Com a imposição da adequação das empresas à Lei Geral de Proteção de Dados Pessoais (LGPD), veio a reboque, no Brasil, uma enxurrada de novos tipos de avisos em centenas de sites brasileiros quanto aos chamados cookies, arquivos instalados no dispositivo que permitem a coleta de informações de usuários, o que pode acontecer inclusive para rastrear seus comportamentos.

Por suas funcionalidades técnicas, os cookies desempenham papel fundamental na internet. Eles viabilizam o funcionamento de sites e a prestação de serviços on-line e podem ajudar a aprimorar a experiência dos usuários, sustentando incontáveis modelos de negócio. Para executar suas funções, porém, eles se valem do tratamento de dados pessoais, e isso requer uma atenção especial.

A verdade é que os avisos de cookies surgiram no Brasil antes mesmo da vigência da LGPD, inspirados em norma específica (e-Privacy Directive) que a Europa adotou há anos para essa metodologia de coleta, embora nossa lei seja diferente da realidade europeia.

Tudo isso suscitava muitas dúvidas. Por exemplo, nos últimos meses as empresas brasileiras se perguntaram com frequência se precisavam fazer ou não um aviso de cookies. Além disso, também foram ouvidos críticos com opiniões contrárias ao mecanismo.

A questão, porém, não é eliminar os cookies, mas reforçar a linha mestra de equilíbrio entre o desenvolvimento dos negócios e a proteção à privacidade e aos dados pessoais. Essa diretriz sempre esteve presente nos documentos históricos de proteção de dados e é expressamente reforçada pela distribuição de fundamentos feita pelo art. 2° da LGPD.

Surge então, em ótima hora, o novo Guia Orientativo de Cookies e Proteção de Dados Pessoais da Autoridade Nacional de Proteção de Dados (ANPD). O guia apresenta um panorama geral sobre o tema, expõe os principais conceitos e categorias de cookies e examina as bases legais de tratamento mais comuns e os requisitos a serem observados no uso de cookies, como o reforço às medidas de transparência via publicação de políticas. O documento segue aberto para consulta pública, o que demonstra a atuação democrática da ANPD.

Classificação de cookies

Reforçando as recomendações da literatura especializada e o que a prática revela, o guia traz critérios claros e úteis de classificação dos cookies, separando-os de acordo com:

  • A entidade responsável pela gestão: podem ser próprios quando definidos diretamente pelo site, ou de terceiros, se de domínio diverso.
  • A necessidade: podem ser necessários, se utilizados para garantir as funcionalidades do site, ou não necessários, quando a desabilitação não impede o funcionamento do site.
  • A finalidade: podem ser analíticos ou de desempenho, se visam identificar a utilização do site; de funcionalidade, quando usados para fornecer os serviços básicos ao usuário; e de publicidade, quando utilizados para exibir anúncios.
  • O período de retenção das informações: podendo ser de sessão ou temporários, se coletam e armazenam informações somente enquanto o titular acessa o site, ou persistentes, se ficam armazenados por período definido.

É interessante notar que o guia destaca os cookies capazes de tornar o usuário identificável, por conterem dados pessoais, e que, portanto, são pertinentes à regulação de proteção à privacidade.

Os cookies que armazenam apenas informações que não identificam o usuário ou o tornam identificável (com perfil de dados anônimos apenas) não entram no escopo de aplicação da LGPD e, por consequência, não estão sujeitos às orientações da ANPD.

Uso de cookies e a LGPD

A ANPD reforça que o uso de cookies que identificam os usuários está dentro do escopo da LGPD e deve seguir suas previsões.

De forma extremamente didática, a Autoridade explica como isso deve ser feito, destacando a necessidade de se observar os princípios da legislação na coleta e utilização de informações, como os princípios da finalidade, necessidade e adequação, livre acesso, direitos do titular, período de tratamento e eliminação dos dados pessoais e transparência, entre outros. A ANPD traz exemplos práticos de como observar tais critérios.

A transparência, como esperado, recebe especial atenção. Assegurar a clareza e completude das informações a respeito cookies é uma medida de governança a ser constantemente buscada.

Além disso, a ANPD demonstra cautela em relação a esse aspecto, recomendando que as empresas redobrem sua atenção ao tema a fim de mitigar riscos sancionatórios.

Conforme a própria Autoridade sinaliza no Guia, “um dos potenciais problemas relacionados ao uso de cookies é a falta de transparência, isto é, a não disponibilização de informações claras, precisas e facilmente acessíveis sobre a coleta e a realização do tratamento, o que pode inviabilizar ou restringir indevidamente o controle do titular sobre os seus dados pessoais. Os riscos à privacidade podem ser ampliados nas situações em que a falta de transparência está associada a práticas de coleta de quantidades massivas de informações pessoais para fins de identificar, rastrear e criar perfis comportamentais de usuários”.

Também se destaca na publicação a preocupação em concretizar o fundamento da autodeterminação informativa (art. 2°, I, LGPD) em relação aos cookies.

Dessa forma, deve ser fornecida ao titular a possibilidade de gerenciar as preferências de cookies, para que tenha a opção de desabilitar aqueles que não sejam necessários ao funcionamento do site, o que envolve, por exemplo, cookies de terceiros e de publicidade.

As informações devem ser disponibilizadas por meio de aviso ou banner de cookies já amplamente utilizado pelos portais e com informações mais detalhadas em políticas ou aviso de privacidade ou em política de cookies específica.

A ANPD frisa que o titular deve ser informado, de forma clara e fácil, sobre as finalidades de tratamento para quais os cookies serão coletados e por qual período eles serão armazenados. Segundo a Autoridade, as finalidades de uso dos cookies devem ser específicas, e não mais genéricas, como ocorre com a solicitação de aceite de termos e condições gerais. Os períodos de armazenamento devem ser determinados e proporcionais em relação às suas finalidades do tratamento, além de necessariamente compatíveis com a LGPD.

Nesse sentido, explica a Autoridade em seu Guia,caso o responsável pela página eletrônica informe ao titular que utiliza cookies apenas para a finalidade de medição de audiência, não poderá utilizar as informações coletadas para fins distintos e não compatíveis com essa finalidade, tais como para a formação de perfis e a exibição de anúncios”.

Consentimento ou legítimo interesse?

Dirimindo outra dúvida em relação aos cookies, a ANPD delimitou um pouco mais o padrão a ser seguido na identificação das bases legais relacionadas a tais arquivos. A Autoridade identifica o consentimento e o legítimo interesse como as duas bases legais mais comuns,[1] reafirmando seu entendimento de que não existe hierarquia entre as bases legais.

O consentimento, seguindo os padrões da LGPD, deve ser livre, informado e inequívoco. Ou seja, deve ser assegurada a livre opção pela coleta ou não dos dados, deve ser assegurada a completa informação sobre quais dados são coletados e todas as circunstâncias de tratamento, e o consentimento deve ser obtido sem que o titular tenha qualquer dúvida sobre sua manifestação de vontade de concordância.

Em relação aos cookies não necessários (pois os necessários terão relação com outras bases – legítimo interesse e cumprimento de obrigação legal sobretudo), devem ser fornecidas ao titular todas as informações referentes aos cookies coletados na página e oferecida a possibilidade de autorizar ou não a coleta.

Na prática, deve ser assegurada ao titular a possibilidade efetiva de aceitar ou não a utilização de cookies, sem que consequências negativas ou intervenções do controlador possam vir a viciar ou prejudicar a sua manifestação de vontade, de forma que ela não seja verdadeiramente livre.

Considerando que o consentimento não pode ser tácito, não é possível o uso de avisos ou banners de cookies com opções de autorização pré-selecionadas.

Também deve ser fornecida ao titular a possibilidade de revogar esse consentimento de forma simples e gratuita. Segundo a ANPD “deve ser disponibilizado ao titular um procedimento simplificado e gratuito para revogar o consentimento fornecido para a utilização de cookies, de forma similar ao procedimento utilizado para obtê-lo”.

Em relação ao legítimo interesse, a ANPD reforça que ele pode ser utilizado nos casos de cookies estritamente necessários, que a Autoridade entende como aqueles que “são essenciais para a adequada prestação do serviço ou para o funcionamento da página eletrônica, o que pode ser entendido como uma forma de apoio e promoção de atividades do controlador e de prestação de serviços que beneficiem o titular (art. 10, I e II, LGPD)”.

Segundo a Autoridade, seguindo as melhores práticas de mercado até o momento, essa essencialidade deve “considerar as peculiaridades de cada situação concreta e avaliar se, no caso, não prevalecem os direitos e interesses dos titulares, observados os demais requisitos legais aplicáveis”.

Em outras palavras, decisões de governança que estabeleçam o legítimo interesse de forma genérica podem ser questionadas. Tal base não é, portanto, uma carta branca para o uso de quaisquer cookies. A elaboração e documentação específica de um LIA (Legitimate Interest Assessment) é fundamental para a tomada de decisão e a documentação da prestação de contas esperada pela lei.

Partindo da ideia de que a análise caso a caso revelará se o legítimo interesse é uma base legal possível ou não, a ANPD reforça que “a utilização de cookies para fins de medição de audiência (cookies analíticos ou de medição) pode ser amparada na hipótese legal do legítimo interesse em determinados contextos, observados, em qualquer hipótese, os requisitos previstos na LGPD. Em particular, é razoável supor que a medição de audiência constituirá um interesse legítimo do controlador, bem como que os riscos à privacidade de titulares serão de menor monta quando o tratamento se limitar à finalidade específica de identificação de padrões e tendências, com base em dados agregados e sem a combinação com outros mecanismos de rastreamento ou sem a formação de perfis de usuários”.

Política de cookies

A ANPD dedica parte relevante do guia para recomendações sobre a estrutura e o conteúdo esperado para a política de cookies ou documento equivalente, como um banner, para garantir a transparência necessária.

A política de cookies pode ser incluída em uma seção específica do aviso de privacidade, em um local específico e separado ou no próprio banner de cookies. Independentemente do formato adotado, deve-se informar ao titular como a sua coleta é realizada e com qual finalidade. O principal é assegurar como essa informação chegará para o usuário. São relevantes as diretrizes da Norma ABNT ISO IEC 29.184/2021 a esse respeito.

Além disso, o titular deve poder dar o seu consentimento aos cookies não necessários, os quais não podem estar habilitados previamente, por meio das opções “aceitar todos os cookies”, “rejeitar cookies não necessários” e “gerenciar/selecionar cookies”. O titular também deve poder revogar o consentimento, o que pode ser realizado por meio de banner de segundo nível.

O guia expressamente indica as seguintes orientações sobre o banner de cookies, incluindo uma série de exemplos práticos:

  • todos os botões (rejeitar, aceitar e gerenciar cookies) devem ter o mesmo tamanho;
  • cookies não necessários não podem estar habilitados por padrão;
  • todas as informações devem ser trazidas de forma clara e simplificada aos titulares; e
  • as opções de escolha de cookies para o titular devem ser simples e de fácil ajuste.

A política de cookies e o aviso de privacidade para atender ao princípio da transparência e às regras do artigo 9º da LGPD devem ser de fácil acesso ao titular (como por hiperlink incluído no próprio banner), em língua portuguesa, apresentando quais as categorias de cookies coletados, com quais finalidades e disponibilizando informações sobre como realizar o bloqueio de cookies pelas configurações do navegador.

Comentários finais

O guia traz um viés educativo que merece elogios e reforça o quanto a ANPD representa um case de sucesso nesse aspecto. A publicação corrobora a postura orientativa adotada pela Autoridade, que busca promover a cultura da proteção de dados pessoais, incentivando a adoção de práticas transparentes, que melhorem compreensão e o controle dos titulares sobre o uso de seus dados pessoais.

Da mesma forma, o guia reforça a tendência da ANPD de seguir com os direcionamentos adotados pelas autoridades europeias de proteção de dados sobre o tema. Revalida, assim, os trabalhos apoiados na experiência estrangeira. Ainda que exista convergência entre a regulação europeia e a legislação brasileira, vale lembrar que a Europa conta com normatização específica sobre a aplicação de cookies, o que não ocorre no Brasil. Sendo assim, a coleta e o uso de cookies podem ser objeto de novas regulações por parte da ANPD.

 

[1] Os cookies podem também atender ao cumprimento de obrigação legal por exemplo (art. 7°, II, LGPD), no caso do dever de guarda de registros eletrônicos pelos provedores de aplicação, conforme obrigação legal estabelecida pelo Marco Civil da Internet (Lei Federal n° 12.965/2014).