O que são cookies? Entenda como usá-los com segurança

Se você já fez compras online, acessou alguma matéria em algum site por aí, ou mesmo foi visitar a página de uma empresa, já se deparou com uma tela em comum: 🍪 configurações de cookies 🍪. Eles são cruciais para nossa navegação, mas causam dúvidas sobre como funcionam e como coletam nossos dados durante o acesso a essas páginas, além de outras questões. Aqui, você fica por dentro do que cada configuração faz e como decidir entre as opções disponíveis. Vamos lá:

Afinal, o que são cookies? Por que são importantes?

Os sites que você viu na introdução deste artigo e vários outros precisam registrar dados sobre as pessoas que visitam suas páginas, para que a navegação seja feita de forma mais estável. Assim, informações como sua localização, itens que você adiciona a um carrinho de compras na internet e até mesmo o horário do acesso a um site podem ajudar a fornecer o conteúdo com maior relevância para você: é essa a função cumprida pelos cookies, ou “biscoitos” em inglês.

Eles são arquivos de texto que servem para identificar o seu dispositivo no momento em que se conecta a uma rede. Como cumprem a função de captar dados durante uma sessão de uso de uma página na internet, são chamados de cookies HTTP (sigla para Hyper Text Transference Protocol, ou Protocolo de Transferência de Texto, em tradução livre). Ou seja, o momento em que você navega é importante para que esses dados sejam coletados e armazenados no navegador. Dessa forma ele já vai estar preparado para quando você fizer alguma compra em uma loja online de sua preferência.

Eles são diferentes de outros tipos de arquivos de dados, como os Magic Cookies. Eles servem para funções de segurança mais robustas, como o acesso a uma base de dados, por exemplo. O conceito serviu de base para a criação desses arquivos de dados que estamos vendo aqui: em 1994, o programador Lou Montulli resolveu ajudar um supermercado a contar com um serviço mais ágil, diminuindo a carga de dados nos servidores.

A solução encontrada por Montulli deixava o site menos congestionado com as informações dos usuários. Depois do novo recurso criado por ele, os servidores dos sites poderiam enviar aos navegadores os dados de navegação de cada usuário, facilitando o carregamento das páginas online. Apesar do desenvolvedor ter criado os cookies há quase 30 anos, foi só em 2007 que ele obteve uma patente para a tecnologia de registro.

É provável que o nome cookie venha do uso dos arquivos para funções de segurança, já que eles serviram de inspiração. Mas há outra possibilidade de origem: a história de João e Maria. Os dois personagens se perdem no meio de uma floresta no meio da narrativa e, para poderem se localizar, espalham pedaços de biscoito pelo caminho, para traçar a sua rota. Assim, eles evitam se perder, graças aos seus “cookies“.

Hoje, os cookies funcionam mais ou menos como conseguir um recibo sobre um produto. Simplificando: os dados coletados no momento de acesso ao site podem ser desde a própria conta usada (o seu nome de perfil, por exemplo), a outras páginas da internet que você visitou antes; depois, uma identificação é associada a essas informações fornecidas; assim que você acessar o site que coletou dados relativos a sua navegação, em outro momento, o navegador vai entregar ao servidor a identificação associada a esses dados já arquivados, para poder carregar os recursos conforme a sua utilização, usando os cookies.

Porém, o que pode ser um ponto arriscado em relação a esse tipo de arquivo de dados é a ação de pessoas mal intencionadas, que podem se aproveitar dos cookies, sobretudo no caso de uma configuração não apropriada. Ao final deste artigo, você vai ficar por dentro de possíveis riscos.

Tipos de configurações de cookies: como escolher

Os cookies são analisados pelos navegadores web por meio da linguagem JavaScript, que utiliza um método conhecido como nome-valor. Basicamente, os browsers usam pares de dados, em que um nome é usado para identificar um dado em específico, relacionado ao usuário. Assim que essas informações são analisadas, você consegue retomar a navegação em alguma página que precise de um login para ser acessado, por exemplo.

Esse uso é conhecido como administração de sessão, para melhorar a funcionalidade da página. Dessa forma, você se mantém no do site, conseguindo usar os recursos sem problemas (afinal, não queremos ter que inserir login e senha sempre que abrimos alguma rede social, né?). Existem outros dois:

• Personalização: anúncios personalizados conforme a navegação do usuário, junto a recursos do site, que passam a oferecer conteúdo guiando-se pelos cookies. Essa estratégia serve para conseguir a permanência de um usuário numa página, por mostrar conteúdos que possam soar interessantes para você.
• Rastreamento: os sites podem ir atrás do que os usuários viram em outras páginas da internet, permitindo sejam mostrados serviços, produtos etc. que eles possam chamar a sua atenção. Um exemplo de uso dessa estratégia: sites de compra podem verificar o que você estava olhando antes, para oferecer alguma oferta conforme os seus interesses.

Ao conseguir esses dados de navegação, os administradores dos sites conseguem diminuir custos com o armazenamento dessas informações, já que os servidores conseguem ajudar no processo de carregamento dos conteúdos. Esses arquivos são armazenados no momento de uso das páginas, mas não necessariamente identificam a pessoa que está vendo o site. Logo, os cookies são coletados de forma anônima, apenas para facilitar a experiência do usuário.

Para complementar essas áreas de cobertura de dados de navegação, vamos conferir agora as configurações oferecidas por provedores de privacidade em geral (no tópico a seguir, você conhece outros serviços do tipo), analisando os principais tipos. É ideal estar por dentro de algumas delas, antes de aceitar cookies, quando precisar escolher as configurações desses arquvios de dados. Confira:

• Cookies estritamente necessários: são aqueles que facilitam o acesso aos recursos de uma página na internet, ainda mais no caso de informações que precisam estar protegidas. Ajudam na manutenção de itens essenciais para ter acesso a uma página;
• Cookies de desempenho: são voltados a coletar informações que podem ter relação com o acesso, como páginas visitadas por você, mensagens enviadas pelos próprios sites para quem os acessa (como notificações), entre outras funções, servindo principalmente para alertar provedor da página a encontrar possíveis erros;
• Cookies de funcionalidade: procuram ver quais são características associadas a um usuário quando acessa uma página, coletando a localização de um dispositivo, por exemplo. Estão associados a personalização: se você muda a cor do site, o tamanho da fonte, vídeos acessados, entre outros, esses cookies coletam essa informação para memorizar as escolhas já feitas;
• Cookies de publicidade: assuem o papel de coletar informações da navegação úteis para indicar anúncios, mas também servem para analisar quantas vezes uma publicidade foi vista, quantas vezes ela resultou em alguma ação por parte do usuário (se clicou em algum produto, se houve cadastro etc.), entre outras atividades relacionadas;
• Cookies das redes sociais: aparecem quando recursos de uma rede social está dentro de outro site, servindo para verificar o que um dispositivo está vendo em um artigo, notícia, ou qualquer outra página na internet. Vídeos do YouTube, por exemplo, coletam cookies para a plataforma, assim seu feed passa a conter conteúdos relacionados à mídia que você estava vendo fora do próprio YouTube;
• Cookies coletados de usuários/analíticos: são arquivos de dados de navegação mais sensíveis, já que se encontram dentro de recursos internos de páginas, tendo como função melhorar o funcionamento dos sites durante esse acesso mais imersivo. Podem usar dados de usuários, desde haja concessão, mas, em geral, não são cedidos a terceiros.

Provedores de segurança e de cookies comuns: alguns exemplos

As configurações podem ser criadas tanto pelos responsáveis dos sites, como por empresas terceiras. Em geral, elas atuam em tecnologias que garantem segurança de dados e de privacidade na internet, como a One Trust, que possui uma subsidiária no Brasil. Há também a possibilidade de fazer um uso cruzado de cookies de outros sites, como redes sociais, sites de empresa, ou provedores de vídeo, como o YouTube.

No caso de cookies que venham nesse esquema em rede, é preciso ter cautela. Os arquivos que coletam dados de navegação podem ser criados a partir da visualização do anúncio com a capacidade de serem usados para fazer um rastreio sobre os conteúdos visitados por você. Já em relação aos provedores a situação é diferente, porque os programas de privacidade possuem um controle que deixa o site menos dependente de informações sobre a navegação fora dele. Vamos conhecer mais sobre alguns deles:

OneTrust

A OneTrust se descreve como uma empresa encarregada de trazer inteligência sobre dados, ao mesmo tempo em que busca promover a confiança para utilização de dados. Além desse objetivo, a empresa auditora também promove ações em relação à proteção de arquivos na nuvem; política de privacidade; controle em governança, risco e conformidade (GRC). Dessa forma, a OneTrust se insere tanto na segurança da informação compartilhada nas redes, como na boa qualidade da gestão dessas informações.

Empresas brasileiras e sites daqui usam o serviço para assegurar os dados coletados: é o caso de ReclameAQUI, Companhia Energética de Minas Gerais (Cemig), Unimed. Na descrição dos serviços prestados pela OneTrust, podemos ver que a empresa atua com equipes de proteção de dados, marketing, auditoria e setores afins de diversos clientes, atuando conforme a Lei Geral de Proteção de Dados (LGPD). Ainda, um dos compromissos assumidos pela auditora de dados de navegação é envolver as empresas atendidas em um compromisso ético de respeito em relação ao tema.

TRUSTe

A TRUSTe, administrada pela TrustArc, opera com regulações fortes, baseadas no seu regimento de Critérios de Avaliação das Práticas de Privacidade Empresarial e Governança de Dados. Ou seja, as empresas que trabalham com os recursos da auditoria em governança de dados devem estar cientes dessas diretrizes e precisam adaptar a privacidade de seus recursos considerando esses critérios.

Ao mesmo tempo, a provedora de segurança e privacidade também se espelha em regulações internacionais, como no General Data Protection Regulation (GDPR; Regulamento Geral sobre Proteção de Dados) da União Europeia, e em leis brasileiras (LGPD).

Ao operar com dados de navegação, a TRUSTe atua com consultoria de privacidade, gerenciamento de dados, direitos dos consumidores, além de fornecer serviços contra vazamento de informações e treinamentos. Empresas que trabalham com os sistemas do provedor são conhecidos em todo o mundo: Mastercard, Adobe, IBM, Yamaha são alguns exemplos.

Alation

Alation, outra empresa que trabalha com uma plataforma de inteligência em dados, trabalha com pesquisas, governança e análises de extensas bases de dados, fornecidas pelas empresas com as quais atua. Por isso, a companhia de inteligência em dados se descreve como pioneira em catalogação de informações, procurando inovar ao desenvolver suas ações.

Seu alcance está disseminado em 34 diferentes tipos de indústria. Como clientes, a Aliation atende algumas marcas famosas: Riot Games, LinkedIn, GoDaddy e Mercado Livre estão na lista de empresas que contam com o serviço de inteligência. No entanto, diferente das demais empresas, o serviço da Alation não se insere na captação de dados, mas no momento da análise das bases fornecidas pelos seus clientes.

BigID

“Informações de dados mobilizáveis“: é dessa forma que a empresa BigID se descreve em sua página inicial. Sua gama de atividades e serviços oferece diversas aplicações: localização, privacidade, proteção, além de classificação, catalogação e cruzamento de dados estão no rol do que a empresa oferece para seus clientes.

Empresas de tecnologia de grande importância, como a IBM, o Google, o Slack, a Adobe, e GitHub. Essas e outras companhias são atendidas com diferentes serviços: automação; visão geral sobre dados e privacidade; inteligência de dados automatizada, entre outros.

Em um dos avanços mais recentes, a BigID está começando a atuar de forma mais efetiva numa área conhecida como Data Security Posture Management, ou DSPM (Gestão de Modelo de Segurança de Dados, em tradução livre), que procura avaliar possíveis riscos associados a bases de dados, como configurações equivocadas e outros tipos de vulnerabilidades.

AdOpt

Talvez um dos mais conhecidos provedores de segurança e de gerenciamento de dados, a AdOpt aparece em muitos sites brasileiros, incluindo veículos como Exame, Meio&Mensagem, e bancos estatais, como a Caixa. Adequada à LGPD, a AdOpt cria banners de cookies otimizados, permitindo que as empresas, que usam o seu serviço, gerenciem as configurações de cookies disponíveis de forma personalizada.

Uma das principais características do provedor é a criação de tecnologias e recursos para aplicações na internet, como plug-ins: a AdOpt oferece uma opção que pode ser incluída no WordPress, por exemplo. Seu plano gratuito oferece vantagens diversas: desde bloqueio de criação de arquivos com dados sobre a navegação de usuários com sites terceiros; relatórios de consentimento; até indicadores de desempenho e a criação de acordos de concessão de dados de navegação.

Política de privacidade e uso de cookies de publicidade no marketing

No dia a dia do uso da internet, você já deve ter se deparado com um contrato que você desvia facilmente da leitura: a política de cookies. Ela é um regimento descritivo, que indica tudo que o site é responsável por fazer com os dados das pessoas que acessam uma aplicação ou site, indicando informações como dados utilizados e sua proteção, suas preferências, utilização do que é coletado, entre outras seções.

Os documentos que contém essas políticas explicam o que serve para o site, em termos de dados de navegação, e também mostram qual o potencial de uso para o marketing. Em relação às ações de estratégia de comunicação e venda de marca, existe uma proximidade maior, já que envolve trocas de e-mails e mensagens diretas.

Ao baixar aplicativos, a política de cookies também está presente. Uma vez instalado, um app pode captar dados de uso, com notificações e outros tipos de mensagens enviadas para você. Com o passar do uso do aplicativo, as interações e respostas a esses estímulos para consumo das comunicações de alguma marca, por meio de comunicação digital, gera informações para aplicar estratégias voltadas ao marketing.

Dessa forma, um dos principais objetivos de mostrar a regulação da privacidade ao usuário (que, na maioria das vezes, é aceita sem muita análise) é informar sobre as ações que vão ser feitas para direcionar melhor a comunicação da marca. Isso vale tanto para um site ou aplicativo, que procura converter usuários em novos consumidores.

Ao acessarmos algum site, mídia social, ou aplicativo, então, temos que pensar qual a maneira que as informações divulgadas vão ser utilizadas. Para isso, a maioria dos aplicativos contém uma seção chamada de configurações de privacidade, onde você consegue saber o que está sendo cedido ou não. A partir disso, é possível ter uma dimensão maior de como os cookies são operados e escolher as configurações que vão ser mais apropriadas para o uso de alguma aplicação na internet.

Com a concessão de uso de seus dados, as empresas responsáveis pela política de privacidade aplicada podem fazer diferentes operações com as informações. As regulações de diferentes governos sobre dados de navegação, entre outras informações de privacidade, ajudam a tornar essas políticas mais acessíveis, com maior controle das pessoas, entre outras melhorias.

Lei Geral de Proteção de Dados: veja qual a relação da regulação com os cookies

A partir de 2020, as empresas que utilizam dados de usuários, incluindo por meio de cookies, tiveram que se adequar a uma regulação recente: a Lei Geral de Proteção de Dados. Após a adaptação às exigências da LGPD, os dados captados devem obedecer a exigências como transparência sobre armazenamento, compartilhamento, e outras formas de utilização por parte dos responsáveis.

Já as empresas que realizam essas atividades com bases de dados devem obedecer aos critérios da lei em todo o território no Brasil, mesmo que a empresa que tenha gerência sobre essas informações se localize fora daqui. As informações ligadas a pessoas estrangeiras também têm cobertura da LGPD, desde que a pessoa esteja no Brasil.

A lei procura dar divisões bastante específicas sobre como os dados de usuários são armazenados. Por isso, a LGPD avalia não só dados pessoais de quem acessa algum site que coleta informações privadas, mas também procura impor regras sobre a própria visita a alguma plataforma. Ao mesmo tempo, há o estabelecimento de algumas multas para quem descumprir essas normas. No momento da aplicação das penalidades, são considerados:

• infrações envolvidas com direitos das pessoas;
• a intenção por trás da ilegalidade cometida (se houve intenção ou não de causar o problema, qual o objetivo etc.);
• reincidência e grau do dano causado;
• adoção de boas práticas, considerando uma gestão apropriada e governança de bases de dados;
• proporção entre o dano causado e a intensidade do erro.

Na própria lei, vemos que há características que são requisitos a serem cumpridos por quem gerencia de alguma forma os dados de navegação e uso de serviços virtuais. Eles estão seguem uma coerência com a Constituição Federal, para dar garantias tanto às empresas responsáveis pelos serviços digitais que operem com bases de dados, como aos usuários incluídos nesses conjuntos de informações. Portanto, a LGPD exige a obediência de dez princípios:

• Finalidade. Os responsáveis devem expor como cookies e outros tipos de bases vão ser usadas, devendo expor seus objetivos com a maior clareza possível, dando especificações sobre as práticas;
• Adequação. As atividades a serem feitas com as bases dos usuários precisam ser compatíveis com os serviços em operação;
• Necessidade. Os dados que são utilizados ficam restritos aos usos que estão na política criada pelo responsável, devendo ser tratados conforme as finalidades;
• Livre acesso. Os usuários podem saber como o tratamento dos dados será feito e em quanto tempo as atividades que envolvem cookies e arquivos semelhantes vão ocorrer;
• Qualidade dos dados. Os usuários devem ser informados também sobre o caso de atualização sobre as regras que envolvem o uso de dados de navegação, com a garantia de deixar tudo explícito e de exposição sobre a relevância de cada informação operada;

• Transparência. O uso de informações dos usuários precisa ser exposto de forma acessível, mostrando como as bases são tratadas. Porém, isso não inclui segredos comerciais e outros materiais que podem comprometer quem trata essas bases de dados;
• Segurança. Aceitar cookies deve ser uma atividade que não gere riscos por usos não autorizados, ou por situações acidentais, alterações de bases, difusão inadequada e outros problemas semelhantes;
• Prevenção. Os riscos associados ao tratamento de dados de usuário devem ser premeditados, havendo medidas e protocolos para os casos em que haja os problemas incluídos no princípio de segurança;
• Não-discriminação. Nenhum uso de bases de informações de usuários pode ser feito com propósitos discriminatórios ou abusivos;
• Responsabilização. A garantia da proteção deve conter, também, métodos de cumprimento das regras de segurança, que envolvam métricas e outras formas de observação sobre a eficácia do atendimento às normas estabelecidas.

Por que cookies podem ser perigosos?

Em entrevista à agência AFP, o criador dos cookies, Lou Montulli, alertou que os arquivos de dados pessoais não foram pensados para realizar qualquer tipo de rastreio: chegou a relembrar do propósito de sua contribuição — “Os cookies foram originalmente projetados para fornecer privacidade“. Acontece que o propósito de ajudar os sites a coletarem informações sobre navegação foi crescendo com o passar do tempo, a ponto dos cookies virarem uma ferramenta crucial para a publicidade na internet.

“Minha invenção está na raiz de muitos esquemas de publicidade, [mas] é apenas uma tecnologia central para permitir que a web funcione”

Lou Montoulli

O perigo, segundo ele, não está nos cookies que vieram ajudar os sites para guardar informações de cadastro e de uso, chamados geralmente de cookies primários, necessários ou essenciais (em inglês, first-party cookies). Está nos cookies de terceiros (third-party cookies), gerados na maioria das vezes por anunciantes, que procuram saber quais são os hábitos de uso das pessoas ao navegar na internet.

“Caso você procure por algum produto estranho de nicho e, logo em seguida, for bombardeado com anúncios desse item em vários sites, acontece uma experiência esquisita”

Lou Montoulli

O que pode ser chamado de “perigo” está relacionado à maneira em que os dados de navegação estão sendo compartilhados e como isso fica transparente para os usuários. É exatamente por isso que cada vez mais os sites mostram opões de cookies, para que você decida que tipos de dados serão cedidos.

Ainda, existem ainda cookies que permanecem nos computadores, chamados de cookies zumbis: mesmo excluídos, eles reaparecem e são usados para monitorar histórico de busca. O risco que eles podem oferecer aumenta se tiverem sido criados por hackers.

Evitar riscos com cookies envolve, então, verificar com atenção as caixas de diálogo que aparecem para você. Nas opções que aparecerem, tente conferir se existe alguma opção que cite local data (“dados locais”) ou a opção customize (“customizar”). Caso não queira que eles operem durante a navegação do site que você está visitando, basta desmarcar as opções envolvendo esse tipo de dados.

Futuro dos cookies

Em 2024, o Google Chrome não vai mais aceitar cookies de terceiros em seu navegador. Como já vimos, eles servem para informar aos anunciantes como os usuários estão utilizando a internet, mostrando em que páginas estão, sem identificação. De olho nessa questão, outros navegadores estão passando também a restringir a ação de cookies de terceiros. Quanto a isso, a consultoria de mídia Advertising Perceptions avalia que pode haver até 17% de queda de desempenho, com a eliminação desse tipo de dado no marketing.

O tema também tem sido discutido com mais atenção por parte das empresas, porque várias punições vêm sendo aplicadas. Para dar uma ideia do tamanho dessa preocupação, no início de 2022 o Google e o Facebook foram multados na França em 237 milhões de dólares. Como surge essa necessidade de haver saídas para anúncios digitais livres dos “biscoitos”, alguns negócios estão começando a dar passos para arranjar soluções para dispensar dados de navegação.

Uma dessas tentativas ficar livre deles é a GumGum. Fundada em 2008 na cidade de Santa Monica, na Califórnia, a empresa de Inteligência Artificial tenta substituir o uso dos cookies por tecnologias de inteligência contextual. Funciona da seguinte forma: o conteúdo da internet é analisado pelo software — chamado de Verity — da empresa e procura observar palavras-chave e imagens num site; com esse conhecimento, o programa consegue escolher que tipos de anúncios podem ser mais apropriados para as páginas da internet. Essa estratégia garantiu para empresa clientes importantes, como os veículos Rolling Stone e a U.S. News.

Além de conseguir convencer investidores, a GumGum aumentou de forma significativa as vendas da Samsung. Para isso, o uso do Verity foi fundamental, resultando no crescimento de 3% no total de vendas do Samsung Galaxy Z Flip 3, dispensando, assim, o uso de cookies de publicidade para conseguir mais compradores do dispositivo. Outro aumento é esperado em relação ao uso de informações contextuais no marketing digital: é possível que a área consiga atingir, em todo o mundo, US$ 335,1 bilhões (mais de R$ 1,6 trilhão) até 2026, segundo os pesquisadores de mercado do Global Industry Analysts.

Ao adotar o contexto de palavras-chave e imagens de conteúdos para poder construir anúncios, o marketing pode virar um problema para as redes sociais. Elas passariam a não ser mais úteis para fornecer dados sobre uso de seus recursos. Esse fator, por sua vez, leva a outra consequência: converter usuários em clientes para produtos e serviços poderia virar um novo desafio. Dados privacidade, então, ficariam de fora do futuro do marketing, dando lugar a outras tecnologias que, em breve, podem virar tendência.

Política de privacidade do Showmetech

Você pode consultar a política de privacidade do Showmetech e conferir informações sobre os cookies usados pelo site, tempo de uso de dados e outros procedimentos que usamos por aqui, em relação à segurança.

Como você escolhe as configurações de cookies? Você já havia parado para pensar sobre a sua privacidade? Fala pra gente nos comentários!

Veja também:

19 formas de aumentar a privacidade no Instagram

7 extensões de navegador que protegem a privacidade online

Fonte: Kaspersky | Segmentify Tech (Medium) | CloudFlare | Accenture | Algar Telecom | BigID | Conselho Nacional do Ministério Público | Inc. | Content Grip

Revisado por Glauco Vital em 11/9/23.