Carregando...
ANPD Cookies Governança Digital LGPD Proteção de Dados

O que você precisa saber sobre o guia orientativo da ANPD sobre Cookies e Proteção de Dados Pessoais

O ano não acabou, mas podemos dizer que a relação entre Cookies e a Proteção de Dados Pessoais foi um dos temas que marcou a atuação da Autoridade Nacional de Proteção de Dados em 2022. Neste artigo, trazemos os principais pontos que você precisa saber sobre o guia orientativo elaborado pela ANPD em matéria de uso de Cookies e proteção de dados pessoais.
05.12.2022 por DCOM
Foto colaborador

O ano não acabou, mas podemos dizer que a relação entre Cookies e a Proteção de Dados Pessoais foi um dos temas que marcou a atuação da Autoridade Nacional de Proteção de Dados em 2022.

Há cerca de um mês, a ANPD lançou um guia orientativo sobre o tema. O guia veio complementar o pronunciamento da ANPD de maio deste ano, quando a Autoridade, por meio do OFÍCIO Nº 6/2022/CGTP/ANPD/PR, recomendou ao Secretário de Governo Digital a adoção de boas-práticas para a coleta de Cookies no Portal Gov.br.

À essa ocasião, publicamos um artigo com os principais pontos tratados no Ofício, bem como definindo: o que são Cookies, para que são usados e quais são suas categorias. Excetuadas pequenas diferenças nas classificações dos Cookies, nosso artigo resume bem o posicionamento da ANPD quanto as recomendações de boas-práticas sobre o tema, tais quais: a necessidade de se manter uma Política/Aviso de Cookies, o uso de banners de primeiro e segundo nível para garantir que o consentimento do titular dos dados seja livre, inequívoco e informado e a desativação de Cookies baseados no consentimento por padrão.

Contudo, há uma novidade no guia orientativo: a relação entre Cookies e as bases legais previstas na LGPD.

Esta relação e como a ANPD a enxerga serão o tema deste artigo. Mas, recomendamos ao leitor que não tenha se familiarizado com o conceito de Cookies ou que não saiba para que eles servem que faça uma pausa, leia o nosso artigo introdutório sobre o tema, e depois volte para este texto.

Já voltou? Então vamos começar!

Para entendermos os pontos abordados neste artigo, vale retomar primeiramente ao conceito de bases legais. A LGPD estabelece hipóteses para o tratamento de dados, ou seja, situações que autorizam uma atividade de tratamento de dado pessoal. Estas hipóteses são chamadas de, as chamadas bases legais. Sem uma base legal, o tratamento de dados não se justifica, e, portanto, não poderá ser feito legalmente.

Essa vinculação entre atividade de tratamento e base legal, geralmente, é feita durante a fase de mapeamento dos processos de uma empresa. Aquele que o fizer, deve estar atento para as variações das bases legais. Isso, pois, essas hipóteses variam conforme a qualificação do dado tratado, se comum ou sensível, ou ainda conforme a idade do titular dos dados, se adulto ou criança.

Tome como exemplo a rede de hospitais Z, cujo setor de marketing envia e-mails para futuros clientes (leads) e o setor de auditoria analisa os prontuários médicos dos clientes para extrair uma determinada métrica.

Em abstrato, podemos dizer que o setor de marketing se baseia no legítimo interesse [1] da rede de hospitais para tratar os nomes e e-mails dos leads (artigo 7º, IX, LGPD). Por outro lado, essa mesma base legal não pode ser utilizada pelo setor de auditoria, pois o tratamento de dados sensíveis, tal qual o prontuário médico, não pode ser feito com base no legítimo interesse da rede de hospitais (artigo 11, LGPD). É necessário, portanto, que se estabeleça outra base legal para o tratamento dos dados sensíveis pela auditoria.

Uma vez entendido o que são as bases legais, precisamos entender como a ANPD classifica os Cookies.

O guia orientativo apresenta categorias não exaustivas de classificação dos Cookies. Para a Autoridade, os Cookies podem ser classificados conforme:

  1. o responsável por sua gestão;
  2. sua necessidade;
  3. sua finalidade; ou
  4. período de retenção das informações.

Estas categorias serão exploradas em outro artigo, mas neste momento, vamos entender como os Cookies são classificados em razão de sua necessidade.

Conforme a ANPD, os Cookies podem ser:

  • Necessários: se utilizados para que o site ou aplicativo realize suas funções básicas.
  • Não necessários: quando sua desabilitação não impede o funcionamento do site ou aplicativo.

A definição de um Cookie como necessário ou não é importante para definir as hipóteses legais (bases legais) dos tratamentos dos dados por ele coletados.

Isso porque, a ANPD pontuou que, de forma geral, “o legítimo interesse poderá ser a hipótese legal apropriada nos casos de utilização de cookies estritamente necessários”.

Por exemplo, um site de compras que utiliza os Cookies para armazenar as informações do carrinho do cliente, poderá fazê-lo com base no legítimo interesse, uma vez que estas informações são necessárias para o próprio funcionamento do site.

Já a base legal do consentimento, como fiz o guia da ANPD, será mais apropriada “quando a coleta de informações for realizada por Cookies não necessários”.

Ou seja, com essa orientação, a Autoridade vinculou, ainda que de maneira não obrigatória, a classificação de um Cookie com uma base legal.

O que pensamos sobre isto?

O guia da ANPD colocar que a vinculação entre legítimo interesse e Cookies necessários é uma possibilidade e não uma regra. Ou seja, é preciso analisar o caso em concreto para que a se estabeleça uma base legal para uma atividade de tratamento de dados pessoais coletados por um Cookie necessário.

Este também é nosso entendimento.

Entretanto, quando fala de Cookies não necessários, a ANPD diz que o consentimento seria a “base mais apropriada”, criando uma vinculação direta entre consentimento e Cookies desnecessários, o não parece certeiro.

Isso porque, embora o Cookie possa ser desnecessário para o funcionamento da aplicação ou site, é possível que exista outra base legal que justifique o seu uso.

Por exemplo, vamos supor que a rede de hospitais Z tenha um aplicativo para possibilitar que seus pacientes tenham acesso rápido aos resultados de exames feitos no hospital. No contrato de prestação de serviços com o hospital fica estipulado que ao baixar o aplicativo, o hospital poderá usar Cookies para direcionar ao usuário propagandas específicas dentro do app. Esse aviso também está presente nos Termos de Uso do aplicativo, que deve ser aceito pelo usuário antes de baixá-lo.

Neste caso, nos parece que o uso de Cookies tem como base a execução do contrato entre usuário/paciente e hospital e não o consentimento. Ou seja, não há a relação de dependência entre consentimento e Cookies não necessários.

Ah! Bom lembrar que a ANPD também está aberta para debater o tema por meio da Plataforma Fala Br [2].

 

 

[1] Para averiguar se a base legal do legítimo interesse é aplicável no caso concreto, recomendamos que seja feito um teste de legítimo interesse (LIA). Quer saber como analisar o legítimo interesse? Clique aqui.

[2] Confirma como opinar pela plataforma e tenha acesso ao guia orientativo em: https://www.gov.br/anpd/pt-br/assuntos/noticias-periodo-eleitoral/anpd-lanca-guia-orientativo-201ccookies-e-protecao-de-dados-pessoais201d