especialmente aqueles instalados por plataformas de publicidade, redes sociais e ferramentas de análise. O site que instala esses cookies em seus visitantes atua como controlador conjunto (ou operador, conforme o caso) nos termos da LGPD, sendo corresponsável pelo tratamento de dados realizado por esses terceiros. Isso significa que a simples inclusão de um script do Google Analytics, do Meta Pixel ou de uma plataforma de anúncios programáticos gera obrigações legais que vão além da mera exibição de um banner de cookies.

A Autoridade Nacional de Proteção de Dados (ANPD) publicou guias orientativos que reforçam essas obrigações. O órgão tem demonstrado especial atenção ao tema dos cookies e do consentimento, sinalizando que fiscalizações e sanções nessa área tendem a se intensificar nos próximos anos. As sanções previstas na LGPD incluem advertência, multa de até 2% do faturamento da empresa (limitada a R$ 50 milhões por infração), bloqueio e eliminação dos dados pessoais tratados irregularmente.

Tendências regulatórias e o futuro do rastreamento online no Brasil

O cenário regulatório em torno de cookies e rastreamento online está em constante evolução, tanto no Brasil quanto internacionalmente. Observamos que a ANPD tem progressivamente ampliado sua atuação regulatória, publicando regulamentos e guias que detalham as obrigações gerais da LGPD em contextos específicos. A tendência é que o órgão edite normas cada vez mais específicas sobre o uso de cookies, seguindo o caminho trilhado por autoridades de proteção de dados europeias que já emitiram diretrizes detalhadas sobre o tema.

No plano legislativo, tramitam no Congresso Nacional projetos de lei que buscam complementar a LGPD com regras mais específicas sobre publicidade digital, inteligência artificial e proteção de crianças e adolescentes no ambiente online. Esses projetos, se aprovados, podem impor restrições adicionais ao uso de cookies de rastreamento, especialmente aqueles voltados à publicidade comportamental direcionada a menores de idade.

A mudança tecnológica também influencia diretamente esse cenário. Com o gradual abandono dos cookies de terceiros por navegadores como o Firefox e o Safari (e os movimentos nesse sentido por parte do Google Chrome), novas tecnologias de rastreamento estão sendo desenvolvidas. Soluções como o rastreamento server-side, as APIs de atribuição focadas em privacidade e os identificadores probabilísticos apresentam desafios regulatórios inéditos, pois muitas vezes operam de maneira menos visível para o usuário e mais difícil de controlar por mecanismos tradicionais de gestão de consentimento.

Para empresas e profissionais que operam no ambiente digital brasileiro, a recomendação que fazemos é clara: investir em conformidade desde já, adotando práticas de privacidade por design (privacy by design) e por padrão (privacy by default) conforme preconiza o artigo 46, §2º, da LGPD. Isso inclui mapear todos os cookies e tecnologias de rastreamento utilizados, documentar as bases legais aplicáveis, implementar mecanismos de consentimento adequados e manter um programa contínuo de governança de dados pessoais. A due diligence em matéria de dados não é mais um diferencial competitivo, mas uma obrigação legal cujo descumprimento pode gerar consequências financeiras, reputacionais e jurídicas significativas.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.