Em outubro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais.
O foco do Guia é orientar os agentes de tratamento sobre a coleta de dados pessoais realizada por meio dos cookies no acesso a páginas eletrônicas.
Nesse texto será apresentado um resumo do Guia Orientativo.
O que são cookies?
O Guia define como cookies os “arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive dados pessoais em algumas situações, visando ao atendimento de finalidades diversas”.
Categorias de cookies
São quatro as categorias comumente utilizadas para se definir cookies:
- Cookies de acordo com a entidade responsável pela sua gestão;
- Cookies de acordo com a necessidade;
- Cookies de acordo com a finalidade; e
- Cookies de acordo com o período de retenção das informações.
Cookies de acordo com a entidade responsável pela sua gestão
Subdividem-se em cookies próprios (ou primários) ou cookies de terceiros.
São cookies próprios aqueles definidos diretamente pelo site ou aplicação que o titular está utilizando. Não podem ser usados para rastrear a atividade de outro site e incluem informações como credenciais de login, itens de carrinhos de compra e idioma preferido do usuário, por exemplo.
Já os cookies de terceiros são criados por um domínio diferente daquele visitado pelo titular. O exemplo mais comum é o de cookies para exibição de anúncios.
Cookies de acordo com a necessidade
São divididos em cookies necessários e cookies não necessários.
Os cookies necessários visam fazer com que o site ou aplicação funcionem corretamente. Por sua vez, os cookies não necessários são aqueles cuja desabilitação não impedem o funcionamento do site ou aplicação.
Cookies de acordo com a finalidade
Cookies de acordo com a finalidade podem ser categorizados em cookies analíticos, ou de desempenho, cookies de funcionalidade e cookies de publicidade.
Os cookies analíticos medem como os usuários utilizam o site, quais páginas visitam com mais frequência e rastreia a ocorrência de erros na utilização do site.
Os cookies de funcionalidade servem para proporcionar o fornecimento de serviços básicos solicitados pelo usuário. Possibilitam, assim, que sejam armazenadas as preferências sobre o nome de usuário, região, idioma etc, incluindo cookies próprios, de terceiros (ambos mencionados linhas atrás), persistentes e de sessão (abordados no ponto seguinte).
Os cookies de publicidade servem para exibir anúncios através da medição dos hábitos de navegação do usuário. Uma das finalidades é proporcionar a exibição de anúncios personalizados.
Cookies de acordo com o período de retenção das informações
Esses cookies categorizam-se em de sessão, ou temporários, e persistentes.
Os cookies de sessão coletam e armazenam informações enquanto o usuário acessa o site e são descartados após o encerramento da sessão. Geralmente, são utilizados para uma finalidade específica temporária, como a colocação de produtos no carrinho de compras, por exemplo.
Os cookies persistentes ficam armazenados e podem ser acessados e processados por um período definido pelo controlador, que varia de alguns minutos a vários anos.
A utilização de cookies persistentes deve ser avaliada criteriosamente, pois as ameaças à privacidade podem ser reduzidas caso não utilizados. Se a utilização for realmente necessária, recomenda-se limitar sua duração no tempo o quanto for possível.
Principais disposições da LGPD aplicáveis aos cookies
Por se tratar de tratamento de dados pessoais, logicamente a Lei Geral de Proteção de Dados Pessoais se aplica na sua integralidade.
No entanto, o Guia destaca algumas disposições da LGPD.
Entre os princípios previstos no artigo 6º, o Guia menciona os princípios da finalidade, da necessidade, da adequação, do livre acesso e da transparência.
Não é admissível a indicação de finalidades genéricas. Além disso, a coleta dos dados deve ser limitada ao mínimo necessário para a realização das finalidades legítimas, explícitas e específicas, observada a impossibilidade de tratamento posterior de forma incompatível com essas finalidades.
Ao agente de tratamento é obrigatório o fornecimento de informações claras, precisas e facilmente acessíveis aos usuários a respeito da forma de tratamento, do período de retenção e das finalidades.
Além disso, deve ser indicado ao titular como gerenciar as preferências de cookies, incluindo como os cookies podem ser excluídos e como desabilitar os cookies de terceiros.
As informações podem ser indicadas, por exemplo, em banners apresentados após o acesso a uma página na internet e, de forma mais detalhada, em Políticas de Cookies.
O Guia também realça, entre os dispositivos da LGPD, o artigo 18, que trata dos direitos do titular, e as chamadas bases ou hipóteses legais previstas nos artigos 7º e 8º.
No tocante aos direitos do titular, é importante que seja disponibilizado ao titular mecanismo de gerenciamento dos cookies, sendo proibida a coleta indiscriminada de dados pessoais.
Com relação às bases legais, o Guia destaca o consentimento e o legítimo interesse.
Quando a base legal for o consentimento, não se admite a sua inferência ou obtenção de forma tácita. Ou seja, é necessária a manifestação de vontade positiva do titular.
Portanto, nesse particular, não é recomendável a utilização de banners de cookies com opções de autorização pré-selecionadas ou a adoção de mecanismos de consentimento tácito, como a pressuposição de que, ao continuar navegando em uma página, o titular consentiria com o tratamento de seus dados pessoais.
O consentimento, assim, não deve ser utilizado como base legal para os cookies estritamente necessários, sendo correta a sua utilização para cookies com fins publicitários, por exemplo.
O legítimo interesse é a base legal aplicável aos cookies estritamente necessários e pode ser a base legal para cookies analíticos ou de medição.
Política de cookies e banner de cookies
A Política de Cookies deverá trazer informações claras sobre as finalidades específicas que justificam a coleta, sobre o período de retenção e sobre o compartilhamento com terceiros.
É importante salientar que a Política de Cookies é diferente do banner de cookies. O banner de cookies é um recurso visual para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies, podendo apresentar o link para acesso à Política de Cookies.
Além das informações resumidas, o banner deve fornecer as ferramentas para o usuário ter controle sobre o tratamento, estabelecendo-se como boa prática a apresentação de banners de primeiro e de segundo níveis.
No banner de primeiro nível deverá ser permitida a rejeição ou aceitação de todos os cookies não necessários, além de ter um botão que remete o usuário ao banner de segundo nível. Segue exemplo de banner de primeiro nível:
(fonte: Guia Orientativo de Cookies/ANPD)
No banner de segundo nível, exemplificado abaixo, serão apresentadas as categorias dos cookies, com a descrição resumida das finalidades de cada uma, oportunizando ao usuário a aceitação ou rejeição dos cookies:
(fonte: Guia Orientativo de Cookies/ANPD)
Por fim, o Guia orienta que se evite, no banner de cookies, a utilização de um único botão quando a base legal for o consentimento. Por exemplo, disponibilizar ao usuário apenas a opção “aceito” ou “ciente”. Deve ser oportunizado o gerenciamento.
Também deve-se evitar dar maior destaque ao botão de aceite, que sejam apresentados cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular, a disponibilização de Política de Cookies somente em idioma estrangeiro entre outras práticas mencionadas no Guia.
Como podemos te ajudar?
A Tisi Advocacia presta consultoria em proteção de dados pessoais, atendendo empresas que necessitam se adequar à Lei Geral de Proteção de Dados Pessoais.
André Tisi