Comecemos pelo pequeno ficheiro
Um cookie é apenas um ficheiro de texto. Um servidor deposita-o no seu navegador, o seu navegador guarda-o e na visita seguinte percorre o caminho inverso. Todo o processo demora milissegundos. O nome vem da informática antiga — magic cookies, tokens passados entre programas para que pudessem retomar uma conversa a meio de uma frase. Na web, a conversa que está a ser retomada é você. O que clicou, o que estava a comprar numa terça-feira às onze da manhã, o que começou a ler e abandonou silenciosamente. Os cookies são a forma como os sites se lembram, e sem eles cada carregamento de página é uma tela em branco — o site não tem a mínima ideia se esteve aqui há cinco minutos ou se nunca o visitou em toda a sua vida. Essa é a tecnologia. Neutra, por si só. Um mecanismo de memória. O que importa é para que é usada essa memória.As quatro razões
A maioria dos sites usa cookies para quatro fins, e não são todos igualmente inocentes. Sessões: um token de sessão num cookie indica ao site que este navegador já foi autenticado, pelo que não precisa de reescrever a sua palavra-passe. Preferências: idioma, região, definições de visualização — pequenas escolhas que não deveriam ter de ser repetidas e que por vezes se qualificam como estritamente necessárias quando servem algo que o utilizador efetivamente pediu, como uma seleção de idioma ou uma configuração de acessibilidade. Análise: ferramentas como o Google Analytics registam quais as páginas que visita, durante quanto tempo e de onde chegou. Esses dados voltam ao proprietário do site como números de tráfego e painéis de desempenho.Depois há o quarto. Os cookies publicitários — frequentemente colocados não pelo site em que se encontra realmente, mas por redes de terceiros a funcionar invisivelmente em segundo plano — rastreiam o seu navegador por dezenas de sites, construindo um retrato dos seus interesses que é vendido a anunciantes para que possam segui-lo pela internet com anúncios direcionados. Os dois primeiros servem-no, mais ou menos. O terceiro serve o proprietário do site. O quarto serve alguém que nunca conheceu, e o proprietário do site fica com uma comissão por o permitir. Isto não é um escândalo. É apenas o modelo de negócio da maior parte da web. O banner deveria ajudá-lo a saber quais destes quatro fins qualquer site estava realmente a usar. Nunca o conseguiu realmente.
Por que o banner existe sequer
A janela de consentimento de cookies não é uma tendência de design. É a Diretiva ePrivacy — uma diretiva da União Europeia de 2002, cujos requisitos de consentimento foram substancialmente reforçados pela alteração de 2009. Como é uma diretiva e não um regulamento, teve de ser transposta para o direito nacional por cada Estado-membro separadamente, o que explica em parte por que a aplicação variou tanto na UE durante tanto tempo. O âmbito de aplicação da diretiva é também mais amplo do que os cookies: abrange qualquer informação armazenada ou acedida no equipamento terminal de um utilizador, o que significa armazenamento local, píxeis de rastreamento, impressão digital do navegador, scripts de terceiros — os cookies são o exemplo mais visível, não o quadro completo.O RGPD, em vigor desde 2018, acrescentou mais peso ao tratar os identificadores em linha, incluindo os ID de cookies, como dados pessoais, posição reforçada pelo acórdão Planet49 do Tribunal de Justiça da União Europeia em 2019. Em conjunto, criaram uma situação em que quase todos os sites com visitantes europeus devem obter consentimento documentado, inequívoco e livremente dado para o rastreamento não essencial, ou não o utilizar. A aplicação não ficou apenas na teoria. A autoridade francesa de proteção de dados, a CNIL, multou a Google em 100 milhões de euros em dezembro de 2020 por colocar cookies sem consentimento válido. Dois anos depois, multou mais duas empresas num total combinado de 210 milhões de euros — especificamente porque o mecanismo para rejeitar cookies tinha sido tornado significativamente mais difícil de usar do que o mecanismo para os aceitar. O regulador sueco perseguiu empresas por designs semelhantes: uma opção de rejeição que estava tecnicamente presente mas tão profundamente enterrada que a maioria dos utilizadores desistia e clicava em aceitar. Os reguladores examinam agora não apenas o que diz um aviso de consentimento, mas como se sente a experiência real de o usar. O projeto de Regulamento ePrivacy, destinado a modernizar todo o enquadramento, está bloqueado num impasse legislativo no Conselho da União Europeia há anos e permanece sem resolução em 2026. A diretiva de 2002, na sua versão alterada, é ainda o que vigora. O enquadramento não está a suavizar-se.
O que o banner realmente é
Aqui está o que ninguém diz claramente o suficiente. A maioria dos banners de cookies não são funcionalidades de privacidade. São a formalidade legal que um site deve cumprir antes de fazer algo que ia fazer de qualquer forma. Chega, o banner aparece, a maioria das pessoas clica em aceitar porque está a bloquear o que vieram ler, e o rastreamento começa. Os estudos revelam que grandes maiorias aceitam sem ler — os números precisos variam consoante o estudo e o design, mas ninguém contesta seriamente a direção. O número real está próximo de todos os que simplesmente querem que aquilo desapareça.Quando rejeitar tudo é oferecido com igual destaque — o que os reguladores exigem agora, como essas multas da CNIL deixaram explícito — o site funciona sem a maquinaria que preferiria usar. O banner não produziu uma internet mais informada. Produziu um reflexo. Clicar, fechar, ler o artigo. A lei exigiu o aviso. O aviso não exigiu que ninguém se envolvesse com ele. Essa lacuna — entre o que o regulamento pretendia e o que realmente produziu na prática — é o que o banner é. Sentado em cada página inicial, cobrando um pequeno imposto de atenção a cada novo visitante, e fazendo aproximadamente nada pela privacidade de ninguém em troca.
Um site sem nada a rastrear
Vale a pena ser concreto sobre o que o PIWIWines realmente é, porque a abstração pode obscurecer um ponto simples. É um site de referência sobre vinho. Os vinhos PIWI, as castas resistentes a doenças, a viticultura sustentável. Os viticultores usam-no para pesquisar informações. Os profissionais do vinho usam-no. Os entusiastas usam-no. Ninguém faz login — não há contas. Não há preferências de utilizador para configurar ou guardar, porque não há nada a configurar. Não há anúncios: nenhum produtor pagou por uma colocação, nenhuma rede publicitária pagou pelo acesso aos dados dos visitantes. Não há nenhuma plataforma de análise a funcionar em segundo plano.Para que serviria sequer um cookie aqui? Não há nenhuma sessão a manter, nenhuma preferência a recordar para a próxima vez, nenhum padrão de comportamento que valha a pena construir, nenhum alvo publicitário a refinar. A pergunta responde-se a si mesma. Não são definidos cookies não como uma posição de princípio que exige um manifesto, mas porque genuinamente não há nada para o qual um cookie serviria num site como este.
A subtração como conformidade
As obrigações que vêm com os cookies — banners de consentimento, políticas de privacidade atualizadas sempre que um script de terceiros muda, registos de consentimento armazenados algures, vias de exclusão mantidas — tudo isto é desencadeado pelo uso de cookies em primeiro lugar. Deixe de os usar e as obrigações desaparecem em grande medida com eles. Nenhum banner para conceber ou pôr em conformidade através de testes A/B. Nenhum advogado especializado em políticas a consultar de seis em seis meses. Esta é a conclusão lógica do princípio sobre o qual o regulamento foi construído: recolha apenas o que precisa e se não precisa de nada, não recolha nada.Vale a pena assinalar uma coisa. Um site pode introduzir acidentalmente rastreamento por terceiros através de conteúdo incorporado — um vídeo do YouTube, um widget de partilha social, um mapa, um tipo de letra carregado de um servidor externo — qualquer um dos quais pode depositar ficheiros de rastreamento sem que o proprietário do site tenha escrito uma linha de código de cookie. O PIWIWines não usa conteúdo incorporado deste tipo. A ausência de rastreamento aqui não é um acidente por o site ser pequeno ou inacabado. É uma consequência de escolhas deliberadas sobre como foi construído.
O significado mais antigo de publicidade
A palavra publicidade costumava significar algo mais simples: tornar algo público, colocar informação à vista de todos. Há toda uma tradição nisso — avisos públicos, registos publicados, a ideia de que certas coisas pertencem ao espaço aberto em vez de estarem trancadas. Um site é por definição um ato público. Coloca algo num servidor e qualquer pessoa pode aceder-lhe. O PIWIWines publica informações sobre castas de uva híbridas interespecíficas — cruzamentos entre Vitis vinifera e outras espécies de Vitis como V. amurensis ou V. labrusca, criadas para resistência fúngica — juntamente com práticas de cultivo, perfis varietais e os vinhos que delas resultam. É a natureza interespecífica que confere às castas PIWI a sua resistência e o que as torna dignas de um recurso de referência dedicado. A informação está lá para quem a quiser. Sem necessidade de conta. Nada assemblado sobre si em troca de acesso.A indústria publicitária pegou na palavra publicidade e direcionou-a para algo completamente diferente: colocação paga, alcance direcionado, o negócio de identificar pessoas específicas com base no que os seus dados de navegação sugerem sobre as suas intenções de compra. Não é isso que está a acontecer aqui, e as duas coisas merecem ser mantidas distintas. O que aparece no PIWIWines reflete escolhas sobre o que é preciso e útil para as pessoas que trabalham na viticultura sustentável. Não escolhas sobre o que gera receita. Um site de referência só vale a confiança que as pessoas nele depositam, e essa confiança depende de genuinamente não haver nada que puxe as decisões editoriais numa direção comercial. Se não há nada de que ser independente, a independência nem sequer é uma questão que precise de resposta.
Quando chega
Quando abre uma página no PIWIWines, nada é armazenado no seu navegador pelo site. Nenhum ficheiro de cookie criado, nenhum identificador do lado do cliente atribuído. Como qualquer site, os registos do servidor gravam dados básicos de pedidos, incluindo endereços IP — isso é uma parte padrão do funcionamento do alojamento web e serve fins legítimos de segurança e técnicos — mas esses dados não são confrontados com um perfil das suas visitas anteriores, não são introduzidos num sistema de segmentação, não são usados para análise comercial. Ao abrigo do RGPD, um endereço IP conta como dados pessoais, pelo que qualquer site que os processe opera dentro desse enquadramento, mesmo sem cookies de todo. A posição honesta não é que o PIWIWines não recolhe nada em qualquer sentido técnico. É que não recolhe nada sobre si para fins comerciais e nada que exija o seu consentimento antes de poder simplesmente ler o que veio aqui ler.Não há banner de cookies porque não há cookies. Não porque o banner foi esquecido, não porque ninguém teve oportunidade de o fazer, mas porque a pessoa que construiu este site decidiu que um site sobre vinho e castas de uva não tem nada a ver com o rastreamento das pessoas que o lêem. Isso revela-se tanto a decisão certa como a mais fácil de manter.