A Autoridade Nacional de Proteção de Dados lançou em 18/10/2022 o Guia Orientativo ”Cookies e Proteção de Dados Pessoais”. Muito esperado pelos profissionais do meio, este documento é de suma importância, pois ele examina diversas hipóteses legais aplicáveis e determina os requisitos a serem observados em caso de uso de cookies. Como salientado pelo próprio documento, ele não visa esgotar as reflexões já feitas, mas destaca o que deve estar mais alinhado com a interpretação da Autoridade.

Vale ressaltar que tais direcionamentos não estão discriminados na lei de maneira tão detalhada e específica, muitos dos padrões adotados estavam sendo importados pelos mais conservadores, de legislações internacionais, como a GDPR e o E-Privacy. Agora, todos os agentes e, principalmente os cidadãos brasileiros, podem utilizar deste documento como normativa oficial na utilização de cookies e suas aplicações.

Novamente, a ANPD reforça a importância dos conceitos de Privacy by Design, e destaca logo no início do Guia que um dos principais problemas relacionados aos cookies é a falta de transparência. Abaixo o trecho na íntegra.

Um dos potenciais problemas relacionados ao uso de cookies é a falta de transparência, isto é, a não disponibilização de informações claras, precisas e facilmente acessíveis sobre a coleta e a realização do tratamento, o que pode inviabilizar ou restringir indevidamente o controle do titular sobre os seus dados pessoais.

Importante

É bom salientar que o Guia Orientativo não isenta as responsabilidades da LGPD, mas, direciona especificidades quanto ao uso de cookies nos mais diversos cenários pautados que não são aprofundados no texto da lei.

Pois, a LGPD, apesar de nova, já está em vigor e sempre destacou no seu artigo 5º. diversas definições, que já antecipavam tais direcionamentos. Definições de Dados pessoais, Controlador e Operador, Anonimização e, o conceito de Consentimento, em nenhum momento foram reformados ou alterados.

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Antes da publicação do Guia Orientativo, a AdOpt sempre direcionou seu trabalho tanto no trecho acima citado, como também no Art.6. e seus diversos parágrafos, dentre eles, especificamente:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Foi justamente baseado nos trechos acima e na experiência analisada do E-privacy que a AdOpt sempre pautou o seu design e características. Agora, com o Guia Orientativo não será diferente e todos os processos serão ajustados para garantir a adequação e conformidade a todos os nossos clientes, desde o plano grátis.

Importante

Estamos muito felizes com o lançamento, pois a AdOpt sempre trouxe diversas especificidades antes mesmo do Guia Orientativo, que hoje estão sendo confirmadas pela ANPD. Avaliamos o Guia como um grande passo em direção aos mais altos padrões de Privacy by Design à luz de legislações anteriores, como a GDPR.

Abaixo as principais observações da AdOpt, diante do novo Guia Orientativo da ANPD e seu pronto direcionamento, às atualizações que serão incorporadas na plataforma da AdOpt para todos os seus clientes.

A ANPD não necessariamente traz novidades no aspecto conceitual da tecnologia de cookies. Contudo, ela ratifica que mesmo sendo arquivos muitas vezes, criptografados ou “anonimizados”, existe uma “possibilidade de identificação da pessoa natural”, por “inferência ou cruzamento”.

Os profissionais mais técnicos já tinham esse conhecimento empírico. Mas, muitos ainda insistiam que tal cruzamento não seria possível, reduzindo a análise à realidade de algumas empresas menores e menos digitalizadas, ignorando esse alerta.

Com o destaque da ANPD, cessa-se este dilema.

Até então importadas das demais legislações, as Categorias de Cookies são a maneira com a qual os cookies poderão ser classificados. Tal ordenamento não é definitivo e a própria ANPD afirma que podem surgir novas categorias, e que alguns cookies serão classificados em mais de uma.

No presente Guia, serão apresentadas algumas das categorias mais comumente utilizadas, de forma não exaustiva, organizadas pelos tipos de cookies mais usuais. Importante considerar que um mesmo cookie pode ser incluído em mais de uma categoria

Para tal o Guia expõe quatro critérios de organização dos cookies. Abaixo cada um deles e seus respectivos descritivos, de maneira resumida:

A entidade responsável pela sua gestão; Cookies próprios ou primários “são os cookies definidos diretamente pelo site ou aplicação que o titular está visitando. Os cookies primários geralmente não podem ser usados para rastrear a atividade em outro site que não seja o site original em que foi colocado. Esses tipos de cookies podem incluir informações como credenciais de login, itens do carrinho de compras ou idioma preferido.”

Cookies de terceiros “são cookies criados por um domínio diferente daquele que o titular está visitando. Decorrem de funcionalidades de outros domínios que são incorporadas a uma página eletrônica, a exemplo da exibição de anúncios.”

Cookies necessários “são aqueles utilizados para que o site ou aplicação realize funções básicas e opere corretamente. Por isso, a coleta da informação é essencial para assegurar o funcionamento da página eletrônica ou para a adequada prestação do serviço. ~~Dessa forma, as atividades abrangidas como estritamente necessárias incluem aquelas relacionadas à funcionalidade específica do serviço, ou seja, sem elas o usuário não seria capaz de realizar as principais atividades do site ou aplicação. ~~ Essa categoria se restringe ao essencial para prestar o serviço solicitado pelo titular, não contemplando finalidades não essenciais, que atendam a outros interesses do controlador.”

Cookies não necessários “são cookies que não se enquadram na definição de cookies necessários e cuja desabilitação não impede o funcionamento do site ou aplicação ou a utilização dos serviços pelo usuário. Nesse sentido, cookies não necessários estão relacionados com funcionalidades não essenciais do serviço, da aplicação ou da página eletrônica. Exemplos de cookies não necessários incluem, entre outros, aqueles utilizados para rastrear comportamentos, medir o desempenho da página ou serviço, além de exibir anúncios ou outros conteúdos incorporados.”

“Vale ressaltar que a distinção entre cookies necessários e não necessários é especialmente relevante para a definição da hipótese legal que autoriza o uso de cookies e a coleta de dados pessoais, como o consentimento e o legítimo interesse...”

Cookies analíticos ou de desempenho “possibilitam coletar dados e informações sobre como os usuários utilizam o site, quais páginas visitam com mais frequência naquele site, a ocorrência de erros ou informações sobre o próprio desempenho do site ou da aplicação.”

Cookies de funcionalidade “são usados para fornecer os serviços básicos solicitados pelo usuário e possibilitam lembrar preferências do site ou aplicação, como nome de usuário, região ou idioma. Os cookies de funcionalidade podem incluir cookies próprios, de terceiros, persistentes ou de sessão.”

Cookies de publicidade “são utilizados para coletar informações do titular com a finalidade de exibir anúncios. Mais especificamente, a partir da coleta de informações relativas aos hábitos de navegação do usuário, os cookies de publicidade permitem sua identificação, a construção de perfis e a exibição de anúncios personalizados de acordo com os seus interesses.”

Cookies de sessão ou temporários “são projetados para coletar e armazenar informações enquanto os titulares acessam um site. Costumam ser descartados após o encerramento da sessão, isto é, após o usuário fechar o navegador. São utilizados regularmente para armazenar informações que só são relevantes para a prestação de um serviço solicitado pelos usuários ou com uma finalidade específica temporária, como ocorre, em geral, com uma lista de produtos no carrinho de um site de compras.”

Cookies persistentes “os dados coletados por meio desses cookies ficam armazenados e podem ser acessados e processados por um período definido pelo controlador, que pode variar de alguns minutos a vários anos. A esse respeito, deve ser avaliado no caso concreto se a utilização de cookies persistentes é necessária, uma vez que as ameaças à privacidade podem ser reduzidas com a utilização de cookies de sessão. Em qualquer caso, quando são utilizados cookies persistentes, é recomendável limitar sua duração no tempo, tanto quanto possível, considerando a finalidade para a qual foram coletados e serão tratados,...”

Abaixo alguns dos principais conceitos e definições abordados no documento

- O uso de cookies “somente será legítimo se respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na LGPD.”

- Grandes provedores e a assimetria com o cidadão final:

“- Dados pessoais coletados a partir de interações realizadas em um sítio na internet, em um aplicativo ou em um serviço digital, podem revelar diversos aspectos da personalidade e do comportamento de pessoas. Em tais contextos, essas pessoas são colocadas em uma posição de maior vulnerabilidade especialmente em face da assimetria de informação com relação a grandes provedores de aplicações de internet, que respondem pelo tratamento de uma quantidade massiva de dados pessoais ou quando os propósitos do tratamento não são apresentados de forma clara, precisa e facilmente acessível.”

- Marco Civil da Internet já previa forte proteção aos dados pessoais que foram ampliadas pela LGPD.

- Sejam cookies ou outras tecnologias de rastreio, todas devem ser balizadas por alguns princípios, são eles:

Princípios da finalidade, necessidade e adequação (art. 6º, i, ii e iii):

“A coleta de dados pessoais mediante o uso de cookies deve ser limitada ao mínimo necessário para a realização de finalidades legítimas, explícitas e específicas, observada a impossibilidade de tratamento posterior de forma incompatível com essas finalidades. Nesse sentido, a finalidade que justifica a utilização de determinada categoria de cookies deve ser específica e informada ao titular, e a coleta de dados deve ser compatível com tal finalidade...”

“...não poderá coletar outros dados pessoais não relacionados ou não compatíveis com essa finalidade. Por isso, não se admite a indicação de finalidades genéricas, tal como ocorre com a solicitação de aceite de termos e condições gerais, sem a indicação das finalidades específicas de uso dos cookies. Além disso, o princípio da necessidade determina que o tratamento deve abranger apenas os “dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”

Princípios do livre acesso e da transparência (art. 6º, iv e vi):

“impõem ao agente de tratamento a obrigação de fornecer aos titulares informações claras, precisas e facilmente acessíveis sobre a forma do tratamento, o período de retenção e as finalidades específicas que justificam a coleta de seus dados por meio de cookies. Também é importante que sejam fornecidas informações sobre o eventual compartilhamento de dados com terceiros e sobre os direitos assegurados ao titular, entre outros aspectos indicados no art. 9º da LGPD.

“...Quanto à forma de apresentação, essas informações podem ser indicadas, por exemplo, em banners, apresentados após o acesso a uma página na internet; e, de forma mais detalhada, em políticas ou avisos de privacidade, que contenham informações sobre a política de cookies utilizada pelo agente de tratamento”

Direitos do titular:

“entre outros, são especialmente relevantes no contexto da utilização de cookies, o direito de acesso, de eliminação de dados, de revogação do consentimento e de oposição ao tratamento, sempre mediante procedimento gratuito e facilitado, conforme previsto no art. 18 da LGPD.

Para o atendimento a essa determinação legal, é recomendável a disponibilização ao titular de mecanismo para o “gerenciamento de cookies”, por meio do qual seja possível, por exemplo, rever permissões anteriormente concedidas, como na hipótese de revogação de consentimento relacionado ao uso de cookies para fins de marketing, quando essa for a base legal utilizada.

“A violação aos direitos dos titulares ocorrerá, especialmente, quando a coleta não estiver amparada em uma hipótese legal apropriada e não forem disponibilizadas informações claras, precisas e facilmente acessíveis que confiram ao titular a efetiva possibilidade de compreender e de controlar o uso de seus dados pessoais.”

Término do tratamento e eliminação de dados pessoais:

“a LGPD prevê que, como regra geral, os dados pessoais devem ser eliminados após o término do tratamento, o que pode ocorrer, por exemplo, quando a finalidade for alcançada ou a eliminação for legitimamente solicitada pelo titular...”

“...o período de retenção de cookies deve ser compatível com as finalidades do tratamento, limitando-se ao estritamente necessário para se alcançar essa finalidade. Por isso, períodos de retenção indeterminados, excessivos ou desproporcionais em relação às finalidades do tratamento não são compatíveis com a LGPD.”

Hipóteses legais:

“ são as hipóteses em que a LGPD autoriza o tratamento de dados pessoais, conforme o disposto no art. 7º e no art. 11, este no caso de dados pessoais sensíveis. Assim, sempre que envolvido tratamento de dados pessoais, a utilização de cookies somente poderá ser admitida se identificada a hipótese legal aplicável pelo controlador e atendidos os requisitos específicos estipulados para esse fim na LGPD.”

O Guia Orientativo da ANPD destaca duas principais hipóteses legais – Consentimento, e Legítimo Interesse, como “mais usuais e relevantes para o contexto analisado” Sem limitar que outras hipóteses também poderão ser utilizadas, desde que atendam os requisitos previstos na LGPD:

“A indicação efetuada neste Guia não é exaustiva, uma vez que a coleta de dados pessoais por	meio de cookies pode, eventualmente, se amparar em outras hipóteses legais, desde que atendidos os requisitos previstos na LGPD.”

Abaixo as definições, na íntegra, feitas pela ANPD a respeito de cada hipótese legal:

De acordo com a LGPD, o consentimento deve ser livre, informado e inequívoco. O consentimento será livre quando o titular realmente tiver o poder de escolha sobre o tratamento de seus dados pessoais. Ou seja, deve lhe ser assegurada a possibilidade efetiva de aceitar ou recusar a utilização de cookies, sem consequências negativas ou intervenções do controlador que possam vir a viciar ou a prejudicar a sua manifestação de vontade.

Em razão desse requisito legal, não é compatível com a LGPD a obtenção “forçada” do consentimento, isto é, de forma condicionada ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular. Deve-se ressalvar, no entanto, que a regularidade do consentimento deve ser verificada de acordo com o contexto e as peculiaridades de cada caso concreto, considerando-se, em particular, se é fornecida ao titular uma alternativa real e satisfatória.

*O consentimento também deve ser informado, exigindo-se, para tanto, que sejam apresentadas ao titular todas as informações necessárias para uma avaliação e uma tomada de decisão consciente a respeito da autorização ou recusa para a utilização de cookies. Assim, como já mencionado, devem ser fornecidas aos titulares informações claras, precisas e facilmente acessíveis sobre a forma do tratamento, o período de retenção e as finalidades específicas que justificam a coleta de seus dados por meio de cookies, entre outras informações indicadas no art. 9º da LGPD.

É importante ressaltar que essas informações se vinculam à própria utilização do dado pessoal. ~~Qualquer alteração das premissas adotadas para a obtenção do consentimento macula a hipótese legal adotada, exigindo novo consentimento pelo titular de dados, ou a utilização de outra hipótese legal, de acordo com as novas premissas estabelecidas e com todas as informações necessárias para tanto. ~~

Além disso, o consentimento deve ser inequívoco, o que demanda a obtenção de uma manifestação de vontade clara e positiva do titular dos dados, não se admitindo a sua inferência ou a obtenção de forma tácita ou a partir de uma omissão do titular. Por isso, dada a incompatibilidade com as disposições da LGPD, não é recomendável a utilização de banners de cookies com opções de autorização pré-selecionadas ou a adoção de mecanismos de consentimento tácito, como a pressuposição de que, ao continuar a navegação em uma página, o titular forneceria consentimento para o tratamento de seus dados pessoais.

No caso de coleta de dados sensíveis com base no consentimento do titular, é necessário que, adicionalmente, o consentimento seja obtido por forma específica e destacada, conforme preconiza o art. 11, i, da LGPD. Em relação à forma destacada, recomenda-se que a autorização para tratamento de dados sensíveis conste separadamente do texto principal ou, ainda, que se usem recursos para evidenciá-lo, de modo a indicar quais dados sensíveis serão coletados e para qual finalidade específica serão utilizados pelo agente de tratamento.

Em qualquer caso, deve ser disponibilizado ao titular um procedimento simplificado e gratuito para revogar o consentimento fornecido para a utilização de cookies, de forma similar ao procedimento utilizado para obtê-lo. Nesse sentido, o art. 8º, § 5º, da LGPD, estabelece que “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado”. O ato de revogação é unilateral e deverá ser atendido sempre que requisitado pelo titular.

Importante observar que compete ao controlador a responsabilidade de comprovar que o consentimento foi obtido com respeito a todos os parâmetros estabelecidos pela LGPD. Dessa forma, é uma boa prática o registro e a documentação de todos os requisitos necessários para a comprovação de que o consentimento não possui vícios e contou com todas as informações necessárias.

Diante do que estabelecem esses requisitos legais, pode-se afirmar que não é apropriado utilizar a hipótese legal do consentimento nas hipóteses de cookies estritamente necessários. Isso porque, nestes casos, a coleta da informação é essencial para assegurar o funcionamento da página eletrônica ou para a adequada prestação do serviço, de modo que não há condições efetivas para uma manifestação livre do titular ou, ainda, para que se assegure a este a real possibilidade de escolher entre aceitar ou recusar o tratamento de seus dados pessoais.

De forma similar, o consentimento não será a hipótese legal apropriada se o tratamento for estritamente necessário para o cumprimento de obrigações e atribuições legais, notadamente quando demonstrada a existência de um vínculo claro e direto entre a coleta de dados por meio de cookies e o exercício de prerrogativas estatais típicas por entidades e órgãos públicos[ 5 ]. Em qualquer hipótese, devem ser fornecidas aos titulares as informações pertinentes, em conformidade com os princípios da transparência e do livre acesso, além de assegurado o exercício de seus direitos e observadas as disposições do art. 23 da LGPD.

Assim, embora inexista hierarquia ou preferência entre as hipóteses legais previstas na LGPD, o recurso ao consentimento será mais apropriado quando a coleta de informações for realizada por cookies não necessários. Nessas situações, a coleta da informação não é essencial para a adequada prestação do serviço ou para assegurar o funcionamento da página eletrônica. De fato, como visto anteriormente, cookies não necessários estão relacionados com funcionalidades não essenciais do serviço ou da página eletrônica, a exemplo da exibição de anúncios ou da formação de perfis comportamentais. Nesses casos, torna-se possível fornecer ao usuário uma opção genuína entre aceitar ou recusar a instalação de cookies para uma ou mais dessas finalidades, pressuposto central para a utilização da hipótese legal do consentimento.

Outra hipótese legal apresentada pelo Guia Orientativo é a Legitimo Interesse. Para maiores informações sobre Hipóteses legais, temos esse artigo para você.

O guia tem um ótimo direcionamento de aplicação da Hipótese do Legítimo Interesse, abaixo alguns dos seus pontos principais.

O interesse do controlador será considerado legítimo quando for compatível com o ordenamento jurídico e não contrariar as disposições da lei. Além disso, o controlador deverá avaliar, em momento anterior à realização de qualquer operação baseada em legítimo interesse, se, no caso, prevalecem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais e, portanto, impeçam a realização do tratamento. Como em qualquer operação de tratamento de dados, é importante também comprovar a adoção de medidas técnicas e administrativas capazes de salvaguardar a operação e os dados utilizados, garantindo a segurança do tratamento e a transparência para os titulares.

Para ser adequado o tratamento, o controlador deve se certificar de que a utilização pretendida, além de não ferir direitos e liberdades, poderia ser razoavelmente prevista pelo titular de dados, isto é, que seria possível ao titular supor que aquela utilização poderia ocorrer com seus dados pessoais a partir das informações prestadas pelo controlador no momento da coleta do dado pessoal. Além disso, deve-se considerar que, conforme o art. 18, § 2º, o titular tem o direito de se opor ao tratamento realizado com base no legítimo interesse, em caso de descumprimento dos requisitos previstos na LGPD.

De forma geral, o legítimo interesse poderá ser a hipótese legal apropriada nos casos de utilização de cookies estritamente necessários, isto é, aqueles que são essenciais para a adequada prestação do serviço ou para o funcionamento da página eletrônica, o que pode ser entendido como uma forma de apoio e promoção de atividades do controlador e de prestação de serviços que beneficiem o titular (art. 10, i e ii, LGPD).

Um grande marco neste guia orientativo, foi o posicionamento da ANPD quanto ao uso de cookies analíticos ou de medição, podendo ser amparados pela hipótese legal do legítimo interesse.

Abaixo o parágrafo na íntegra:

A utilização de cookies para fins de medição de audiência (cookies analíticos ou de medição) pode ser amparada na hipótese legal do legítimo interesse em determinados contextos, observados, em qualquer hipótese, os requisitos previstos na LGPD. Em particular, é razoável supor que a medição de audiência constituirá um interesse legítimo do controlador, bem como que os riscos à privacidade de titulares serão de menor monta quando o tratamento se limitar à finalidade específica de identificação de padrões e tendências, com base em dados agregados e sem a combinação com outros mecanismos de rastreamento ou sem a formação de perfis de usuários.

Conforme já mencionado anteriormente a possibilidade de cruzamentos de dados e inferências que acessem a pessoa natural é real. Principalmente quando realizado pelos “grandes provedores de aplicações de internet” Pois, infelizmente é muito comum a prática de compartilhamento de perfis analíticos de usuários com iniciativas de publicidade.

Logo, recomenda-se muita atenção e cuidado para a utilização desta estratégia. Justamente por isso que a ANPD destaca que:

...˜o legítimo interesse dificilmente será a hipótese legal mais apropriada nas hipóteses em que os dados coletados por meio de cookies são utilizados para fins de publicidade. É o que se verifica, em especial, se a coleta é efetuada por meio de cookies de terceiros e quando associada a práticas que podem implicar maior risco à privacidade e aos direitos fundamentais dos titulares, como as de formação de perfis comportamentais, análise e previsão de preferências e comportamentos ou, ainda, rastreamento do usuário por páginas eletrônicas distintas.˜

É fato que na teoria os cookies analíticos são distintos dos cookies de publicidade, contudo, a prática de mercado mostra, muitas vezes, o oposto, onde estes são comumente cruzados e compartilhados. Por isso, a distinção é necessária, bem como recomenda-se o uso de outra hipótese legal, mais apropriada.

“Assim, o consentimento pode ser considerado uma hipótese legal mais apropriada para o uso de cookies de publicidade, observados os requisitos legais aplicáveis e as circunstâncias do caso concreto. Essa conclusão é reforçada ao se considerar que os cookies de publicidade são classificados como não necessários e que é de suma importância respeitar as legítimas expectativas dos titulares,”

Aprofundando um pouco mais essa contradição, conforme exposto acima, no último parágrafo, da página 24, a ANPD dá aos controladores a opção de classificarem cookies analíticos como essenciais, utilizando a base legal do legítimo interesse.

Destaca-se que essa decisão pode não ser a melhor, tendo em vista justamente o esclarecimento feito, sobre a possibilidade de inferência.

Abaixo o trecho:

A utilização de cookies para fins de medição de audiência (cookies analíticos ou de medição) pode ser amparada na hipótese legal do legítimo interesse em determinados contextos, observados, em qualquer hipótese, os requisitos previstos na LGPD. Em particular, é razoável supor que a medição de audiência constituirá um interesse legítimo do controlador, bem como que os riscos à privacidade de titulares serão de menor monta quando o tratamento se limitar à finalidade específica de identificação de padrões e tendências, com base em dados agregados e sem a combinação com outros mecanismos de rastreamento ou sem a formação de perfis de usuários.

Outra contradição acontece quando, na página 10 do mesmo documento, ao detalhar a definição de cookies não necessários, a ANPD exemplifica na categoria, cookies utilizados para rastrear comportamentos”.

Cookies não necessários: são cookies que não se enquadram na definição de cookies necessários e cuja desabilitação não impede o funcionamento do site ou aplicação ou a utilização dos serviços pelo usuário. Nesse sentido, cookies não necessários estão relacionados com funcionalidades não essenciais do serviço, da aplicação ou da página eletrônica. Exemplos de cookies não necessários incluem, entre outros, aqueles utilizados para rastrear comportamentos, medir o desempenho da página ou serviço, além de exibir anúncios ou outros conteúdos incorporados.

Ainda neste ponto, na página 20 do Guia, a ANPD especifica que o consentimento é a Base Legal mais apropriada para cookies não necessários, e não o legítimo interesse.

Assim, embora inexista hierarquia ou preferência entre as hipóteses legais previstas na LGPD, o recurso ao consentimento será mais apropriado quando a coleta de informações for realizada por cookies não necessários. Nessas situações, a coleta da informação não é essencial para a adequada prestação do serviço ou para assegurar o funcionamento da página eletrônica. De fato, como visto anteriormente, cookies não necessários estão relacionados com funcionalidades não essenciais do serviço ou da página eletrônica, a exemplo da exibição de anúncios ou da formação de perfis comportamentais.

Importante

É preciso ter uma definição muito clara entre cookies analíticos e cookies de rastreio de comportamento. Utilizando a própria nomenclatura do Guia: Construir perfis comportamentais vs. Poder rastrear comportamentos. Pois, há uma linha muito tênue entre a tecnologia utilizada entre eles. Uma prova direta é que muitos serviços de rastreio possuem dentro das suas tecnologias uma vertente de Analytics, o que pode gerar confusão. Além disso, muito são traduzidos e apresentados no mercado como simplesmente serviços de análise de comportamento.

Assim, recomendamos que haja uma análise criteriosa destes serviços por parte dos Encarregados de Dados das empresas. Como cookies de rastreio pode-se ler serviços já populares como: “mapa de calor”, DMP’s, CMP’s, Cookies persistentes de plataformas de automação de Marketing, etc.

Importante

Isto posto, frisamos que todos os clientes AdOpt permanecem com a total liberdade de escolha na classificação dos seus Cookies e LocalStorage livremente. Inclusive os cookies analíticos, como os do Google Analytics, por exemplo, seguindo o direcionamento da ANPD.

Contudo, entendemos que essa não seria a decisão mais “pró-privacidade dos cidadãos”.

Uma vez que as gigantes da internet são justamente as mais capacitadas, que poderiam facilmente gerar as inferências estatísticas e cruzamentos, chegando à pessoa natural, com extrema facilidade.

A própria ANPD, na página 13, menciona essa “assimetria” entre o cidadão e os “grandes provedores de aplicações de internet”. Abaixo o trecho:

Dados pessoais coletados a partir de interações realizadas em um sítio na internet, em um aplicativo ou em um serviço digital, podem revelar diversos aspectos da personalidade e do comportamento de pessoas. Em tais contextos, essas pessoas são colocadas em uma posição de maior vulnerabilidade especialmente em face da assimetria de informação com relação a grandes provedores de aplicações de internet, que respondem pelo tratamento de uma quantidade massiva de dados pessoais ou quando os propósitos do tratamento não são apresentados de forma clara, precisa e facilmente acessível.

Um destes “grandes provedores” é a Alphabet (Google), que por exemplo, possui não apenas o serviço de Analytics, que gera um identificador ‘anonimizado’ para aquele visitante. Mas, também possui: o navegador (Chrome), o dispositivo (Nexus e Chrome Books), o sistema operacional (Android), toda a rede de buscas e anúncios (Ads), email (Gmail), Maps, Earth, Waze, Fotos, entre outros.

Todos esses identificadores, ainda que anonimizados em primeira instância, são facilmente cruzados. Uma vez que todos estes serviços estão sob a política de privacidade do mesmo grupo empresarial, prevendo um compartilhamento irrestrito de informações dentro das empresas do grupo.

O próprio Guia Orientativo, ao classificar Cookies de Publicidade, informa que eles são capazes de identificar o usuário.

Cookies de publicidade: são utilizados para coletar informações do titular com a finalidade de exibir anúncios. Mais especificamente, a partir da coleta de informações relativas aos hábitos de navegação do usuário, os cookies de publicidade permitem sua identificação, a construção de perfis e a exibição de anúncios personalizados de acordo com os seus interesses.

Logo, a nossa recomendação aos clientes, principalmente àqueles cujos visitantes de seus sites sejam de países da União Europeia, que mantenham seus cookies analíticos NÃO CLASSIFICADOS COMO ESSENCIAIS. E, que tenham uma atenção redobrada quando utilizarem serviços de mapeamento de comportamento, para que haja uma clara distinção entre o que poderia ser amparado por cada hipótese legal, como pede a legislação.

Entendemos que esse tópico poderá ser questionado pela GDPR e demais legislações futuramente, dadas as várias jurisprudências criadas sobre esse mesmo ponto, no passado.

Na Europa a tendência é que o Google Analytics não esteja em conformidade para uso irrestrito.

No início de 2022 na França, ele já foi listado como “Non-compliant” (Não conformidade) e na Áustria também já existem decisões contrarias ao seu uso, seguindo a mesma compreensão. O que naturalmente vetaria o uso deste como sendo um cookie essencial, principalmente nestes países e, consequentemente, por seus cidadãos.

Hoje em dia, já existem uma série de serviços que não utilizam cookies, e são 100% anônimos, para essa mesma finalidade analítica que a cada dia são aprimorados, e atualizados para suprir essa demanda. Um exemplo é o fathom.

Por fim, é válido destacar que os serviços não estão proibidos. Mas, que o seu uso indiscriminado poderá ser visto como contrário aos parâmetros destas legislações.

Outra grande recomendação da ANPD é a elaboração da chamada Política de Cookies. Reforçando os princípios de transparência este documento ”é, uma declaração pública que disponibilize informações aos usuários de um site ou aplicativo”. Segundo a ANPD a Política de Cookies deve:

“...apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, entre outros aspectos indicados no art. 9º da LGPD.”

Sobre a necessidade de distinção entre Política de Cookies e Banner de Cookies

“É importante diferenciar Política de Cookies de Banner de Cookies. O Banner de Cookies é um recurso visual usado no design de aplicativos ou sites na internet, que utiliza barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. Além disso, o banner fornece ferramentas para que o usuário possa ter maior controle sobre o tratamento, como, por exemplo, permitindo que ele consinta ou não com determinados tipos de cookies. Existem diversas maneiras de se elaborar um Banner de Cookies, e as boas práticas...” 

“Por sua vez, a Política de Cookies costuma ser disponibilizada em uma página específica, que contém informações mais detalhadas sobre o assunto, podendo ser acessada, em geral, por meio de link apresentado no banner. Ela também pode estar integrada, de forma destacada e de fácil acesso, ao Aviso de Privacidade (ou “Política de Privacidade”) – a declaração pública do agente de tratamento sobre o tratamento de dados pessoais de uma forma geral. Em alguns casos, o agente de tratamento prefere trazer a sua Política de Cookies diluída no banner de cookies, ou seja, o conjunto de informações sobre o uso de cookies aparece nas diversas camadas do banner”

Sobre a opção de o controlador trazer sua política de cookies “diluída” no banner de cookies:

“...independentemente do mecanismo adotado, o importante é que sejam disponibilizadas informações claras, precisas e facilmente acessíveis sobre o uso de cookies e a coleta de dados pessoais quando o titular acessa uma determinada página eletrônica, serviço ou aplicativo, em conformidade com os princípios da transparência e do livre acesso e com o art. 9º da LGPD.”

Segundo a ANPD os populares Banner de Cookies “materializam os princípios previstos na LGPD, em especial os da transparência e do livre acesso... ,contribuindo para o processo de tomada de decisão consciente do titular, além de fornecer o controle sobre seus dados pessoais e o respeito às suas legitimas expectativas.”

Abaixo algumas das boas práticas listadas pelo Guia Orientativo: Cookies e Proteção de dados pessoais da ANPD.

1 - Disponibilizar botão que permita rejeitar todos os cookies não necessários, de fácil visualização, nos banners de primeiro e segundo nível.

2 - Fornecer um link de fácil acesso para que o titular possa exercer os seus direitos, que pode incluir, por exemplo, saber mais detalhes sobre como seus dados são utilizados e sobre o período de retenção, além de solicitar a eliminação dos dados, opor-se ao tratamento ou revogar o consentimento.

Este é o link que será disponibilizado no aviso da AdOpt.

1. Classificar os cookies em categorias no banner de segundo nível;

2. Descrever as categorias de cookies de acordo com seus usos e finalidades;

3. Apresentar descrição e informações simples, claras e precisas quanto a essas finalidades;

4. Permitir a obtenção do consentimento para cada finalidade específica, de acordo com as categorias identificadas no banner de segundo nível, quando couber;

5. Desativar cookies baseados no consentimento por padrão.

6. Disponibilizar informações sobre como realizar o bloqueio de cookies pelas configurações do navegador. Caso o cookie ou rastreador não possa ser desabilitado por meio do navegador, o titular deverá ser informado a respeito.

A seguir são descritas práticas desaconselhadas quando da elaboração de banners de cookies em sítios eletrônicos.

A Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.); Abaixo um exemplo.

B Dificultar a visualização ou compreensão dos botões de rejeitar cookies ou de configurar cookies, e conferir maior destaque apenas ao botão de aceite;

C Impossibilitar ou dificultar a rejeição de todos os cookies não necessários;

D Apresentar cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular;

Aprenda aqui como configurar para que todos os cookies não necessários estejam desativados por padrão, na AdOpt.

E Não disponibilizar banner de segundo nível;

F Não disponibilizar informações e mecanismo direto, simplificado e próprio para o exercício dos direitos de revogação do consentimento e de oposição ao tratamento pelo titular (além das configurações de bloqueio do navegador);

G Dificultar o gerenciamento de cookies (exemplo: não disponibilizar opções específicas de gerenciamento para cookies que possuem finalidades distintas);

H Apresentar informações sobre a política de cookies apenas em idioma estrangeiro;

Aprenda aqui sobre o aviso da AdOpt e seus mais de 2 idiomas, reconhecidos automaticamente segundo o navegador do visitante.

I Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular;

J Ao utilizar o consentimento como hipótese legal, vincular a sua obtenção ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular

FONTE: Guia Orientativo Cookies e Proteção de Dados da ANPD, na íntegra

Nós da AdOpt trabalhamos 24/7 para que o seu site esteja 100% adequado às normas nacionais e internacionais de privacidade (LGPD, GDPR, CCPA, CINIL…). Sempre de maneira rápida, direta e sem ferir o design do seu site.

Atualmente, já são milhares de sites que utilizam a tecnologia da AdOpt para sua adequação, desde o plano grátis. Todos os meses gerimos bilhões de consentimentos em mais de 45 países!

Fale agora mesmo com um especialista da AdOpt, neste link, e risque essa pendência da sua lista.