in

COOKIES – o novo guia orientativo da Autoridade Nacional de Proteção de Dados

Amanda Bruneli*

A ANPD (Autoridade Nacional de Proteção de Dados) publicou no último dia 18 de outubro um guia orientativo relacionado aos cookies – a própria nomenclatura deixa claro que é um guia orientativo, ou seja, ele não tem força de Lei e, por isso, não é uma norma. Todavia, é válido que se tenha em mente que esse guia foi feito pela ANPD – e, por isso, as orientações ali descritas serão vistas com bons olhos em caso de uma possível fiscalização.  

O que se pode perceber dos guias e normativas dispostos pela Autoridade é o viés educativo do documento, haja vista o atual guia de orientação referente aos cookies, o qual se apresenta como uma espécie de “passo a passo” para que qualquer empresa ou instituição que utilize site e coleta de cookies possa perfeitamente compreender o que está ali descrito. 

Finalidades dos cookies e privacidade

Logo na apresentação do guia, a Autoridade traz as finalidades dos cookies e como eles são elaborados hoje. Ela expõe que os cookies viabilizam o funcionamento das páginas eletrônicas e da prestação de serviços na internet, incluindo a medição de desempenho da página e dos anúncios nela presentes. Nota-se que há uma preocupação da ANPD em trazer a transparência ao titular dos dados e garantir a ele as informações a respeito do tratamento – isso porque os cookies são uma forma de marketing visando prospectar clientes; por isso, se é feito de forma abusiva, você fere a privacidade do titular 

A Autoridade também demonstra que os princípios devem ser vistos como prioridade, já que o potencial problema no uso de cookies está na falta de transparência – um dos princípios mais importantes expressos na LGPD (Lei Geral de Proteção de Dados). O guia também traz as hipóteses aplicáveis e as justificativas para utilizar cada uma delas; faz também a indicação de práticas positivas e negativas sobre o uso de banners, e sobre as políticas de cookies – o que é exposto com imagens que ficam de fácil compreensão para o leitor. 

Guia orientativo e definição sobre cookies

Segundo a definição do guia, cookies são arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas – com essa definição, a autoridade já sana uma grande discussão: se os cookies seriam considerados dados pessoais, o que, a partir da tratativa do texto, denota-se que sim. 

Entende também que os cookies são essenciais para o funcionamento adequado e seguro de páginas eletrônicas e para viabilizar a oferta de serviços no ambiente digital. Assim, por exemplo, a utilização de cookies pode identificar um usuário antes de realizar uma transação online ou, ainda, “lembrar” opções feitas anteriormente, tais como o idioma utilizado, o tipo de produto preferido, as senhas e os logins utilizados em sítios eletrônicos, bem como produtos que foram adicionados ao carrinho para a realização de uma compra. Além disso, podem ser utilizados para outros fins, tais como a medição de audiência de uma página e a oferta de anúncios personalizados.

Classificação dos cookies

Segundo a ANPD, os cookies podem ser classificados em relação à entidade responsável pela gestão (pode ser cookie primário, quando é desenvolvido diretamente pela empresa que está no site; ou cookies de terceiro quando é criado através de um domínio diferente daquele que está ali sendo utilizado pelo usuário). Além disso, também podem ser categorizados de acordo com a necessidade; necessários seriam aqueles que precisam ser utilizados para que o site funcione e operar suas funções básicas, ao passo que os cookies não necessários são aqueles que, se desabilitados, não impedem o funcionamento do site – como aqueles que rastreiam comportamento, medem o desempenho da página, exibem anúncios etc. 

Podem ainda ser classificados de acordo com a finalidade, sendo os cookies analíticos, de desempenho ou de publicidade; e ainda, de acordo com o período de tempo, como os de sessão, temporários e persistentes. 

Cookies, um mecanismo útil

A autoridade deixa claro a todo momento que os cookies constituem um mecanismo útil para diversas finalidades econômicas, dentre as quais as de identificação de usuários, viabilização de pagamentos online, apresentação de anúncios e medição da eficácia de um serviço ou de uma página eletrônica, por exemplo. No entanto, o atendimento a essas finalidades somente será legítimo se respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na LGPD. 

Por isso, na visão da Autoridade, nessa relação, os titulares de dados são colocados em uma posição de maior vulnerabilidade, principalmente quando os propósitos do tratamento não são apresentados de forma clara, precisa e facilmente acessível.

Princípios da LGPD e aplicabilidade nos cookies

Entre as principais disposições da LGPD aplicáveis à coleta de dados pessoais por meio de cookies ou de outras tecnologias de rastreamento online, alguns princípios merecem destaque porque vão justificar e exemplificar muitos aspectos presentes na Lei. Vejamos:

Princípios da finalidade, necessidade e adequação (art. 6º, I, II e III, LGPD): 

A coleta de dados pessoais por meio do uso de cookies deve ser limitada ao mínimo necessário para estar de acordo com as finalidades legítimas, explícitas e específicas, observada a impossibilidade de tratamento posterior de forma incompatível com essas finalidades. 

Ou seja: a finalidade que justifica a utilização de determinada categoria de cookies deve ser específica e informada ao titular, e a coleta de dados deve ser compatível com tal finalidade. Por exemplo, caso o responsável pela página eletrônica informe ao titular que utiliza cookies apenas para a finalidade X, não poderá utilizar as informações coletadas para uma finalidade Y. Da mesma forma, não poderá coletar outros dados pessoais que nada têm a ver com essa finalidade – como nos casos de coleta de informações excessivas para a realização de uma métrica de audiência. Ainda, é pertinente lembrar que, exatamente por atenção a esses princípios, não se pode ter uma finalidade genérica, tal como ocorre com a solicitação de aceite de termos e condições gerais, sem que haja indicação das finalidades específicas de uso dos cookies. (o famoso ‘Li e aceito”). 

Princípios do livre acesso e da transparência (art. 6º,IV e VI, LGPD): 

A Autoridade deixa claro que esses princípios impõem ao agente de tratamento a obrigação de fornecer aos titulares informações claras, precisas e facilmente acessíveis sobre a forma do tratamento, o período de retenção e as finalidades específicas que justificam a coleta de seus dados por meio de cookies. Além disso, deve sempre ser mostrado ao titular quando suas informações forem compartilhadas com terceiros e sobre os direitos assegurados ao titular, entre outros aspectos indicados no art. 9º da LGPD.

Uma boa prática é a indicação ao titular sobre como gerenciar preferências de cookies em seu próprio navegador ou aparelho. A ANPD também expõe que pode ser objeto de explicação a forma pela qual os cookies podem ser excluídos ou, ainda, como desabilitar cookies de terceiros. Importante ressaltar que o gerenciamento de cookies pelo navegador possui uma função complementar, que não afasta a necessidade de disponibilização ao titular de um mecanismo direto e próprio para o gerenciamento de cookies e para o exercício de seus direitos, sempre acompanhado da indicação das informações correspondentes.

Direitos dos titulares

Não obstante, a Autoridade expõe a necessidade de atenção aos direitos de titulares, como o direito de acesso, direito de eliminação dos dados, revogação do consentimento e de se opor ao tratamento de dados, e, por isso, é clara ao dizer que “é recomendável a disponibilização ao titular de mecanismo para o ‘gerenciamento de cookies’,” por meio do qual seja possível, por exemplo, rever permissões anteriormente concedidas, como na hipótese de revogação de consentimento relacionado ao uso de cookies para fins de marketing, quando essa for a base legal utilizada. E diz também que “A violação aos direitos dos titulares ocorrerá, especialmente, quando a coleta não estiver amparada em uma hipótese legal apropriada e não forem disponibilizadas informações claras, precisas e facilmente acessíveis que confiram ao titular a efetiva possibilidade de compreender e de controlar o uso de seus dados pessoais.”.

Vemos aqui a atenção da ANPD em relação à importância da hipótese legal e da transparência, já que ressalta que as informações devem ser expostas de forma clara e acessível aos titulares de dados – aqui, ela literalmente desenha como (com um exemplo em forma de figura ilustrativa). Tudo isso para que dê o respaldo ao titular da efetiva possibilidade de compreender e de controlar o uso de seus dados pessoais. – ou seja, fica claro o que a ANPD vai considerar como violação aos direitos do titular no momento em que for aplicar uma sanção. 

Hipóteses legais

Quanto às hipóteses legais, o guia deixa claro que o consentimento e o legítimo interesse são os mais indicados. Porém, mostra que a indicação ali presente não é exaustiva, uma vez que a coleta de dados pessoais por meio de cookies pode, eventualmente, se amparar em outras hipóteses legais, desde que atendidos os requisitos e princípios da LGPD.

Consentimento

Consentimento nada mais é do que você dar a opção ao usuário para que ele escolha quais cookies serão coletados (cookies necessários ou estritamente necessários, cookies de terceiros, cookies de funcionalidade etc). A grande questão em torno do uso do consentimento é que ele deve ser livre, informado e inequívoco. 

Consentimento livre é quando o titular pode ter a opção de escolher, de fato, sobre o tratamento de seus dados, de modo que, ao aceitar ou recusar os cookies, não haja consequências negativas ou intervenções do controlador. Dizer que o consentimento é informado diz respeito à forma de tratamento, período de retenção e finalidades específicas.

E, por fim, expressar que deve ser inequívoco é mostrar que não se admite a inferência ou a obtenção de forma tácita ou a partir de uma omissão do titular para conseguir seu consentimento. 

Sabe aquela situação em que você clica em um site e ao selecionar a opção para gerenciar os cookies já aparece algum cookie pré-selecionado? Isso não é recomendável. Por isso, aqueles banners com a frase “esse site utiliza cookies para melhorar sua experiência” com apenas e tão somente as opções “aceitar” ou “Ok. Entendi”, não está de acordo com a LGPD, já que a obtenção “forçada” do consentimento, isto é, de forma condicionada ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular, não respeita que o consentimento deve ser livre, informado e inequívoco, como preceitua a Lei. 

Consentimento, legítimo interesse e responsabilidade contratual

Além disso, a autoridade orienta que o consentimento não deve ser usado para cookies necessários – nesse caso, a melhor opção seria o uso do legítimo interesse. De forma similar, o consentimento não será a hipótese legal mais apropriada se o tratamento for estritamente necessário para o cumprimento de obrigações e atribuições legais, por exemplo. 

Por outro lado, no caso dos não necessários, a autoridade é clara em relação à orientação para uso de consentimento. Além disso, a ANPD é muito clara ao expressar que compete ao controlador a responsabilidade de comprovar que o consentimento foi obtido com respeito a todos os parâmetros estabelecidos pela lgpd. Por isso, é importante fazer o registro e a documentação de todos os requisitos necessários para a comprovação de que o consentimento não possui vícios e contou com todas as informações necessárias – vemos aqui uma clara orientação sobre parâmetros de responsabilidade contratual. 

Legítimo interesse

Quanto ao uso do legítimo interesse, este deve ser condicionado para a coleta de dados que não sejam sensíveis, e não é pautado na escolha do usuário (titular dos dados nessa relação), mas sim, conforme a nomenclatura, em um interesse do controlador, que será considerado legítimo quando for compatível com o ordenamento jurídico. Assim, é ainda necessário fazer a avaliação – teste de legítimo interesse ou LIA (Legitimate Interests Assessment), a fim de verificar: se na situação existe uma licitude, se os dados são coletados no mínimo necessário, e se existe outra hipótese de tratamento que eu possa ser usada. Depois disso, faz-se necessário gerar o balanceamento, de modo que o titular tenha a legítima expectativa daquilo que está acontecendo e se os direitos e liberdades dele estão sendo garantidos naquela finalidade; e por fim colocar salvaguardas (transparência, mecanismo de oposição, mitigação de riscos). 

Tendo em vista esse entrave que denota mais burocracia no procedimento, o legítimo interesse é orientado a ser a hipótese legal apropriada nos casos de utilização de cookies estritamente necessários – que são os essenciais para a adequada prestação do serviço ou para o funcionamento da página eletrônica – e, em alguns casos, para cookies analíticos.

Nota-se então que as questões de marketing serão profundamente afetadas aqui. Nesse caso, o consentimento pode ser considerado uma hipótese legal mais apropriada para o uso de cookies de publicidade. 

Política de cookies

O que o guia nos mostra é que a Autoridade Nacional tem mostrado uma posição muito mais conservadora nesse e em outros sentidos. Isso porque ela expõe que o legítimo interesse seria melhor utilizado apenas em relação a determinados tipos de cookies. Lembrando que não é uma proibição, porque não se trata de uma norma; é apenas uma orientação. 

Em relação à política de cookies, a ANPD faz uma diferenciação estritamente necessária entre aquela e os banners. 

Para atender ao princípio da transparência e auxiliar o titular a compreender o tratamento dos dados pessoais coletados por meio de cookies, há uma orientação para a elaboração de uma Política de Cookies ou documento equivalente – isto é, uma declaração pública que disponibilize informações aos usuários de um site ou aplicativo. Tendo muito premissa os princípios do livre acesso e da transparência, a Política de Cookies deve apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, entre outros aspectos constantes no art. 9º da LGPD. 

Banner de cookies

Por outro lado, muito mais simplificado, o banner é aquele pop up que surge no final da tela. Trata-se de um “recurso visual usado no design de aplicativos ou sites na internet, que utiliza barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. Além disso, o banner fornece ferramentas para que o usuário possa ter maior controle sobre o tratamento, como, por exemplo, permitindo que ele consinta ou não com determinados tipos de cookies”. 

Ainda que o guia orientativo já tenha gerado muitas discussões, podemos ver que a Autoridade denota um ar de preocupação tanto com as liberdades individuais quanto com o desenvolvimento econômico das empresas. Porém, percebe-se também que o Guia Orientativo da ANPD possui uma grande influência da Diretiva ePrivacy da Europa (Lei dos Cookies), sobretudo nas questões relativas à transparência, consentimento e banners de cookies. Portanto, estamos diante de uma orientação que já causou, e ainda vai causar, muitas discussões, já que o Brasil não tem nenhuma lei equivalente à Diretiva ePrivacy da Europa.

Leia outros artigos da autora: 

A aplicabilidade da LGPD nas Instituições de Longa Permanência para Idosos (ILPIs)

Cultura cibernética – entenda os principais ataques cibernéticos e como proteger-se


Amanda Bruneli: Advogada OAB/PR | Direito Civil | Contencioso Civil | Consultora em Proteção de Dados | LGPD

tecnologia 5G

A revolução do 5G: rumo à saúde do futuro

Chief Compliance Officers

O CCO e o DPO como guardiões da ética: quem vigia o vigia?