“Ok, entendi”: avisos sobre cookies te induzem a ceder seus dados
LGPD obriga websites a solicitarem autorização para coleta de informações, mas a escolha nem sempre é clara.
Por Dimítria Coutinho e Roberto Pereira
Nenhum dos dez sites de notícias mais lidos no Brasil oferece poder de decisão para os usuários no que diz respeito à coleta de cookies. A descoberta foi feita por um levantamento realizado pela reportagem, que analisou como o consentimento é pedido por esses portais.
Desde que as sanções relativas à Lei Geral de Proteção de Dados Pessoais (LGPD) passaram a valer no Brasil em agosto de 2021 — veja o texto da lei em BRASIL (2018), empresas são obrigadas a obter o consentimento explícito de seus clientes para coletar e processar informações pessoais. Essa adaptação, porém, já vinha acontecendo desde 2018, quando a lei entrou em vigor e estabeleceu prazos para a adaptação pelas empresas.
Para entrar em conformidade com a LGPD, empresas de todos os ramos tiveram que se adaptar. Mas, no dia a dia dos internautas, o que ficou mais evidente foram as mudanças em websites, que passaram a mostrar avisos sobre cookies. Na língua inglesa, cookies são biscoitos, e na computação, esse é o nome dado a pequenos arquivos criados para registrar atividades dos usuários. Quando você acessa um conteúdo ou insere informações em um website, os cookies registram suas ações, preferências e localização, por exemplo.
Websites induzem decisão dos usuários
Cookies nada mais são, portanto, do que pacote de dados. E, por conterem informações dos usuários, a LGPD obriga que o consentimento seja solicitado. Na prática, porém, não é bem assim, já que esse pedido de autorização nem sempre permite que as pessoas tenham, de fato, uma possibilidade de escolha. Seja pela falta de opção, ou por uma linguagem técnica e inacessível, as soluções criadas pelas empresas acabam cumprindo com as exigências da LGPD em termos de obtenção de consentimento, porém ao custo do poder de decisão pelas pessoas.
“O que vemos é que a maioria das empresas buscou apenas o básico para estarem ‘de acordo’ com a LGPD. Fica até parecendo que o objetivo das empresas é que a mensagem de consentimento seja a mais vaga possível, de forma que a maioria dos usuários sequer irá ler ou compreender os termos técnicos ali utilizados e aceitará cegamente”, analisa Luiz Adolpho Baroni, bacharel em Ciência da Computação pela Universidade Federal do Paraná (UFPR) e mestrando na mesma área.
No levantamento feito pela reportagem, os dez portais de notícias mais acessados do país foram analisados. Dois deles, o iG e a IstoÉ, não solicitam a permissão dos seus usuários para o uso de cookies, e os outros oito possuem muitas falhas na forma como essa permissão é solicitada.
Diagnóstico das mensagens sobre cookies em portais de notícias
Nenhum dos portais oferece, de fato, poder de decisão para seus usuários: ou você aceita, ou aceita. Folha e MSN até permitem que se desabilite alguns dados que serão coletados, mas não todos. Na metade dos portais é apresentado apenas um aviso e a opção “ok”.
Consentimento ‘fake’ fere a LGPD
Para Eliseu Raphael Venturi, doutor em Direito e consultor em questões da LGPD para o Comitê de Ética em Pesquisa da UFPR, essa decisão fere a lei, especialmente no que diz respeito à capacidade do usuário de entender e de tomar uma decisão informada e esclarecida sobre o que é feito com seus dados.
“Isto ocorre por dificuldades de informação e transparência. Em relação ao usuário, a estratégia revela que ele não é tomado como um indivíduo, e sim como parte de uma massa. A intenção, assim, parece mais protocolar do que realmente amadurecida”, avalia.
Além de não poder decidir, uma vez que o usuário tenha consentido, ou concordado, não há nenhuma informação sobre como rever ou desfazer a decisão tomada. Nos poucos casos em que a revisão é informada, será preciso que os usuários acessem as configurações de seus navegadores, o que dificulta a operação.
Baroni explica que isso está relacionado a dark patterns, termo usado para se referir a padrões de design criados para intencionalmente influenciar o comportamento dos usuários. “É muito fácil para o usuário ‘aceitar’ que seus dados sejam captados e utilizados pelos sites, porém é muito mais difícil voltar atrás nessa decisão, sendo necessário, em alguns casos, que o usuário envie um email solicitando à empresa que pare de captar e usar seus dados. Esses padrões são totalmente antiéticos e em muitos casos não há nem mesmo uma lei que os impeça de serem utilizados”, explica o pesquisador.
Problemas ainda vão além
O levantamento mostrou, ainda, outras falhas. As explicações sobre o que são cookies e sobre como eles efetivamente estão sendo utilizados no portal também costumam deixar a desejar: ou são difíceis de encontrar, ou complicadas de entender.
A acessibilidade das mensagens também é negligenciada: em apenas três portais é fácil chegar à mensagem navegando pelo teclado, sem o mouse. Nos outros, ou não é possível acessar a mensagem, ou é necessário executar centenas de ações, passando por todos os campos e opções da página. No caso de deficientes visuais utilizando um software leitor de tela, o conteúdo somente será lido se o usuário for capaz de navegar sobre ele. Para essas pessoas, a mensagem simplesmente não existirá, ou será muito difícil de ser encontrada.
“É extremamente preocupante, para não dizer antiética, a forma com que os sites têm obtido ‘consentimento’ dos usuários, se é que podemos chamar isso de consentimento mesmo. Os avisos são construídos de forma que é muito difícil para os usuários realizarem uma escolha informada sobre o que será feito com seus dados pessoais e de navegação. Sem a possibilidade de escolherem conscientemente, os usuários estão apenas sendo enganados”, analisa Baroni.
Já Venturi afirma que o problema em questão, “embora pareça simples, fala sobre o nosso tempo cultural e sobre como se interpreta a legislação”. “As pessoas não podem tomar outra atitude senão concordar, seja lá qual for o destino dado a tais informações. Isto nos faz pensar, portanto, sobre a regulação dos poderes, a assimetria de forças, o papel do Estado e das instituições democráticas e a responsabilidade no exercício das liberdades. Todos os procedimentos deveriam ser meios para se garantir estes direitos, ao invés de repetições de formas vazias de informação, tal como a pesquisa identificou”, afirma.
Moral da história: embora os portais de notícias estejam solicitando o seu consentimento, isso não se traduz necessariamente em poder de escolha para você. A solução adotada pelas empresas te força ou te induz a autorizar o uso de seus dados, sem oferecer poder de escolha e sem informação suficiente para uma tomada de decisão informada.
Leia mais…
A Horizontes possui diversas outras matérias sobre o tema, especialmente na nossa coluna sobre atualidades em Cibersegurança editada pela Profa. Michele Nogueira da UFMG. Confira:
- O Ciberespaço e a Segurança dos Seus Dados
- Direito à proteção de dados e a responsabilidade civil: Qual a contribuição da Sociedade Brasileira de Computação?
- LGPD, Vulnerabilidades e Hackers: Como se Manter Seguro
Referências
BRASIL (2018). LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Presidência da República. Brasil. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Autoria
Dimítria Coutinho é jornalista e trabalha na cobertura diária de temas ligados à tecnologia. Está sempre investigando o impacto das plataformas digitais na sociedade.
Roberto Pereira é Professor no Departamento de Informática na Universidade Federal do Paraná, trabalha com ensino e pesquisa na área de Interação Humano-Computador, e tem interesse especial no design socialmente consciente de tecnologias computacionais interativas.
Como citar esta matéria:
COUTINHO, Dimítria; PEREIRA, Roberto. “Ok, entendi”: avisos sobre cookies te induzem a ceder seus dados. SBC Horizontes, dezembro 2021. ISSN: 2175-9235. Disponível em: <http://horizontes.sbc.org.br/index.php/2021/12/ok-entendi-avisos-sobre-cookies-te-induzem-a-ceder-seus-dados/>. Acesso em: dd mês aaaa.