O Guia da ANPD sobre cookies e proteção de dados pessoais
January 17, 2023
Cookies continuam sendo uma fonte de preocupação para as autoridades responsáveis pela proteção de dados em todos os países, ainda mais se for considerada a falta de transparência na coleta e no uso de muitos desses dados. Eis que a Autoridade Nacional de Proteção de Dados (ANPD) emitiu um guia orientativo para lidar com cookies no Brasil, embora a própria Lei Geral de Proteção de Dados (LGPD) não tenha exibido regras específicas a respeito do tema. Até por isso, esse guia da ANPD surge em bom momento para dirimir dúvidas e servir como base para orientar a todos sobre como tratar o tema no Brasil.
O guia inicia com a definição de cookies: arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas, inclusive o funcionamento adequado de algumas páginas de internet que são customizadas a partir dos dados coletados pelos cookies.
A propósito, como os cookies podem conter informações que se refiram diretamente a pessoas naturais ou, ainda, permitir indiretamente a sua identificação – mediante, por exemplo, a realização de inferências e o cruzamento com outras informações e, por vezes, por meio da formação de perfis comportamentais –, tais cookies acabam contendo dados pessoais, que são protegidos pela LGPD.
O guia classifica os cookies em macrocategorias, de acordo com:
1. a entidade responsável por sua gestão.
2. a necessidade.
3. a finalidade.
4. o período de retenção das informações.
Os cookies, de acordo com a entidade responsável por sua gestão, são classificados em:
Cookies próprios ou primários
são aqueles definidos diretamente pelo site ou
aplicação que o titular está visitando. Os cookies
primários geralmente não podem ser usados para rastrear
a atividade em outro site que não seja aquele em que
foi colocado. Este tipo de cookie pode incluir
informações como credenciais de login, itens do
carrinho de compras ou idioma preferido.
Cookies de terceiros
são aqueles criados por um domínio diferente do que o
titular está visitando. Decorrem de funcionalidades de
outros domínios que são incorporadas a uma página
eletrônica, a exemplo da exibição de anúncios.
Os cookies, de acordo com a necessidade, são classificados em:
Cookies necessários
são aqueles utilizados para que o site ou aplicação
realize funções básicas e opere corretamente. Por isso,
a coleta da informação é essencial para assegurar o
funcionamento da página eletrônica ou para a adequada
prestação do serviço. Dessa forma, as atividades
abrangidas como estritamente necessárias incluem
aquelas relacionadas à funcionalidade específica do
serviço, ou seja, sem elas o usuário não seria capaz de
realizar as principais atividades do site ou aplicação.
Essa categoria se restringe ao essencial para prestar o
serviço solicitado pelo titular, não contemplando
finalidades não essenciais, que atendam a outros
interesses do controlador.
Cookies não necessários
são aqueles que não se enquadram na definição de
cookies necessários e cuja desabilitação não impede o
funcionamento do site ou aplicação ou a utilização dos
serviços pelo usuário. Nesse sentido, cookies não
necessários estão relacionados com funcionalidades não
essenciais do serviço, da aplicação ou da página
eletrônica. Exemplos incluem, entre outros, aqueles
utilizados para rastrear comportamentos, medir o
desempenho da página ou serviço, além de exibir
anúncios ou outros conteúdos incorporados.
Os cookies, de acordo com a finalidade, são classificados em:
Cookies analíticos ou de desempenho
possibilitam coletar dados e informações sobre como os
usuários utilizam o site, quais páginas visitam com
mais frequência naquele site, a ocorrência de erros ou
informações sobre o próprio desempenho do site ou da
aplicação.
Cookies de funcionalidade
são usados para fornecer os serviços básicos
solicitados pelo usuário e possibilitam lembrar
preferências do site ou aplicação, como nome de
usuário, região ou idioma. Os cookies de funcionalidade
podem incluir cookies próprios, de terceiros,
persistentes ou de sessão.
Cookies de publicidade
são utilizados para coletar informações do titular com
a finalidade de exibir anúncios. Mais especificamente,
a partir da coleta de informações relativas aos hábitos
de navegação do usuário, os cookies de publicidade
permitem sua identificação, a construção de perfis e a
exibição de anúncios personalizados de acordo com os
seus interesses.
Os cookies, de acordo com o período de retenção das informações, são classificados em:
Cookies de sessão ou temporários
são projetados para coletar e armazenar informações
enquanto os titulares acessam um site. Costumam ser
descartados após o encerramento da sessão, isto é, após
o usuário fechar o navegador. São utilizados
regularmente para armazenar informações que só são
relevantes para a prestação de um serviço solicitado
pelos usuários ou com uma finalidade específica
temporária, como ocorre, em geral, com uma lista de
produtos no carrinho de um site de compras.
Cookies persistentes
os dados coletados por meio desses cookies ficam
armazenados e podem ser acessados e processados por um
período definido pelo controlador, que pode variar de
alguns minutos a vários anos. A esse respeito, deve ser
avaliado no caso concreto se a utilização de cookies
persistentes é necessária, uma vez que as ameaças à
privacidade podem ser reduzidas com a utilização de
cookies de sessão. Em qualquer caso, quando são
utilizados cookies persistentes, é recomendável limitar
sua duração no tempo tanto quanto possível,
considerando a finalidade para a qual foram coletados e
serão tratados, conforme exposto mais adiante neste
guia.
O documento deixa claro que a utilização de cookies somente será legítima se respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na LGPD.
Assim, o guia passa a fazer referência aos principais pontos da LGPD que são aplicáveis à coleta de dados pessoais por meio de cookies, conforme os aspectos citados a seguir:
ITEM DA LGPD
EXPLICAÇÃO
RECOMENDAÇÃO
1. Princípios da finalidade, necessidade e adequação
(Art. 6, I, II e III)
A coleta de dados pessoais mediante o uso de cookies
deve ser limitada ao mínimo necessário para a
realização de finalidades legítimas, explícitas e
específicas, observada a impossibilidade de tratamento
posterior de forma incompatível com essas finalidades.
Nesse sentido, a finalidade que justifica a utilização
de determinada categoria de cookies deve ser específica
e informada ao titular, e a coleta de dados deve ser
compatível com tal finalidade. Por exemplo, caso o
responsável pela página eletrônica informe ao titular
que utiliza cookies apenas para medição de audiência,
não poderá utilizar as informações coletadas para fins
distintos e não compatíveis com essa finalidade, tais
como para a formação de perfis e a exibição de
anúncios. Da mesma forma, não poderá coletar outros
dados pessoais não relacionados ou não compatíveis com
essa finalidade. Por isso, não se admite a indicação de
finalidades genéricas, tal como ocorre com a
solicitação de aceite de termos e condições gerais, sem
a indicação das finalidades específicas de uso dos
cookies. Além disso, o princípio da necessidade
determina que o tratamento deve abranger apenas os
“dados pertinentes, proporcionais e não excessivos em
relação às finalidades do tratamento de dados”. Esse
princípio desaconselha o próprio tratamento de dados
pessoais quando a finalidade que se almeja pode ser
atingida por outros meios menos gravosos ao titular de
dados.
2. Princípios do livre acesso e da transparência (Art.
6, IV e VI)
Impõem ao agente de tratamento a obrigação de fornecer
aos titulares informações claras, precisas e facilmente
acessíveis sobre a forma do tratamento, o período de
retenção e as finalidades específicas que justificam a
coleta de seus dados por meio de cookies. Também é
importante que sejam fornecidas informações sobre o
eventual compartilhamento de dados com terceiros e
sobre os direitos assegurados ao titular, entre outros
aspectos indicados no Art. 9º da LGPD.
Uma boa prática é a indicação ao titular sobre como
gerenciar preferências de cookies em seu próprio
navegador ou aparelho. Assim, por exemplo, pode ser
objeto de explicação a forma pela qual os cookies podem
ser excluídos ou, ainda, como desabilitar cookies de
terceiros. Importante ressaltar que o gerenciamento de
cookies pelo navegador possui uma função complementar,
que não afasta a necessidade de disponibilização ao
titular de um mecanismo direto e próprio para o
gerenciamento de cookies e para o exercício de seus
direitos, sempre acompanhado da indicação das
informações correspondentes. Quanto à forma de
apresentação, essas informações podem ser indicadas,
por exemplo, em banners, apresentados após o acesso a
uma página na internet; e, de forma mais detalhada, em
políticas ou avisos de privacidade, que contenham
informações sobre a política de cookies utilizada pelo
agente de tratamento, conforme as recomendações
apresentadas neste Guia.
3. Direitos do titular
No contexto da utilização de cookies, são especialmente
relevantes o direito de acesso, de eliminação de dados,
de revogação do consentimento e de oposição ao
tratamento, sempre mediante procedimento gratuito e
facilitado, conforme previsto no Art. 18 da LGPD.
Para o atendimento a essa determinação legal, é
recomendável a disponibilização ao titular de mecanismo
para o “gerenciamento
de cookies”, por meio do qual seja possível, por
exemplo, rever permissões anteriormente concedidas,
como na hipótese de revogação de consentimento
relacionado ao uso de cookies para fins de marketing,
quando essa for a base legal utilizada.
4. Término do tratamento e eliminação dos dados
pessoais
A LGPD prevê, como regra geral, que os dados pessoais
devem ser eliminados após o término do tratamento, o
que pode ocorrer, por exemplo, quando a finalidade for
alcançada ou a eliminação for legitimamente solicitada
pelo titular. Dessa forma, o armazenamento de
informações pessoais após o término do tratamento
somente é admitido em hipóteses excepcionais, tal como
para fins de cumprimento de obrigação legal, entre
outras hipóteses previstas no Art. 16 da LGPD. Daí
decorre que o período de retenção de cookies deve ser
compatível com as finalidades do tratamento,
limitando-se ao estritamente necessário para se
alcançar essa finalidade. Por isso, períodos de
retenção indeterminados, excessivos ou desproporcionais
em relação às finalidades do tratamento não são
compatíveis com a LGPD.
5. Hipóteses legais
São as hipóteses em que a LGPD autoriza o tratamento de
dados pessoais, conforme o disposto no Art. 7º e no
Art. 11 – este, no caso de dados pessoais sensíveis.
Assim, sempre que envolvido tratamento de dados
pessoais, a utilização de cookies somente poderá ser
admitida se identificada a hipótese legal aplicável
pelo controlador e atendidos os requisitos específicos
estipulados para esse fim na LGPD.
Aqui, o consentimento e o legítimo interesse estão sob
o foco principal. Com respeito ao consentimento, ele
deve ser livre, informado e inequívoco, além de ser
obtido de forma específica e destacada, especialmente
no que concerne a autorização para tratamento de dados
pessoais sensíveis, constando de forma separada.
Portanto, não é recomendável a utilização do
consentimento para os cookies necessários. Deve ainda
ser disponibilizado um procedimento simplificado e
gratuito para revogar o consentimento. Já no caso do
legítimo interesse, ele sempre poderá ser utilizado no
tratamento de dados pessoais de natureza não sensível
quando necessário ao atendimento de interesses
legítimos do controlador ou de terceiros, “exceto no
caso de prevalecerem direitos e liberdades fundamentais
do titular que exijam a proteção dos dados pessoais”.
Logo, para ser adequado o tratamento, o controlador
deve se certificar de que a utilização pretendida, além
de não ferir direitos e liberdades, poderia ser
razoavelmente prevista pelo titular de dados, isto é,
que seria possível ao titular supor que aquela
utilização poderia ocorrer com seus dados pessoais a
partir das informações prestadas pelo controlador no
momento da coleta
do dado pessoal. Assim, cookies analíticos ou de
medição são apropriados sob a justificativa do legítimo
interesse, ao passo que cookies de publicidade, não.
O guia finalmente recomenda que seja criada uma Política de Cookies, constituindo-se em uma declaração pública que disponibilize informações aos usuários de um site ou aplicativo, devendo apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento. A Política de Cookies pode ser apresentada: (i) como uma seção específica do Aviso de Privacidade; (ii) em um local específico e separado; ou (iii) no próprio banner de cookies.
Banners de cookies são recursos visuais usados no design de aplicativos ou sites na internet, que utilizam barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. O guia estabelece as seguintes boas práticas quanto ao uso de banners de cookies:
1. Banners de primeiro nível
– Disponibilizar botão que permita rejeitar todos os
cookies não necessários, de fácil visualização, nos banners
de primeiro e de segundo nível, com as seguintes opções:
(i) Rejeitar cookies não necessários, (ii) Aceitar todos os
cookies e (iii) Selecionar cookies.
– Fornecer um link de fácil acesso para que o titular possa
exercer os seus direitos, que pode incluir, por exemplo,
saber mais detalhes sobre como seus dados são utilizados e
sobre o período de retenção, além de solicitar a eliminação
dos dados, opor-se ao tratamento ou revogar o
consentimento.
2. Banners de segundo nível
– Classificar os cookies em categorias no banner de segundo
nível.
– Descrever as categorias de cookies de acordo com seus
usos e finalidades.
– Apresentar descrição e informações simples, claras e
precisas quanto a essas finalidades.
– Permitir a obtenção do consentimento para cada finalidade
específica, de acordo com as categorias identificadas no
banner de segundo nível, quando couber.
– Desativar cookies baseados no consentimento por padrão.
– Disponibilizar informações sobre como realizar o bloqueio
de cookies pelas configurações do navegador. Caso o cookie
ou rastreador não possa ser desabilitado por meio do
navegador, o titular deverá ser informado a respeito.
Por fim, o guia recomenda que sejam evitadas as seguintes práticas em banners de cookies:
Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.);
Dificultar a visualização ou compreensão dos botões de rejeitar cookies ou de configurar cookies, e conferir maior destaque apenas ao botão de aceite;
Impossibilitar ou dificultar a rejeição de todos os cookies não necessários;
Apresentar cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular;
Não disponibilizar banner de segundo nível;
Não disponibilizar informações e mecanismo direto, simplificado e próprio para o exercício dos direitos de revogação do consentimento e de oposição ao tratamento pelo titular (além das configurações de bloqueio do navegador);
Dificultar o gerenciamento de cookies (exemplo: não disponibilizar opções específicas de gerenciamento para cookies que possuem finalidades distintas);
Apresentar informações sobre a política de cookies apenas em idioma estrangeiro;
Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular;
Ao utilizar o consentimento como hipótese legal, vincular a sua obtenção ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular.
Cookies continuam sendo uma fonte de preocupação para as autoridades responsáveis pela proteção de dados em todos os países, ainda mais se for considerada a falta de transparência na coleta e no uso de muitos desses dados. Eis que a Autoridade Nacional de Proteção de Dados (ANPD) emitiu um guia orientativo para lidar com cookies no Brasil, embora a própria Lei Geral de Proteção de Dados (LGPD) não tenha exibido regras específicas a respeito do tema. Até por isso, esse guia da ANPD surge em bom momento para dirimir dúvidas e servir como base para orientar a todos sobre como tratar o tema no Brasil.
O guia inicia com a definição de cookies: arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas, inclusive o funcionamento adequado de algumas páginas de internet que são customizadas a partir dos dados coletados pelos cookies.
A propósito, como os cookies podem conter informações que se refiram diretamente a pessoas naturais ou, ainda, permitir indiretamente a sua identificação – mediante, por exemplo, a realização de inferências e o cruzamento com outras informações e, por vezes, por meio da formação de perfis comportamentais –, tais cookies acabam contendo dados pessoais, que são protegidos pela LGPD.
O guia classifica os cookies em macrocategorias, de acordo com:
1. a entidade responsável por sua gestão.
2. a necessidade.
3. a finalidade.
4. o período de retenção das informações.
Os cookies, de acordo com a entidade responsável por sua gestão, são classificados em:
Cookies próprios ou primários
são aqueles definidos diretamente pelo site ou
aplicação que o titular está visitando. Os cookies
primários geralmente não podem ser usados para rastrear
a atividade em outro site que não seja aquele em que
foi colocado. Este tipo de cookie pode incluir
informações como credenciais de login, itens do
carrinho de compras ou idioma preferido.
Cookies de terceiros
são aqueles criados por um domínio diferente do que o
titular está visitando. Decorrem de funcionalidades de
outros domínios que são incorporadas a uma página
eletrônica, a exemplo da exibição de anúncios.
Os cookies, de acordo com a necessidade, são classificados em:
Cookies necessários
são aqueles utilizados para que o site ou aplicação
realize funções básicas e opere corretamente. Por isso,
a coleta da informação é essencial para assegurar o
funcionamento da página eletrônica ou para a adequada
prestação do serviço. Dessa forma, as atividades
abrangidas como estritamente necessárias incluem
aquelas relacionadas à funcionalidade específica do
serviço, ou seja, sem elas o usuário não seria capaz de
realizar as principais atividades do site ou aplicação.
Essa categoria se restringe ao essencial para prestar o
serviço solicitado pelo titular, não contemplando
finalidades não essenciais, que atendam a outros
interesses do controlador.
Cookies não necessários
são aqueles que não se enquadram na definição de
cookies necessários e cuja desabilitação não impede o
funcionamento do site ou aplicação ou a utilização dos
serviços pelo usuário. Nesse sentido, cookies não
necessários estão relacionados com funcionalidades não
essenciais do serviço, da aplicação ou da página
eletrônica. Exemplos incluem, entre outros, aqueles
utilizados para rastrear comportamentos, medir o
desempenho da página ou serviço, além de exibir
anúncios ou outros conteúdos incorporados.
Os cookies, de acordo com a finalidade, são classificados em:
Cookies analíticos ou de desempenho
possibilitam coletar dados e informações sobre como os
usuários utilizam o site, quais páginas visitam com
mais frequência naquele site, a ocorrência de erros ou
informações sobre o próprio desempenho do site ou da
aplicação.
Cookies de funcionalidade
são usados para fornecer os serviços básicos
solicitados pelo usuário e possibilitam lembrar
preferências do site ou aplicação, como nome de
usuário, região ou idioma. Os cookies de funcionalidade
podem incluir cookies próprios, de terceiros,
persistentes ou de sessão.
Cookies de publicidade
são utilizados para coletar informações do titular com
a finalidade de exibir anúncios. Mais especificamente,
a partir da coleta de informações relativas aos hábitos
de navegação do usuário, os cookies de publicidade
permitem sua identificação, a construção de perfis e a
exibição de anúncios personalizados de acordo com os
seus interesses.
Os cookies, de acordo com o período de retenção das informações, são classificados em:
Cookies de sessão ou temporários
são projetados para coletar e armazenar informações
enquanto os titulares acessam um site. Costumam ser
descartados após o encerramento da sessão, isto é, após
o usuário fechar o navegador. São utilizados
regularmente para armazenar informações que só são
relevantes para a prestação de um serviço solicitado
pelos usuários ou com uma finalidade específica
temporária, como ocorre, em geral, com uma lista de
produtos no carrinho de um site de compras.
Cookies persistentes
os dados coletados por meio desses cookies ficam
armazenados e podem ser acessados e processados por um
período definido pelo controlador, que pode variar de
alguns minutos a vários anos. A esse respeito, deve ser
avaliado no caso concreto se a utilização de cookies
persistentes é necessária, uma vez que as ameaças à
privacidade podem ser reduzidas com a utilização de
cookies de sessão. Em qualquer caso, quando são
utilizados cookies persistentes, é recomendável limitar
sua duração no tempo tanto quanto possível,
considerando a finalidade para a qual foram coletados e
serão tratados, conforme exposto mais adiante neste
guia.
O documento deixa claro que a utilização de cookies somente será legítima se respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na LGPD.
Assim, o guia passa a fazer referência aos principais pontos da LGPD que são aplicáveis à coleta de dados pessoais por meio de cookies, conforme os aspectos citados a seguir:
ITEM DA LGPD
EXPLICAÇÃO
RECOMENDAÇÃO
1. Princípios da finalidade, necessidade e adequação
(Art. 6, I, II e III)
A coleta de dados pessoais mediante o uso de cookies
deve ser limitada ao mínimo necessário para a
realização de finalidades legítimas, explícitas e
específicas, observada a impossibilidade de tratamento
posterior de forma incompatível com essas finalidades.
Nesse sentido, a finalidade que justifica a utilização
de determinada categoria de cookies deve ser específica
e informada ao titular, e a coleta de dados deve ser
compatível com tal finalidade. Por exemplo, caso o
responsável pela página eletrônica informe ao titular
que utiliza cookies apenas para medição de audiência,
não poderá utilizar as informações coletadas para fins
distintos e não compatíveis com essa finalidade, tais
como para a formação de perfis e a exibição de
anúncios. Da mesma forma, não poderá coletar outros
dados pessoais não relacionados ou não compatíveis com
essa finalidade. Por isso, não se admite a indicação de
finalidades genéricas, tal como ocorre com a
solicitação de aceite de termos e condições gerais, sem
a indicação das finalidades específicas de uso dos
cookies. Além disso, o princípio da necessidade
determina que o tratamento deve abranger apenas os
“dados pertinentes, proporcionais e não excessivos em
relação às finalidades do tratamento de dados”. Esse
princípio desaconselha o próprio tratamento de dados
pessoais quando a finalidade que se almeja pode ser
atingida por outros meios menos gravosos ao titular de
dados.
2. Princípios do livre acesso e da transparência (Art.
6, IV e VI)
Impõem ao agente de tratamento a obrigação de fornecer
aos titulares informações claras, precisas e facilmente
acessíveis sobre a forma do tratamento, o período de
retenção e as finalidades específicas que justificam a
coleta de seus dados por meio de cookies. Também é
importante que sejam fornecidas informações sobre o
eventual compartilhamento de dados com terceiros e
sobre os direitos assegurados ao titular, entre outros
aspectos indicados no Art. 9º da LGPD.
Uma boa prática é a indicação ao titular sobre como
gerenciar preferências de cookies em seu próprio
navegador ou aparelho. Assim, por exemplo, pode ser
objeto de explicação a forma pela qual os cookies podem
ser excluídos ou, ainda, como desabilitar cookies de
terceiros. Importante ressaltar que o gerenciamento de
cookies pelo navegador possui uma função complementar,
que não afasta a necessidade de disponibilização ao
titular de um mecanismo direto e próprio para o
gerenciamento de cookies e para o exercício de seus
direitos, sempre acompanhado da indicação das
informações correspondentes. Quanto à forma de
apresentação, essas informações podem ser indicadas,
por exemplo, em banners, apresentados após o acesso a
uma página na internet; e, de forma mais detalhada, em
políticas ou avisos de privacidade, que contenham
informações sobre a política de cookies utilizada pelo
agente de tratamento, conforme as recomendações
apresentadas neste Guia.
3. Direitos do titular
No contexto da utilização de cookies, são especialmente
relevantes o direito de acesso, de eliminação de dados,
de revogação do consentimento e de oposição ao
tratamento, sempre mediante procedimento gratuito e
facilitado, conforme previsto no Art. 18 da LGPD.
Para o atendimento a essa determinação legal, é
recomendável a disponibilização ao titular de mecanismo
para o “gerenciamento
de cookies”, por meio do qual seja possível, por
exemplo, rever permissões anteriormente concedidas,
como na hipótese de revogação de consentimento
relacionado ao uso de cookies para fins de marketing,
quando essa for a base legal utilizada.
4. Término do tratamento e eliminação dos dados
pessoais
A LGPD prevê, como regra geral, que os dados pessoais
devem ser eliminados após o término do tratamento, o
que pode ocorrer, por exemplo, quando a finalidade for
alcançada ou a eliminação for legitimamente solicitada
pelo titular. Dessa forma, o armazenamento de
informações pessoais após o término do tratamento
somente é admitido em hipóteses excepcionais, tal como
para fins de cumprimento de obrigação legal, entre
outras hipóteses previstas no Art. 16 da LGPD. Daí
decorre que o período de retenção de cookies deve ser
compatível com as finalidades do tratamento,
limitando-se ao estritamente necessário para se
alcançar essa finalidade. Por isso, períodos de
retenção indeterminados, excessivos ou desproporcionais
em relação às finalidades do tratamento não são
compatíveis com a LGPD.
5. Hipóteses legais
São as hipóteses em que a LGPD autoriza o tratamento de
dados pessoais, conforme o disposto no Art. 7º e no
Art. 11 – este, no caso de dados pessoais sensíveis.
Assim, sempre que envolvido tratamento de dados
pessoais, a utilização de cookies somente poderá ser
admitida se identificada a hipótese legal aplicável
pelo controlador e atendidos os requisitos específicos
estipulados para esse fim na LGPD.
Aqui, o consentimento e o legítimo interesse estão sob
o foco principal. Com respeito ao consentimento, ele
deve ser livre, informado e inequívoco, além de ser
obtido de forma específica e destacada, especialmente
no que concerne a autorização para tratamento de dados
pessoais sensíveis, constando de forma separada.
Portanto, não é recomendável a utilização do
consentimento para os cookies necessários. Deve ainda
ser disponibilizado um procedimento simplificado e
gratuito para revogar o consentimento. Já no caso do
legítimo interesse, ele sempre poderá ser utilizado no
tratamento de dados pessoais de natureza não sensível
quando necessário ao atendimento de interesses
legítimos do controlador ou de terceiros, “exceto no
caso de prevalecerem direitos e liberdades fundamentais
do titular que exijam a proteção dos dados pessoais”.
Logo, para ser adequado o tratamento, o controlador
deve se certificar de que a utilização pretendida, além
de não ferir direitos e liberdades, poderia ser
razoavelmente prevista pelo titular de dados, isto é,
que seria possível ao titular supor que aquela
utilização poderia ocorrer com seus dados pessoais a
partir das informações prestadas pelo controlador no
momento da coleta
do dado pessoal. Assim, cookies analíticos ou de
medição são apropriados sob a justificativa do legítimo
interesse, ao passo que cookies de publicidade, não.
O guia finalmente recomenda que seja criada uma Política de Cookies, constituindo-se em uma declaração pública que disponibilize informações aos usuários de um site ou aplicativo, devendo apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento. A Política de Cookies pode ser apresentada: (i) como uma seção específica do Aviso de Privacidade; (ii) em um local específico e separado; ou (iii) no próprio banner de cookies.
Banners de cookies são recursos visuais usados no design de aplicativos ou sites na internet, que utilizam barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. O guia estabelece as seguintes boas práticas quanto ao uso de banners de cookies:
1. Banners de primeiro nível
– Disponibilizar botão que permita rejeitar todos os
cookies não necessários, de fácil visualização, nos banners
de primeiro e de segundo nível, com as seguintes opções:
(i) Rejeitar cookies não necessários, (ii) Aceitar todos os
cookies e (iii) Selecionar cookies.
– Fornecer um link de fácil acesso para que o titular possa
exercer os seus direitos, que pode incluir, por exemplo,
saber mais detalhes sobre como seus dados são utilizados e
sobre o período de retenção, além de solicitar a eliminação
dos dados, opor-se ao tratamento ou revogar o
consentimento.
2. Banners de segundo nível
– Classificar os cookies em categorias no banner de segundo
nível.
– Descrever as categorias de cookies de acordo com seus
usos e finalidades.
– Apresentar descrição e informações simples, claras e
precisas quanto a essas finalidades.
– Permitir a obtenção do consentimento para cada finalidade
específica, de acordo com as categorias identificadas no
banner de segundo nível, quando couber.
– Desativar cookies baseados no consentimento por padrão.
– Disponibilizar informações sobre como realizar o bloqueio
de cookies pelas configurações do navegador. Caso o cookie
ou rastreador não possa ser desabilitado por meio do
navegador, o titular deverá ser informado a respeito.
Por fim, o guia recomenda que sejam evitadas as seguintes práticas em banners de cookies:
Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.);
Dificultar a visualização ou compreensão dos botões de rejeitar cookies ou de configurar cookies, e conferir maior destaque apenas ao botão de aceite;
Impossibilitar ou dificultar a rejeição de todos os cookies não necessários;
Apresentar cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular;
Não disponibilizar banner de segundo nível;
Não disponibilizar informações e mecanismo direto, simplificado e próprio para o exercício dos direitos de revogação do consentimento e de oposição ao tratamento pelo titular (além das configurações de bloqueio do navegador);
Dificultar o gerenciamento de cookies (exemplo: não disponibilizar opções específicas de gerenciamento para cookies que possuem finalidades distintas);
Apresentar informações sobre a política de cookies apenas em idioma estrangeiro;
Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular;
Ao utilizar o consentimento como hipótese legal, vincular a sua obtenção ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular.
Share with
Related
No items found.
ABOUT US
Licks’ Blog provides regular and insightful updates on Brazil’s political and economic landscape. The posts are authored by our Government Affairs & International Relations group, which is composed of experienced professionals from different backgrounds with multiple policy perspectives.
Licks Attorneys is a top tier Brazilian law firm, speciallized in Intellectual Property and recognized for its success handling large and strategic projects in the country.
ABOUT US
Licks Attorneys Compliance’s Blog provides regular and insightful updates about Ethic and Compliance. The posts are authored by Alexandre Dalmasso, our partner. Licks Attorneys is a top tier Brazilian law firm, specialized in Intellectual Property and recognized for its success handling large and strategic projects in the country.
QUEM SOMOS
O blog Licks Attorneys Compliance fornece atualizações regulares e esclarecedoras sobre Ética e Compliance. As postagens são de autoria de Alexandre Dalmasso, sócio do escritório. O Licks Attorneys é um escritório de advocacia brasileiro renomado, especializado em Propriedade Intelectual e reconhecido por seu sucesso em lidar com grandes e estratégicos cases no país.
