Apontamentos sobre o Guia Orientativo de Cookies da ANPD

Gustavo Luz*

1. Introdução

Em 18 de outubro de 2022, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou Guia Orientativo sobre Cookies e Proteção de Dados Pessoais (“Guia”), abrangendo temas como conceito e classificação de cookies, bases legais, políticas de cookies, banners de cookies, e boas práticas, nos termos da Lei Geral de Proteção de Dados (“LGPD” – Lei nº 13.709/2018). Dentre os temas do Guia, destaca-se, por exemplo, o questionamento às práticas adotadas com frequência pelo mercado brasileiro sobre uso da base legal do legítimo interesse para cookies de publicidade, sendo fortemente inspirado nas diretrizes da União Europeia sobre o tema. O guia está aberto para contribuições e comentários da sociedade civil e do mercado pela Plataforma Fala.BR.

Esse artigo pretende descrever as orientações da ANPD que afetem os controladores de dados e seus websites, detalhando (i) os conceitos adotados pela ANPD, (ii) o tratamento de dados por cookies e o compliance com a LGPD, (iii) critérios recomendados para a elaboração de políticas de cookies, (iv) banners de cookies, e (v) o caráter não-vinculante das diretrizes do Guia.

2. Definições básicas do Guia Orientativo de Cookies

Os conceitos trazidos pela ANPD no Guia Orientativo de Cookies não estão dispostos na LGPD. Verifica-se que tais conceitos foram baseados nas diretrizes europeias dispostas na ePrivacy Directive (Diretiva 2002/58/EC e suas atualizações), que dispõe de obrigações legais explícitas com relação a cookies, inclusive sobre definições de cookies essenciais e uso de bases legais.

Dados pessoais são informações relacionadas a uma pessoa natural que podem torná-la identificável ou identificada (art. 5, I, da LGPD). Essa interpretação expansionista em relação ao conceito de dado pessoal permite que consideremos como dados pessoais um conjunto de informações que, quando reunidos, podem individualizar alguém. Por exemplo, um cookie, que por meio de dados de navegação permite inferir perfis comportamentais (p. ex., gostar de sapatos vermelhos), quando associado a outros dados, como geolocalização, podem tornar uma pessoa identificável.

/ Cookies

Cookies são arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, incluindo dados pessoais em algumas situações, para diversos fins. As principais categorias de cookies, de acordo com a ANPD, são:

/ Cookies de acordo com a entidade responsável pela sua gestão

Cookies primários: cookies definidos diretamente pelo site ou aplicativo que o titular dos dados está visitando. Esses tipos de cookies podem incluir informações como credenciais de login, itens do carrinho de compras ou idioma preferido.

Cookies de terceiros: são cookies criados por um domínio diferente daquele que o titular dos dados está visitando. Eles surgem de funcionalidades de terceiros que são incorporados em um website, como a exibição de anúncios.

/ Cookies de acordo com a necessidade

Cookies essenciais: são aqueles usados para que o site ou aplicativo execute funções básicas e funcione corretamente. Portanto, a coleta de informações é essencial para garantir o funcionamento do site ou para a prestação adequada do serviço.

Cookies não essenciais: são cookies que não se enquadram na definição de cookies essenciais e cuja desativação não impede o funcionamento do website ou aplicação. Exemplos de cookies não essenciais incluem, mas não estão limitados a, aqueles usados para rastrear o comportamento, medir o desempenho da página ou do serviço, e exibir anúncios ou outros conteúdos.

/ Cookies de acordo com a finalidade

Cookies analíticos ou de desempenho: permitem recolher dados e informações sobre a forma como os usuários utilizam o site, quais as páginas que visitam com mais frequência nesse site, a ocorrência de erros ou informações sobre o desempenho do site ou aplicação.

Cookies de funcionalidade: são usados para fornecer os serviços básicos solicitados pelo usuário e permitem lembrar as preferências do site ou do aplicativo, como nome de usuário, região ou idioma. Os cookies de funcionalidade podem incluir cookies primários, de terceiros, persistentes ou de sessão.

Cookies de publicidade: são usados para coletar informações do titular dos dados com o objetivo de exibir anúncios. Mais concretamente, a partir da coleta de informação relacionada com os hábitos de navegação do utilizador, os cookies publicitários permitem a identificação do usuário, a construção de perfis e a apresentação de anúncios personalizados de acordo com os seus interesses.

/ Cookies de acordo com o período de retenção de dados

Cookies de sessão ou temporários: são projetados para coletar e armazenar informações enquanto os titulares dos dados acessam um site. Geralmente são descartados após o fechamento da sessão, ou seja, após o usuário fechar o navegador. Eles são usados regularmente para armazenar informações relevantes apenas para a prestação de um serviço solicitado pelos usuários ou para uma finalidade temporária específica, como geralmente é o caso de uma lista de produtos no carrinho de um site de compras.

Cookies persistentes: Os dados recolhidos através destes cookies são armazenados e podem ser acedidos e tratados durante um período definido pelo responsável pelo tratamento, que pode variar de alguns minutos a vários anos. Nesse sentido, deve-se avaliar no caso concreto se o uso de cookies persistentes é necessário, pois as ameaças à privacidade podem ser reduzidas com o uso de cookies de sessão. Em todo o caso, quando se utilizam cookies persistentes, recomenda-se limitar ao máximo a sua duração no tempo, tendo em conta a finalidade para a qual foram recolhidos e serão processados.

3. Tratamento de dados por cookies e a LGPD

/ Cookies e os princípios da LGPD

Dentre os 10 princípios de proteção de dados na LGPD, a ANPD utilizou 5 deles para analisar o tratamento de dados por cookies:

Princípios de (i) finalidade, (ii) necessidade e (iii) adequação: a coleta de dados pessoais por meio de cookies deve ser limitada ao mínimo necessário para a realização de finalidades legítimas, explícitas e específicas, observada a impossibilidade de processamento posterior de forma incompatível com essas finalidades.

Princípios de (iv) livre acesso e (v) transparência: impõe ao agente de tratamento a obrigação de fornecer aos titulares dos dados informações claras, precisas e facilmente acessíveis sobre a forma de tratamento, o período de conservação e as finalidades específicas que justificam a coleta dos seus dados através de cookies. Uma boa prática é aconselhar o titular dos dados sobre como gerenciar as preferências de cookies em seu próprio navegador ou dispositivo, usando banners de cookies e implementando uma política de cookies.

/ Cookies e as bases legais da LGPD

A ANPD defende que, embora não haja hierarquia entre os fundamentos jurídicos da LGPD, ressalta-se que o fundamento jurídico do consentimento é preferível ao de interesse legítimo para fins de coleta de dados por meio de cookies não essenciais, especialmente para fins de publicidade digital. Para os cookies essenciais, a ANPD destaca que o fundamento jurídico mais adequado seria o de interesse legítimo, pois não há possibilidade real de o titular dos dados escolher entre aceitar ou recusar o tratamento dos dados. Para cookies analíticos, a ANPD também destaca que pode haver interesse legítimo, dependendo do contexto factual.

A ANPD ressalta que o consentimento da LGPD deve ser livre, informado e inequívoco e que é do controlador o ônus de provar que a coleta do consentimento foi feita corretamente. A Autoridade prevê ainda que não é recomendada a utilização de banners de cookies com opções de autorização pré-selecionadas; ou a adoção de consentimento tácito, como a presunção de que, ao continuar a navegar numa página, o titular dos dados daria consentimento para o tratamento de seus dados pessoais.

Em qualquer caso, deve ser disponibilizado ao titular dos dados um procedimento simplificado e gratuito para revogar o consentimento dado à utilização de cookies, de forma semelhante ao procedimento utilizado para a sua obtenção.

4. Política de cookies

Desde que sejam apresentadas informações essenciais ao titular dos dados, todas as seguintes opções são legítimas para uma política de cookies: (i) como uma secção específica da política de privacidade; (ii) em local específico e separado; ou (iii) no próprio banner de cookies. Ou seja, independentemente do mecanismo adotado, o importante é que sejam disponibilizadas informações claras, precisas e de fácil acesso sobre o uso de cookies e a coleta de dados pessoais quando o titular dos dados acessa determinado site, serviço ou aplicativo, estando de acordo com os princípios de transparência e livre acesso e com o artigo 9º da LGPD.

5. Banners de cookies 

As diretrizes abordam o que observar ao criar um banner de cookies, discutindo banners de primeiro e segundo nível, dando exemplos de design, fraseologia, e o que deve ser evitado.

Com relação ao banner de primeiro nível, a ANPD destaca que o modelo ideal permite que o titular de dados aceite ou rejeite todos os cookies não necessários com um só botão. Também deve-se disponibilizar opção para que o titular abra a segunda camada do banner de cookies, a qual deve conter maiores informações sobre as finalidades de tratamento, link para a política de cookies do controlador, e opções de coleta de consentimento granular/específico para cada tipo de cookies.

Por exemplo:

Fonte: Guia de Cookies da ANPD, p. 31-32.

Com isso, os direitos dos titulares de dados e os princípios da LGPD são facilmente respeitados pelos controladores de dados, com um layout simples e informativo.

6. Caráter não-vinculante do Guia de Cookies da ANPD

A ANPD dispõe de prerrogativas para elaboração de estudos, estímulo à adoção de padrões que facilitem o controle do exercício de direitos dos titulares e de divulgação da LGPD à população, como exposto no artigo 55-J, VI, VII e VIII, da LGPD.^**

Ademais, o Regimento Interno da ANPD confere à Coordenação-Geral de Normatização (CGN) competência para “elaborar guias e recomendações, bem como proposições normativas, orientações e procedimentos simplificados nos termos da Lei nº 13.709, de 2018, a serem submetidas à aprovação pelo Conselho Diretor;” (art. 16, II).

É nesse contexto que se inserem os guias orientativos da ANPD, como o guia de definições de agentes de tratamento e encarregado, o guia de tratamento de dados no Poder Público e o guia de cookies; os estudos técnicos, como o de bases legais para tratamento de dados de crianças e adolescentes e o tratamento de dados para fins acadêmicos e de estudos; e demais publicações informativas da ANPD, todas dispostas aqui.

O próprio nome destaca que se trata de guia orientativo; ou seja, não se insere no poder normativo regulatório da ANPD, mas sim no exercício das prerrogativas da ANPD de elaborar estudos e divulgar a LGPD, destacando boas práticas aplicáveis. 

Por ter caráter meramente orientativo e educacional, os guias não têm o condão de vincular os agentes de tratamento. Seguir as orientações de um guia da ANPD é encarado apenas como uma boa prática, não como o cumprimento de uma obrigação regulatória. A Diretora Relatora do processo administrativo sobre Guia de Cookies no Conselho Diretor da Autoridade, Miriam Wimmer, destacou na análise dos aspectos formais do Guia em seu voto (p. 02), que o Guia de Cookies dispõe de caráter não vinculante, meramente orientativo e educacional:

4.2. Em razão de seu caráter não vinculante aos administrados, o Guia Orientativo segue procedimento mais simples de aprovação do que aquele aplicável aos atos normativos editados pela ANPD. Assim, por exemplo, não se demonstra obrigatória a previsão na agenda regulatória, a realização de consulta à sociedade ou a elaboração de análise de impacto regulatório.

(…)

4.7. Trata-se, nesse sentido, de documento de orientação e de recomendação, que serve ao propósito de esclarecer dúvidas e apresentar de forma transparente os principais entendimentos da Autoridade de proteção de dados pessoais sobre pontos relevantes atinentes à legislação em vigor. Com isso, promove-se a cultura da proteção de dados pessoais e a previsibilidade e a segurança jurídicas no ambiente regulado, além de incentivar os agentes de tratamento a adotar práticas aderentes à legislação, em conformidade com o princípio da responsabilização e prestação de contas.

Além disso, a ANPD destacou em todos os seus guias orientativos, inclusive no Guia de Cookies, que o recebimento de contribuições de forma contínua é bem-vindo. Portanto, fica claro como as diretrizes dispostas no Guia são encaradas apenas como sugestões de boas práticas a serem adotadas pelo mercado.

7. Conclusão

Pode-se concluir, com esses breves apontamentos descritivos sobre o Guia de Cookies elaborado pela ANPD, que o tema ainda merece maior aprofundamento no debate público e discussões com a sociedade civil e o mercado, pois ao se basear exclusivamente no modelo regulatório europeu, a ANPD acaba por desconsiderar as boas práticas já adotadas antes mesmo da vigência da LGPD pelo setor de publicidade digital.

Apesar da suma importância do tema para o bom funcionamento do ambiente digital brasileiro, a ANPD decidiu não normatizar o tema de forma prioritária nos próximos 2 anos, já que a sua Agenda Regulatória para o biênio 2023-24 não cita o tema de cookies (Portaria ANPD nº 35, de 4 de novembro de 2022).

**Art. 55-J. Compete à ANPD: (…) VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade; VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; (grifos nossos).

---

Gustavo Luz: é graduando (10º semestre) na Faculdade de Direito da Universidade de São Paulo (FDUSP), onde fez parte de diversos grupos de pesquisa e extensão. Integra a área de proteção de dados do b/luz – Baptista Luz Advogados, tendo atuado anteriormente com pesquisa e advocacy em direitos digitais no LAPIN – Laboratório de Políticas Públicas e Internet, bem como com direito regulatório, concorrencial e proteção de dados no VMCA – Vinicius Marques de Carvalho Advogados) e com reestruturação e insolvência no Lefosse Advogados. Técnico de informática por formação (IFSP – Campus Cubatão), Gustavo tem fortes interesses acadêmicos e profissionais nas intersecções entre direito, tecnologia, políticas públicas e desenvolvimento.

Leia outros artigos:

• LGPD – A requisição de direitos como uma forma de vazamento de dado
• Dificuldades na Aplicação do Conceito de “Controlador de Dados” e Tentativas de Solução – debate na União Europeia e reflexos no Brasil
• Coleta de dados por IAs para assistentes de voz pessoais
• LGPD e Open Banking – quais são os direitos dos titulares de dados?
• Aplicativos mobile – entenda os impactos da privacidade e proteção de dados aos desenvolvedores de aplicativos