Em 18/10, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o guia orientativo Cookies e Proteção de Dados Pessoais. O documento traz importantes recomendações sobre como os cookies devem ser utilizados para que os usuários de sites tenham seus dados pessoais protegidos, nos termos da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).
Alguns exemplos de dados pessoais comumente coletados por meio de cookies são o endereço IP e preferências de consumo do usuário, utilizadas para envio de publicidade personalizada. À medida que possibilitam a identificação da pessoa física do usuário, tais informações constituem dados pessoais, de modo que seu tratamento atrai a incidência dos princípios da LGPD.
Neste sentido, tendo por base os princípios da lei, sobretudo finalidade, necessidade, adequação, livre acesso e transparência, o guia elenca diversas orientações, dentre as quais se destacam:
- Garantia de um nível elevado de transparência aos titulares, dispondo avisos de privacidade claros e completos, que facilitem a compreensão acerca do funcionamento dos cookies
- Disponibilização de informações sobre como o usuário pode fazer a gestão dos cookies em cada navegador, além de orientar que os sites contenham ferramentas próprias na página inicial para a alteração de preferências sobre os cookies de forma prática e facilitada
- Classificação dos cookies de acordo com suas finalidades. Embora outras classificações possam ser adotadas, o Guia classifica os cookies em categorias (aplicação, necessidade, finalidade e tempo de retenção), destacando que um mesmo cookie pode estar inserido em mais de uma categoria.
Bases legais
Deste último ponto decorre a questão de maior relevância contida no guia: a orientação relativa às bases legais para tratamento de cada tipo de dado coletado.
A classificação do cookie refletirá diretamente na finalidade do dado tratado e a base legal que autoriza o tratamento de dados realizado por meio dos cookies.
Nesse sentido, merece especial a atenção a orientação contida no guia no sentido de que a coleta de dados por cookies de publicidade seja amparada na base legal “consentimento”. Nos termos da LGPD, o consentimento é a autorização prévia, livre, informada e inequívoca concedida pelo titular para que seus dados sejam tratados.
Tal orientação implica em uma série de medidas que devem ser adotadas pelos responsáveis pelos sites para que a coleta do consentimento seja realizada de forma adequada e em observância à LGPD. Autorizações genéricas comumente coletadas por meio de botões “concordo”, “aceito” ou “ciente” não representam um consentimento válido.
Outro ponto de grande relevância diz respeito ao layout e configuração da ferramenta de gestão de cookies. O guia orienta que tal ferramenta seja disposta em um sistema de “banners” em níveis, no qual o primeiro nível ofereça opções mais gerais como “rejeitar cookies não necessários” e o segundo nível possibilite a compreensão detalhada e a gestão específica dos cookies pelo usuário.
Embora o guia não possua natureza normativa, devendo ser entendido com uma orientação de boas práticas, a tendência é que fiscalização da ANPD seja orientada pelas diretrizes contidas no documento. Deste modo, é de extrema importância que todas as empresas cujos sites fazem uso de cookies adotem medidas voltadas a atender as orientações do órgão.