Dentre as muitas definições encontradas sobre cookies, a que mais me agrada é essa do site Positivo, encontrada igualmente em alguns outros sites: cookies são arquivos de texto simples enviados pelo site ao navegador na primeira vez em que você o visita. Definição simples e eficiente. Dessa forma, quando o usuário visita novamente o site, o navegador do usuário envia os dados capturados pelo cookie, dependendo da finalidade a que ele se destina.
Na verdade, os cookies destinam-se a quatro propósitos básicos:
1. Gerenciamento de sessão – Em regra, o cookie captura login e senha para facilitar o ingresso do usuário no website em sua próxima visita.
2. Personalização – O cookie estabelece um perfil de comportamento do usuário, para exibir anúncios relacionados às suas preferências, assim como definir frequências para exibição de determinados anúncios.
3. Rastreamento – O cookie rastreia os sites por onde o usuário navega.
4. Geolocalização – O cookie identifica de qual país o site ou o serviço é utilizado.
Atualmente são reconhecidos sete tipos de cookies sendo utilizados na internet:
1. Cookies primários – O cookie estabelece um perfil de comportamento do usuário de acordo com os sites que ele visita, para exibir anúncios relacionados às suas preferências, assim como definir frequências para exibição de determinados anúncios. Uma grande parte das lojas de comércio eletrônico utiliza dados primários para reconhecer seus clientes.
2. Cookies secundários – Esses dados decorrem essencialmente dos dados primários de outra pessoa e, quando são transferidos de uma empresa (dados primários) para outra, tornam-se dados secundários. Por exemplo, uma agência de viagens venderia seus dados primários para uma companhia aérea para segmentar seus anúncios.
3. Cookies de terceiros – Os cookies de terceiros são colocados por outros domínios e não por aqueles que o usuário visitou diretamente. Isso pode acontecer quando um usuário visita um site que possui um arquivo de cookie de terceiros decorrente de um anúncio.
4. Cookies de sessão – Os cookies de sessão ou não persistentes funcionam como uma memória de sites, ou seja, eles expiram imediatamente após a sessão e os navegadores não os armazenam.
5. Cookies persistentes – Os cookies persistentes ou permanentes geralmente têm uma data de validade definida pelo editor. Os dispositivos dos usuários os armazenam e eles se lembram das informações que os usuários definiram, como preferência de idioma, configurações, detalhes de login etc., promovendo um rastreamento.
6. Cookies seguros – Os cookies seguros só estarão presentes em um site com protocolo HTTPS. Isso garante uma conexão criptografada e previne qualquer vazamento de dados, evitando o furto de cookies e ataques de sequestradores.
7. Cookies zumbis – Os cookies zumbis são pequenos trechos de código, geralmente na forma de uma imagem, objeto compartilhado local etc. Eles se recriam mesmo depois que os dados do navegador são apagados e seguem o usuário pelos sites, sendo os do tipo flash os mais comuns.
E por que os cookies ganharam tanta relevância nos últimos anos? Simplesmente em razão das recentes leis de proteção de dados que têm proliferado nos mais diversos países. Para os brasileiros, ganham relevância a GDPR europeia, que passou a vigorar em 25 de maio de 2018, e a LGPD brasileira, cuja maior parte do conteúdo passou a vigorar a partir de 18 de setembro de 2020.
A partir dessa ilação, viria a segunda pergunta: o que cookies têm a ver com dados pessoais? Se são capazes de estabelecer um padrão de comportamento (profiling) de alguém, os cookies passam a ser reconhecidos como dados pessoais identificáveis, ou seja, que podem levar à identificação de uma determinada pessoa.
Enquanto a LGPD carece de uma regulamentação da Autoridade Nacional de Proteção de Dados – ANPD acerca da utilização de cookies, a União Europeia já possui desde 2002 uma diretriz denominada ePrivacy, aditada em 2009, que estabelece regras importantes para os cookies, tais como:
O consentimento prévio e explícito deve ser obtido antes de qualquer ativação de cookies (exceto os cookies autorizados na lista de permissões).
Os consentimentos devem ser granulares, ou seja, os usuários devem ser capazes de ativar alguns cookies em vez de outros e não ser forçados a consentir em todos ou em nenhum.
O consentimento deve ser dado livremente, ou seja, não pode ser forçado.
Os consentimentos devem ser retirados tão facilmente quanto são dados.
As autorizações devem ser armazenadas com segurança como documentação legal.
O consentimento deve ser renovado pelo menos uma vez por ano. No entanto, algumas diretrizes nacionais de proteção de dados recomendam uma renovação mais frequente – por exemplo, a cada 6 meses.
E quais são as tendências relativas aos cookies no futuro próximo? Para o Brasil, embora eles não estejam referenciados na agenda regulatória da ANPD para o biênio 2021-2022, é esperado que a agência não despreze o assunto, já que o tema atinge milhões de brasileiros que acessam a internet.
Globalmente falando, diversos sites anunciaram em 14 de janeiro de 2021, especialmente o theverge.com, que o Google, por meio de seu navegador Chrome, estaria se juntando em 2022 aos desenvolvedores dos navegadores Safari e Firefox, que já bloqueiam, por padrão, cookies de terceiros.
Logo, a tendência é que cookies de terceiros sejam extintos e substituídos por outra tecnologia em médio prazo, que, possivelmente, deve ser o FLoC (Federated Learning of Cohorts), desenvolvido pelo próprio Google, cujo propósito é ocultar alguém em meio a um grupo de pessoas com interesses comuns e manter o histórico da internet de um usuário privado somente no seu navegador. A tecnologia do FLoC baseia-se no uso de algoritmos de aprendizado de máquina para trabalhar o agrupamento com base nos sites que o usuário visite.
