x
x
Linkedin Instagram

Alerta

  • 25 outubro 2022
  • Tweet nosso site
  • Compartilhe no Facebook.
  • Compartilhe no LinkedIn.
  • Compartilhe no Whatsapp.

ANPD publica Guia Orientativo sobre o uso de cookies

No último dia 18 de outubro a Autoridade Nacional de Proteção de Dados Pessoais (“ANPD” ou “Autoridade”) publicou Guia Orientativo sobre cookies e proteção de dados pessoais (“Guia”), visando esclarecer sobre as melhores práticas relacionadas ao tratamento de dados pessoais decorrentes da utilização de cookies.

Referido Guia não se trata, portanto, de norma regulamentadora, mas sim de documento interpretativo da aplicação da Lei Geral de Proteção de Dados (“LGPD”) ao uso de cookies e tecnologias similares de rastreamento.

O Guia define cookies como arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive dados pessoais, visando o atendimento de finalidades diversas. Na prática, cookies permitem o armazenamento de uma série de informações sobre um usuário de internet ou o dispositivo no qual se encontram instalados, podendo ser essenciais para o funcionamento de um website, ou serem utilizados para outras finalidades, como analíticas ou publicitárias.

Classificação de Cookies

Considerando as diversas naturezas e funções de cookies, a ANPD propõe sua classificação de acordo com os seguintes critérios: (i) a entidade responsável pela gestão dos cookies; (ii) a sua necessidade; (iii) a finalidade para as quais são utilizados; e (iv) o período de retenção das informações. Estas classificações são relevantes para a análise da ANPD acerca da adequação do uso de cookies à LGPD.

De acordo com a entidade responsável por sua gestão, cookies podem ser próprios (ou seja, definidos diretamente pelo site ou aplicação que o titular de dados está visitando), ou de terceiros (aqueles criados por um domínio diferente do que o titular está visitando).

Com relação à necessidade, cookies podem ser necessários, ou seja, aqueles utilizados para que o site ou aplicação realize funções básicas e opere corretamente, ou não necessários, que correspondem àqueles cuja desabilitação não impede o funcionamento do website ou da aplicação ou a utilização dos serviços pelos usuários.

Quanto à sua finalidade, cookies podem ser: (i) analíticos ou de desempenho, permitindo coletar dados e informações sobre, por exemplo, a utilização da plataforma pelo usuário e a ocorrência de erros; (ii) de funcionalidade, utilizados para fornecer serviços básicos ao usuário e lembrar preferências; e (iii) de publicidade, utilizados para coletar informações do usuário com a finalidade de exibir anúncios.

Por fim, quanto ao período de retenção das informações, cookies de sessão ou temporários são aqueles descartados após a saída do usuário da aplicação ou navegador, ao passo que cookies persistentes são armazenados por um período maior, definido pelo controlador dos dados.

Bases legais para o uso de cookies

A ANPD indica em seu Guia que, como qualquer atividade de tratamento de dados pessoais, o uso de cookies deve respeitar os princípios previstos na LGPD e estar amparado por uma das bases legais previstas na lei.

Muito embora a ANPD indique que outras bases legais previstas na LGPD podem amparar o tratamento de dados pessoais decorrente do uso de cookies, o Guia analisa a aplicação das bases legais do consentimento e do legítimo interesse, por entender que estas são as bases legais mais usuais e relevantes para o contexto analisado.

  • Consentimento

Em breve síntese das considerações do Guia, este indica acertadamente que o consentimento (art. 7º, I, da LGPD) não será a base legal adequada para o uso de cookies estritamente necessários, na medida em que estes são essenciais para o funcionamento da página eletrônica, de modo que não há espaço para a livre manifestação do consentimento pelo titular, que é um dos requisitos para sua validade.

Nesta seara, de acordo com a ANPD, portanto, o consentimento é uma base legal que se adequa melhor ao uso de cookies não necessários, sem prejuízo da aplicação de outras bases legais, de acordo com o caso concreto.

Ainda com relação ao consentimento, o Guia destaca a importância de que, além de livre, este seja inequívoco e informado, o que leva a algumas orientações específicas para as melhores práticas referentes ao uso de cookies banners, como detalhado mais adiante.

  • Legítimo interesse

Quanto à base legal do legítimo interesse (art. 7º, IX, da LGPD), a ANPD indica que esta poderá ser a base legal apropriada para o tratamento de cookies estritamente necessários.

Neste ponto, vale a reflexão crítica de que em muitas circunstâncias o uso de cookies necessários poderia ser melhor embasado na hipótese autorizativa da “execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular” (art. 7º V, da LGPD), aspecto não analisado pela ANPD.

Além disso, a ANPD aponta o legítimo interesse como base legal adequada para tratar cookies analíticos em diversos contextos, como, por exemplo, para a medição de audiência de uma página.

Por fim, o Guia aponta que o legítimo interesse dificilmente será a base legal mais apropriada nas hipóteses em que os dados coletados por meio de cookies são utilizados para fins de publicidade, sendo o consentimento considerado uma hipótese mais adequada pela ANPD.

Este ponto também pode ser objeto de críticas, na medida em que: (i) é questionável o argumento utilizado pela Autoridade de que não há legítima expectativa do titular de ter seus dados tratados por meio de tecnologias como cookies para fins de publicidade; e (ii) forçosamente leva os provedores de aplicação de internet a fazer o uso de cookie banners em suas plataformas, o que além de dificultar a navegação do usuário, pode levar os usuários de internet a uma sobrecarga de solicitações de consentimento e, em última análise, à chamada “fadiga do consentimento”.[1]

Políticas de cookies e cookie banners

O Guia ainda diferencia as políticas de cookies dos chamados cookie banners, apontando que a política é uma declaração pública que disponibiliza informações aos usuários de um site ou aplicativo acerca de como seus dados são tratados, em conformidade com os princípios do livre acesso e da transparência. Por sua vez, o cookie banner é um recurso visual utilizado em aplicativos ou sites, visando informar ao titular de dados, de forma sintética e direta, sobre a utilização de cookies no ambiente navegado.

  • Política de cookies

Acerca da política de cookies, a ANPD destaca seu entendimento de que não há forma específica obrigatória para a apresentação deste documento, podendo esta constituir um documento específico ou constar da própria política de privacidade (desde que de forma destacada), bem como ser incorporada ao próprio cookie banner.

  • Cookie banner

A ANPD descreveu o que entende como boas práticas relacionadas ao uso da ferramenta de cookie banner. Inicialmente, a Autoridade aponta que, no banner de primeiro nível (ou seja, aquele inicialmente apresentado ao usuário quando este acessa a aplicação de internet), é necessário que exista a opção de rejeitar os cookies não necessários e de selecionar os cookies que o usuário deseja aceitar, e não apenas o botão de aceitar cookies de maneira geral, prática comum atualmente.

Com relação ao banner de segundo nível (ou seja, aquele que é apresentado quando o usuário indica que quer selecionar os cookies que pretende aprovar), o Guia aponta, dentre outras, as seguintes boas práticas: (i) o banner de segundo nível deve descrever as categorias de cookies de acordo com seus usos e finalidades; (ii) quando aplicável, o banner dever permitir a obtenção do consentimento para cada finalidade específica de uso de cookies; e (iii) cookies baseados em consentimento devem estar desativados por padrão.

Além disso, o Guia indica que, dentre outras, devem ser evitadas as seguintes práticas: (i) utilização de um único botão no banner de primeiro nível, sem opção de gerenciamento, para a obtenção de consentimento para o uso de cookies; (ii) não disponibilização de banner de segundo nível; (iii) apresentação de informações sobre política de cookies apenas em idioma estrangeiro; (iv) apresentação de informações sobre cookies de forma excessivamente granularizada, de modo a dificultar o entendimento do usuário; e (v) apresentar cookies não necessários como já ativados por padrão.

Na prática, o Guia deixa algumas dúvidas acerca da utilização de cookie banners. Por exemplo, dentre outros pontos de incerteza, não está claro se a ANPD entende que cookies utilizados com base no legítimo interesse poderiam se encontrar ativados por padrão no cookie banner, permitindo o opt-out do usuário como medida de salvaguarda.

Conclusões

O Guia sobre cookies da ANPD era um documento muito esperado por agentes de tratamento de dados em geral, especialmente em razão da insegurança de como o órgão interpretaria a utilização de cookies no Brasil, considerando a forte influência da legislação da União Europeia na interpretação da LGPD.

No entanto, ao contrário da União Europeia, que possui norma específica (i.e., a Diretiva 2002/58/EC, conhecida como “ePrivacy Directive”) que torna obrigatória a obtenção de consentimento para o uso de tecnologias de rastreamento como cookies (em situações em que este uso não seja estritamente necessário), o Brasil não possui previsão legal equivalente.

Mesmo assim, o Guia orientativo importa muitos dos conceitos desenvolvidos na União Europeia para operacionalizar o consentimento como base legal obrigatória para o uso de cookies, principalmente ao apresentar as boas práticas relacionadas a cookie banners.

Entretanto, o tema está sendo revisitado na União Europeia, após estudos acerca do impacto do uso do consentimento como requisito obrigatório para o uso de cookies[2], já havendo o reconhecimento de que as práticas institucionalizadas localmente acabaram gerando uma sobrecarga de solicitações de consentimento para usuários de internet[3]. Resta, assim, a dúvida se utilizar o modelo europeu como referência neste caso é de fato a melhor alternativa.

Cumpre ressaltar que a ANPD indica que o Guia ficará aberto a comentários e contribuições de forma contínua, podendo as sugestões ser enviadas para a Ouvidoria da ANPD, por meio da Plataforma Fala.BR.

Clique aqui para acessar o Guia na íntegra.

 

O time de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse está à disposição para auxiliar seus clientes com relação a temas relacionados à LGPD, inclusive para implementação de boas práticas relacionadas ao uso de cookies.

 

[1] A “fadiga do consentimento” decorra da experiência do usuário que, o navegar na internet, acaba se deparando com uma enorme quantidade de caixas de validação ou cookie banners com pedidos de consentimento, levando o titular dos dados a concordar, quase que no “modo automático” e de maneira apática, com atividades de tratamentos de dados, sem qualquer avaliação ou ponderação sobre suas consequências, o que coloca em cheque a ideia de “livre escolha” que a base legal do consentimento deseja alcançar.

[2] European Commission. Evaluation and review of Directive 2002/58 on privacy and the electronic communication sector. Disponível em https://digital-strategy.ec.europa.eu/en/library/evaluation-and-review-directive-200258-privacy-and-electronic-communication-sector. Acesso em 21.10.2022.

[3] Disponível em https://digital-strategy.ec.europa.eu/en/policies/eprivacy-regulation. Acesso em 21.10.2022.

Tem alguma dúvida? Entre em contato com a nossa equipe marketing@lefosse.com


Voltar