Os cookies são uma das ferramentas mais utilizadas nas estratégias de marketing digital das empresas e, também, motivo de muitas controvérsias relacionadas às boas práticas de privacidade e proteção de dados pessoais.
Visando esclarecer as principais dúvidas sobre o assunto e orientar os agentes de tratamento com boas práticas para a utilização de cookies, a Autoridade Nacional de Proteção de Dados (ANPD) lançou o guia orientativo “Cookies e Proteção de Dados Pessoais”.
O guia apresenta uma ampla abordagem sobre os conceitos técnicos atribuídos a cada tipo de cookie, a classificação desta tecnologia de acordo com diversos parâmetros e os requisitos a serem observados para a sua utilização.
Qual a definição para cookies?
O guia define cookies como arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais, visando o atendimento a finalidades diversas.
Para explicar os riscos da sua utilização para a proteção de dados pessoais, o guia divide os cookies em categorias e demonstra como essa distinção é essencial para a aplicação da hipótese legal que autoriza o seu uso para coleta de dados pessoais.
São abordadas as categorias de cookies, de acordo com:
1. Entidade responsável pela sua gestão:
- Cookies próprios ou primários;
- Cookies de terceiros;
2. Necessidade:
- Cookies necessários;
- Cookies não necessários;
3.Finalidade:
- Cookies analíticos ou de desempenho;
- Cookies de funcionalidade;
- Cookies de publicidade;
4.Período de retenção das informações:
- Cookies de sessão ou temporários;
- Cookies persistentes;
É importante destacar que os cookies necessários são classificados conforme a sua importância para o funcionamento adequado do site da sua empresa. Por outro lado, os cookies não necessários representam os cookies que, caso sejam desabilitados, não interferem no correto funcionamento do site ou aplicação.
Entre os exemplos de cookies não necessários, citados no guia, estão os cookies utilizados para rastrear comportamentos, medir o desempenho da página ou serviço, exibir anúncios ou outros conteúdos. Já os cookies necessários são aqueles considerados essenciais para a navegação nas aplicações e o acesso a todas as funcionalidades desejadas.
Outra distinção fundamental para a proteção dos dados pessoais que podem ser inferidos da coleta de Cookies é a do período de retenção das informações. A ANPD afirma que, quando são utilizados Cookies persistentes, os quais podem ser armazenados pelo controlador seja por minutos seja por anos, é recomendável limitar sua duração no tempo tanto quanto possível, considerando a finalidade para qual foram coletados e serão tratados.
Cookies e proteção de Dados, à luz da LGPD
Inicialmente, é importante ressaltarmos que dado pessoal não se restringe apenas a documentos pessoais. Conforme a Lei Geral de Proteção de Dados (LGPD), dados pessoais também podem ser caracterizados como um conjunto de informações que tornam o usuário identificável.
Como sabemos, a utilização de cookies pode revelar diversos aspectos da personalidade e comportamento das pessoas e um dos grandes problemas relacionados ao seu uso é a falta de transparência para os usuários, ou seja, a ausência de informações precisas e acessíveis sobre como ocorrem a coleta de dados pessoais e seu tratamento.
Diante disso, a utilização de cookies deve seguir diretrizes pautadas nos princípios estabelecidos pela Lei Geral de Proteção de Dados (LGPD), sobretudo a atribuição do controle do titular sobre os seus próprios dados pessoais.
Destacando os princípios da finalidade, necessidade e adequação, o guia define que a coleta de dados pessoais utilizando cookies “deve ser limitada ao mínimo necessário para a realização de finalidades legítimas, explícitas e específicas, observada a impossibilidade de tratamento posterior de forma incompatível com essas finalidades.”
Além disso, a ANPD afirma que o legítimo interesse será dificilmente apropriado quando os dados coletados por meio de cookies sejam utilizados para fins de publicidade. Desse modo, o consentimento poderá ser considerado uma hipótese legal mais apropriada para esse fim. Apesar disso, todos os casos devem ser analisados de forma individualizada para a correta aplicação dos requisitos legais e mitigação de riscos.
Sobre o consentimento como base legal da coleta e tratamento de cookies, o guia apresenta algumas exigências e recomendações:
- A possibilidade de aceitar ou recusar a coleta de dadosdeve ser assegurada sem consequências negativas ao usuário;
- Todas as informações pertinentes sobre os cookies (forma de tratamento, período de retenção e finalidade de uso) deverão ser apresentadas para permitir que o usuário dê seu consentimento devidamente informado;
- A manifestação de consentimento deve ser clara e inequívoca;
- A coleta de dados sensíveis por meio dos cookies exige autorização destacada;
- O controlador tem a responsabilidade de registrar e comprovar que o consentimento não possui vícios e contou com todas as informações necessárias.
O guia também não recomenda a utilização de banners de cookies com opções de autorização pré-selecionadas ou a adoção de mecanismos de consentimento tácito, sendo sempre recomendável a disponibilização ao usuário da gama completa de cookies cuja coleta poderá consentir ou não.
Qual a importância da Política de Cookies?
Com a vigência da Lei Geral de Proteção de Dados (LGPD), a segurança dos usuários se tornou uma prioridade para a navegação web. Assim, para elaborar um documento tão importante como a Política de Cookies é fundamental seguir as diretrizes definidas pela LGPD.
Em resumo, a Política de Cookies consiste em uma declaração pública com as informações sobre a utilização desta ferramenta dentro de um site ou aplicação. O documento é elaborado para que os usuários possam saber como e para quais fins os seus dados pessoais estão sendo coletados.
A Política de Cookies deve apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, entre outros aspectos indicados no art. 9º da LGPD.
A Política de Cookies também pode ser apresentada:
- Na seção específica do Aviso de Privacidade;
- Em local específico e separado;
- No banner.
No nosso artigo “Política de Cookies: Entenda a importância dessa política para a adequação das plataformas digitais” falamos mais sobre o papel da Política de Cookies para a adequação das plataformas à LGPD.
Política de Cookies X Banners de Cookies
Enquanto a Política de Cookies é disponibilizada em uma página específica e com informações detalhadas sobre o assunto, podendo também estar integrada à Política de Privacidade, o Banner (conhecido como “cardápio” ou “aviso de cookies”) consiste em um aparato do design para informar ao usuário, de forma reduzida e direta, sobre a utilização de cookies no site.
No caso de sites que utilizam cookies, o banner é essencial para a prática da transparência e livre acesso do usuário, pois são neles que também é recolhida a aderência ou recusa do usuário sobre as informações expostas.
Ainda sobre os banners, o guia busca identificar práticas positivas e negativas para a sua elaboração. Veja a seguir as principais práticas (positivas e negativas) identificadas pela ANPD:
Práticas Positivas:
- Disponibilizar botão que permita rejeitar todos os cookies não necessários, de fácil visualização, nos banners de primeiro e segundo nível;
- Fornecer um link de fácil acesso para que o titular possa exercer os seus direitos e saber mais detalhes sobre a utilização dos cookies no site;
- Classificar os cookies em categorias no banner de segundo nível;
- Permitir a obtenção do consentimento para cada finalidade específica, de acordo com as categorias identificadas no banner de segundo nível, quando couber;
- Desativar cookies baseados no consentimento por padrão;
- Disponibilizar informações sobre como realizar o bloqueio de cookies pelas configurações do navegador.
Práticas Negativas:
- Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento;
- Não disponibilizar banner de segundo nível;
- Apresentar cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular;
- Apresentar informações sobre a política de cookies apenas em idioma estrangeiro;
- Ao utilizar o consentimento como hipótese legal, vincular a sua obtenção ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular.
Quais os impactos do novo guia para o Marketing Digital?
A utilização de cookies para o Marketing Digital está estritamente ligada com a coleta de informações para fins relacionados à divulgação publicitária e, consequentemente, à atração de novos clientes. Por este motivo, são recolhidos dados que traçam perfis comportamentais para os usuários como, por exemplo, a frequência de acessos, reconhecimento de hábitos e rastreamento de navegação.
Ao contrário das leis europeias (Diretiva de Privacidade Eletrônica e GDPR), o texto da LGPD não define diretrizes específicas para a utilização de cookies. No entanto, a lei define os princípios e regras a serem seguidos e deixa claro sobre a necessidade de transparência em todas as etapas do tratamento de dados pessoais.
Para esclarecer detalhadamente sobre o uso de cookies para os agentes de tratamento, o guia da ANPD reforça o cuidado necessário para a utilização de dados pessoais em estratégias digitais, como os anúncios personalizados.
O guia “Cookies e Proteção de Dados Pessoais” não possui força de lei, mas representa o entendimento da Autoridade responsável pela fiscalização da LGPD sobre o assunto. Além disso, a implementação das recomendações apresentadas no guia podem ser consideradas decisivas nos casos de denúncia de violação de dados pessoais ou durante o processo fiscalizatório executado pela entidade.
A implementação das ações definidas no material não isenta os agentes de tratamento do cumprimento dos demais preceitos da LGPD. Assim, todos os processos envolvendo a utilização de cookies devem ser revisados de forma individual, considerando a avaliação dos riscos para a empresa e titulares de dados.
O guia traz orientações importantes para a adequação de agentes de tratamento às disposições da LGPD. O objetivo é promover a cultura da proteção de dados pessoais no ambiente digital, incentivando a adoção de práticas transparentes, que garantam maior compreensão e controle dos titulares sobre o uso de seus dados pessoais.
Diretora Miriam Wimmer, relatora do processo de elaboração do guia no Conselho Diretor.
Diante desse cenário, a sua empresa pode seguir as orientações apresentadas visando a adoção de boas práticas e maior adequação da sua plataforma. Outra recomendação importante é a adequação da empresa à LGPD, sendo um requisito essencial para a promoção de uma cultura de proteção de dados dentro da organização e mitigação de futuros riscos em todas as áreas.
O guia ficará aberto a comentários e contribuições e será atualizado conforme a publicação de novas regulamentações. As sugestões podem ser enviadas para a Ouvidoria da ANPD, por meio da Plataforma Fala.BR (https://falabr.cgu.gov.br/).
Você pode acessar o Guia Cookies e Proteção de Dados Pessoais através deste link.