Os cookies foram um dos recursos mais afetados pelas novas leis de privacidade do Brasil (LGPDP) e da Europa (GDPR), entretanto esse não é único método de armazenamento local que existe.
A especificação do HTML5 traz consigo recursos mais sofisticados que os cookies para gravar informações no dispositivo do usuário, porém eles são pouco conhecidos.
Neste artigo, conheceremos dois desses recursos, que também são afetados pela GDPR e pela LGPDP.
Web Storage
O primeiro recurso de armazenamento que discutirei é o Web Storage (ou armazenamento DOM), que permite gravar pelo menos 5 MB de informação no dispositivo do usuário por domínio, contra 4 KB dos cookies (o limite pode variar dependendo do navegador), ou seja, 1280 vezes mais informações.
As informações do Web Storage são armazenadas na forma de texto, entretanto, ao acessar uma página que utiliza esse recurso, os dados não são enviados automaticamente para o servidor, como ocorre nos cookies.
A razão disso é que o Web Storage foi criado para aplicações do lado do cliente, isto é, que não precisam de um servidor para processar as informações. Entretanto, utilizando JavaScript, podemos enviar os dados armazenados para um servidor facilmente.
Existem duas formas de utilizar esse recurso. A primeira consiste em armazenar dados que permanecem gravados até o usuário fechar o navegador (sessionStorage).
A segunda forma consiste em armazenar os dados por tempo indefinido (localStorage), isto é, os dados ficam gravados até que o usuário limpe o cache do navegador ou até que a aplicação que utiliza esses dados apague-os.
IndexedDB
O IndexedDB é uma API (Indexed Database API) com recursos mais avançados que os cookies e o Web Storage. Com essa API, é possível criar um banco de dados no dispositivo do usuário, onde cada objeto armazenado possui uma chave associada.
Ao contrário do Web Storage e dos cookies, que armazenam informações na forma de texto, o IndexedDB permite armazenar estruturas de dados mais sofisticadas, que são gravadas por tempo indefinido.
Como as leis de privacidade afetam esses recursos?
Se qualquer um dos recursos anteriores for utilizado para processamento de dados pessoais, então você deve pedir o consentimento do usuário para poder utilizá-los, conforme a GDPR e a LGPDP.
Entretanto, existe uma regra extra na União Europeia: a diretiva ePrivacy. Já discutida no blog, a diretiva ePrivacy estabelece que o uso do armazenamento do dispositivo do usuário só pode ser feito se o mesmo permitir.
Em outras palavras, mesmo que você não utilize o Web Storage, os cookies ou o IndexedDB para processamento de dados pessoais na Europa, especificamente nos países onde a diretiva ePrivacy é adotada, você deve pedir o consentimento do usuário.
Esses recursos devem ser utilizados com cuidado, pois como o consentimento do usuário não pode ser "infinito", então devemos criar mecanismos que permitam eliminar os dados armazenados quando o consentimento expirar, um vez que tanto o IndexedDB como o Web Storage não permitem definir a data de expiração dos dados. O mesmo vale para a revogação de consentimento.
Nenhum comentário:
Postar um comentário