Utilizados na indústria digital, principalmente no setor de publicidade, os cookies podem ser classificados como dispositivos de armazenamento e recuperação de dados nos equipamentos dos usuários. Por meio da utilização dos cookies, obtêm-se dados relativos aos usuários e sua navegação que poderão ser utilizados futuramente como base para desenvolvimento de melhorias ou novos produto, para prestação de serviços, para guardar as preferências do usuário, ou até mesmo para direcionamento de publicidade[1].
Ao utilizar os cookies em sites na internet, deve-se observar toda a legislação de proteção de dados, uma vez que eles podem deixar “vestígios” que, quando combinados com outros identificadores ou dados recebidos, podem identificar o usuário ou torná-lo identificável, fazendo, portanto, com que sejam dados pessoais.
Vem com a gente que vamos lhe explicar melhor o que são os cookies, as obrigações relacionadas a eles e o que ocorre caso elas não sejam cumpridas.
Tipos de cookies
Os cookies podem ser classificados em alguns tipos, de acordo com a origem, a finalidade e o período de tempo que permanecem ativos.
Quanto à origem, os cookies podem ser:
● próprios: quando são coletados na máquina diretamente pelo site que o usuário está visitando; e
● de terceiros: quando são coletados e processados por outros websites diferentes daquele em que o usuário está visitando, como por exemplo, de empresas de publicidade.
Quanto à sua finalidade, os cookies podem ser classificados como:
● técnicos: necessários para navegar no site e utilizar os serviços prestados pela plataforma, uma vez que, sem eles, alguns serviços poderiam não ser prestados;
● de funcionalidade: permitem ao site lembrar informações e preferências do usuário, como o idioma da página;
● de desempenho: coletam informações relacionados ao comportamento do usuário online, como quais páginas o usuário acessou e em quais links ele clicou; e
● de publicidade: armazenam informações sobre o comportamento do usuário, obtidos por meio dos hábitos de navegação de cada usuário, para, a partir disso, exibir publicidade.
Quanto ao período, os cookies podem ser:
● de sessão: projetados para coletar e armazenar dados somente durante a navegação em uma página na web, geralmente relacionados à prestação de serviços; e
● persistentes: cookies em que os dados são coletados e tratados por um período indeterminado, dependendo da sua configuração prévia.
Mas afinal, porque preciso me preocupar com a coleta e uso de cookies? Como posso adequar a minha coleta de cookies às recomendações da LGPD?
Ainda que a nossa Lei Geral de Proteção de Dados não trate explicitamente sobre coleta e uso de cookies, há algumas obrigações que devem ser observadas pelos agentes de tratamento com relação a esses dados.
Decorrente dos princípios da transparência e da prestação de contas, uma dessas obrigações é informar aos usuários sobre o uso e função dos cookies, os tipos de cookies utilizados e qual a sua finalidade, a origem dos cookies e informações sobre com aceitar, negar ou revogar o consentimento para uso dos cookies.
É necessário ainda que essas informações sejam escritas de maneira clara, concisa e transparente, de forma que não induzam o usuário a confusão. Para além disso, elas precisam ser facilmente encontradas pelo usuário.
Outra obrigação que os agentes de tratamento devem observar diz respeito ao consentimento. A empresa deverá se atentar à maneira em que esse consentimento está sendo coletado, observando todos os requisitos legais da coleta do consentimento, principalmente os artigos 5º, 8º, 9º e 14 da LGPD.
O site ou plataforma deve possuir um meio fácil em que o usuário possa aceitar, configurar ou rejeitar o uso de cookies. Isso poderá vir na forma de banner, por exemplo, com informações claras do que acontece quando o usuário aceita ou não o uso de cookies no site. É importante que essas informações sejam fornecidas ao usuário antes da coleta e do uso dos cookies, podendo ser apenas utilizados após a ação de coleta do consentimento. E que fique claro: consentimento nunca poderá ser deduzido pela inatividade do usuário. Para ser válido, ele deve sempre ser uma manifestação livre, informada e inequívoca do titular.
E o que acontece se minha empresa não seguir essas orientações?
No cenário mundial, há exemplos de diversas empresas multadas pelo uso inadequado de cookies. A Autoridade francesa (CNIL), por exemplo, multou o Google, em 90 milhões de euros, pelo fato de a empresa não oferecer um modo para o usuário rejeitar os cookies correspondente ao que é necessário para aceitá-los[2]. Ela recebeu diversas reclamações de usuários que não conseguiam rejeitar os cookies impostos pela empresa. Pode-se esperar que o mesmo ocorra aqui, em terras tupiniquins.
O que a ANPD diz sobre isso
Para se ter uma ideia, recentemente a nossa Autoridade Nacional de Proteção de Dados (ANPD) emitiu uma recomendação para a adequação do Portal Gov.br às disposições da LGPD[3]. No corpo do documento, a ANPD propôs duas recomendações em relação ao tratamento de dados pessoais decorrente da coleta de cookies do Portal Gov.br.
De acordo com a recomendação oficial, existem dois pontos de atenção que necessitam ser revistos.
- O primeiro diz respeito ao banner de primeiro nível, que é apresentado ao usuário ao acessar a página de qualquer site hospedado no “Gov.br”, incluindo o da ANPD. Além de conter informações muito limitadas, o banner confere ao usuário uma única opção (“aceito”), prática que contraria a determinação da LGPD de que, para ser válido, o consentimento do titular deve ser livre, informado e inequívoco; e
- O segundo diz respeito à Política de Cookies, que é disponibilizada em um banner de segundo nível, acessível ao usuário que clicar no link correspondente. As informações que constam da Política de Cookies são apresentadas de forma muito genérica, o que dificulta a compreensão por parte do usuário.
Diante disso, a ANPD recomenda que para adequação do portal “Gov.br”, sejam adotadas as seguintes medidas:
No banner de primeiro nível:
- disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não-necessários;
- desativar cookies baseados no consentimento por padrão;
No banner de segundo nível (Política de Cookies):
- identificar as bases legais utilizadas, de acordo com cada finalidade / categoria de cookie, utilizando o consentimento como principal base legal, exceção feita aos cookies estritamente necessários, que podem se basear no legítimo interesse;
- classificar os cookies em categorias;
- permitir a obtenção do consentimento específico de acordo com as categorias identificadas;
- Disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não necessários.
A própria ANPD enfatiza no documento que em breve emitirá um guia sobre o tema, em que serão tratados os tipos de categorias e finalidades de cookies; as bases legais da LGPD; e as boas práticas de coleta de cookies. No entanto, a recomendação nos mostra como podemos adequar a coleta de cookies à luz da visão da autoridade sobre o tema: como regra geral, é necessário a coleta do consentimento do titular, que deve ser livre, informado e inequívoco, e que as empresas disponibilizem informações específicas ao titular sobre a coleta de cookies.
Ou seja, todas as empresas precisam se atentar ao uso dessa prática para estar em conformidade legal e, assim, não correr o risco de eventuais sanções – que já estão em vigor.
[1] AGENCIA ESPAÑOLA PROTECCIÓN DATOS. Guía sobre el uso de las cookies. 2020. Disponível em: <https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf>.
[2] CNIL. Deliberation of the restricted committee No. SAN-2021-023 of 31 December 2021 concerning GOOGLE LLC and GOOGLE IRELAND LIMITED. 2021. Disponível em: <https://www.cnil.fr/sites/default/files/atoms/files/deliberation_of_the_restricted_committee_no._san-2021-023_of_31_december_2021_concerning_google_llc_and_google_ireland_limited.pdf>.
[3] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Ofício Nº 6/2022/CGTP/ANPD/PR: Recomendação para a adequação do Portal Gov.br às disposições da LGPD. 2022. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/sei_pr-3368186-oficio.pdf>.
