Imagine a cena: você acessa o site de da loja X, navega pelas seções de produtos e coloca alguns no carrinho virtual. Não fecha a compra, por qualquer motivo, e parte para outro site. No dia seguinte, recebe um e-mail da loja X que te chama pelo nome e lembra que há itens pendentes no seu carrinho. Detalhe importante: você não forneceu seu e-mail ou qualquer outro dado pessoal à loja X. Como isso é possível? Graças a uma técnica chamada “cookie pool”.

Toda vez que você acessa um site na web, troca informações com ele. O site consegue captar alguns dados e, ao mesmo tempo, deixar outros no navegador do seu computador ou smartphone, geralmente em pequenos arquivos chamados “cookies”.

(Um parêntese importante antes de continuarmos: o cookie em si não é algo ruim. Ele serve para guardar dados de personalização e continuidade de um site — assim, por exemplo, você não precisa trocar o idioma ou inserir a senha de autenticação toda vez que acessá-lo. Mesmo os usos do marketing não são exatamente o problema. Só são quando o uso é feito de maneira sorrateira, sem o consentimento ou escondido em letrinhas miúdas enterradas em longos termos de uso que quase ninguém lê.)

A cookie pool é um amontado de cookies compartilhado entre vários sites, principalmente os de lojas virtuais.

Serviços de marketing que oferecem ferramentas de retargeting, como CartStack e ShopBack, têm suas próprias cookie pools. É através delas que as lojas/clientes conseguem descobrir o endereço de e-mail e outros dados de visitantes que nunca lhes forneceram um caractere sequer e entrar em contato, mesmo sem autorização direta para fazê-lo.

A documentação do CartStack explica o funcionamento de uma cookie pool:

O cliente entra em qualquer um dos 6.700 sites que usam o CartStack e neste site se cadastra, ou assina a newsletter, ou apenas loga para ver suas compras. Quando ele for para o seu site, basta ele abandonar o produto no carrinho, sem fazer mais nada, para que o CartStack possa captar esse carrinho abandonado e enviar e-mail convidando o cliente para voltar ao seu site e finalizar a compra.

Tive conhecimento dessa técnica no LinkedIn, lendo a postagem de um “growth hacker” que se gabava de ter conseguido “hackear” uma dessas cookie pools para enviar e-mails de conteúdo aos visitantes do seu blog. Não é necessário fornecer nenhum dado nem clicar em parte alguma; basta o acesso para que o sistema faça uma checagem da cookie pool e, caso encontre seu perfil lá, dispare o e-mail.

Embora seja pouco usual para sites de conteúdo, a técnica é bastante difundida entre lojas virtuais. A documentação da CartStack, citada acima, data de 23 de janeiro e o texto diz que, por mês, “mais de 200 novas lojas começam a usar o CartStack e o número de e-mails captados do Cookie Pool aumenta a cada dia”. A ShopBack não revela tais números em seu blog institucional ou documentação.

Performance vs. Privacidade

A ShopBack diz, em seu site, que o uso da sua ferramenta ShopTarget, que compreende a cookie pool, pode aumentar em até 35% as conversões, jargão do marketing que se refere à recuperação e venda de itens abandonados em carrinhos pelos visitantes. A CartStack promete, também em seu site, recuperar 15% ou mais dos visitantes que colocam algum produto no carrinho e o abandona.

São índices altos para os padrões do comércio eletrônico e que soam ainda mais tentadores aos lojistas porque se referem a clientes que, de outra forma, provavelmente jamais voltariam ao site para finalizar a compra.

Apesar da eficácia, a estratégia se choca com o direito à privacidade dos consumidores, um tema ainda não regulamentado no Brasil e que, não apenas por isso, é bastante controverso. A começar pelo contrato com as lojas, o documento jurídico que media a relação das partes. Por serem de adesão, ou seja, não negociáveis, o consumidor fica sem alternativa — ou ele aceita essa situação ou simplesmente não compra.

“Teoricamente, se está nos termos de uso da loja virtual ou política de privacidade que eles vão fazer isso com suas informações (cadastrais e do carrinho), e existiu o tal ‘consentimento expresso’, não haveria ilegalidade”, diz Jacqueline de Souza Abreu, coordenadora de pesquisa do InternetLab. Para ela, o Marco Civil da Internet (MCI) viabilizaria a criação de cookie pools por serviços brasileiros.

Danilo Doneda, advogado e professor da Universidade Estadual do Rio de Janeiro (UERJ), não está convencido disso: “Tachar de legal ou ilegal é difícil, porque não existe uma legislação no Brasil sobre privacidade de dados. O MCI fala ‘na forma da lei’, não na forma dele próprio”. Essa lei ainda não existe, há apenas um projeto referente a uma lei geral de proteção de dados pessoais tramitando no Congresso e que foi, no último dia 9 de março, objeto de uma nota pública do Comitê Gestor da Internet (CGI.br) pedindo urgência na apreciação da lei.

Mesmo com a ressalva, Doneda concorda que “seria difícil sustentar que há uma ilegalidade flagrante”, mas que se trata de “uma prática esquisita” porque, nos termos do MCI, a coleta e uso de dados pessoais só pode ser feita de maneira consentida e com clareza de finalidade e explicações destacadas nas cláusulas do contrato, algo que não se configuraria no caso das cookie pools.

Não é, de fato, uma questão simples. Abreu coloca outro aspecto capaz de paralisar o consumidor que não se sinta confortável com a apropriação dos seus dados:

“Podemos realmente dizer que a mera indicação disso em termos com letras minúsculas no rodapé do site garante o ‘consentimento expresso’ exigido pelo MCI? Se interpretado que sim, a meu ver ficaria evidente o estrangulamento desse modelo genérico tipo ‘textão cheio de termos jurídicos’ de notificação (estamos lendo mesmo esses termos e essa política que está supostamente me avisando que isso vai ocorrer? eu entendo mesmo as implicações disso?) e consentimento (a alternativa é não usar os sites que se engajam nesse tipo de prática — mas essa é uma alternativa ‘real’?). Então o segredo é qualificar e discutir o que é consentimento ‘expresso’ nesse caso.”

Ela lembra, também, que em alguns lugares onde a discussão está mais avançada a proteção aos dados é maior. Na Europa, que em maio colocará em prática um novo regime — a General Data Protection Regulation —, a autorização expressa é exigida e, muito provavelmente, as lojas não poderiam se recusar a prestar o serviço a quem não quisesse ceder o e-mail às cookies pools.

Doneda dá outro exemplo da dianteira europeia no tratamento do tema. Lá, faz alguns anos, todo site que utiliza cookies precisa avisar os visitantes e oferecer explicações de quais dados coleta e de que maneira os utiliza. Pode não ser a maneira mais efetiva, mas liga o alerta no usuário de que alguma coisa relacionada a esses cookies está acontecendo durante o acesso.

No Brasil, além do desconhecimento, os remédios de que o consumidor dispõe são escassos em decorrência da já referida falta regulação. Doneda acredita haver “um problema potencial de legalidade nessas práticas”, talvez até maior que o da captura de e-mails por cookie pools, porque o potencial invasivo das novas tecnologias é imenso.

“Em tese”, explica, “é uma questão que poderia ser levada a juízo. Com uma nova lei, espera-se que a discussão seja mais transparente, dando ao consumidor opções verdadeiras e não induzido silenciosamente a ter seus dados monitorados, sujeitos a remarketing”.

O problema não está na prática em si, mas na falta de transparência. Alguém que goste da personalização que alguma loja faz para, por exemplo, indicar produtos ou oferecer condições especiais, pode querer se sujeitar ao monitoramento dos hábitos de navegação. A diferença entre esse cenário e o que temos hoje é a ciência que (não) é dada ao consumidor e a (falta de) opção de não ceder seus dados.

A dimensão do problema tende a aumentar, o que faz crescer em igual medida a urgência de se regular a proteção a dados pessoais na internet. Em uma pesquisa recente com profissionais do marketing, 60% disseram que em até dois anos, não precisarão mais de cookies. O motivo seria a diminuição no uso da web, que é bem menos relevante em smartphones do que nos computadores, e da maior eficiência do “marketing baseado em pessoas” em vez do com base em cookies.

O Manual do Usuário tentou falar com as duas principais empresas que oferecem cookie pools no Brasil. A ShopBack (parte do grupo Linx) disse, por meio de assessoria, que não daria entrevista para esta reportagem. Na CartStack, Fernando Pinheiro, CEO da empresa, se disponibilizou para uma conversa, mas parou de nos responder após ser apresentado ao tema da pauta.

Como se proteger

Aos consumidores mais preocupados com a privacidade, Doneda recomenda duas ações de, nas palavras dele, “legítima defesa”: configurar as opções de cookies do navegador web — todos têm — e adotar bloqueadores de conteúdo, que impedem que os sites coletem dados profundos de navegação.

Outra ideia que pode funcionar, no caso do e-mail, é criar uma “alias” no momento do cadastro que identifique a loja em questão. Diversos serviços, como o Fastmail e o Gmail (do Google), permitem acrescentar um termo qualquer entre o nome do usuário e a arroba precedido por um sinal de mais. Assim, quando for se cadastrar na loja X, o e-mail informado poderia ser seunome+lojax@fastmail.com.

Não é possível dizer se os sistemas baseados em cookie pools são espertos o bastante para “limparem” os endereços. Se não, fica fácil descobrir o culpado: ao receber um e-mail destinado a esse endereço personalizado de outra loja que não a loja X, você saberá que quem o “vazou” foi a loja X.