Os cookies estão presentes no dia a dia de quem navega em páginas da internet, que ao ingressar nos sites, somos avisados da coleta de cookies por este. Cookies são arquivos salvos nos dispositivos, que permitem, dentre outras funções, o aprimoramento do funcionamento do site, experiência dos usuários, oferta de anúncios personalizados ou mesmo para salvar preferências do usuário, como idioma e outros. Tendo em vista que dentre essas informações há coleta de dados pessoais, a ANPD lançou o guia intitulado “Cookies e Proteção de Dados Pessoais”.
Considerando que os cookies podem mostrar aspectos da personalidade ou comportamentais de titulares de dados, fazendo com que fiquem vulneráveis frente a grandes provedores que muitas vezes não demonstram de forma clara quais são as finalidades do tratamento destes dados pessoais é necessário observar as regras trazidas pela LGPD para garantir o tratamento adequado, transparente e legítimo para garantir a proteção dos dados pessoais e a preservação da vida privada dos usuários.
Primeiramente, devem ser observados os princípios da LGPD durante a coleta de dados pessoais através de cookies. Com relação ao princípio da finalidade, necessidade e adequação, faz-se necessário que para que haja a coleta de cookies, seja utilizada uma finalidade legítima, que deve ser informada aos titulares dos dados, não sendo permitida a indicação de finalidade genérica. Exemplificando, caso os cookies sejam coletados para fins estatísticos para levantar o número de acessos ao site, não poderá ser coletado outro dado através do cookie que não seja o necessário para levantar tal estatística.
Pelos princípios do livre acesso e transparência, deverá ser informada a forma como os dados pessoais serão tratados, se haverá compartilhamento e por quanto tempo serão retidos os dados, sendo uma boa prática informar aos titulares como gerenciar os cookies em seus navegadores. É essencial que seja disponibilizada de forma clara e simplificada algum meio para o exercício dos direitos do titular elencados no artigo 18º da LGPD, sendo recomendável a disponibilização de ferramenta de gerenciamento de cookies, possibilitando a revogação de permissões concessão de consentimento para categorias específicas de cookies.
Os dados pessoais coletados não poderão ser mantidos por tempo indeterminado, devendo ser eliminados após o cumprimento da finalidade informada, podendo ser mantidos apenas em situações excepcionais trazidas no artigo 16º da LGPD. Além do respeito aos princípios, deverá ser observada a base legal, que é a hipótese autorizativa para o tratamento dos dados pessoais, sendo as duas bases legais mais relevantes, mas não as únicas existentes, no contexto da coleta de cookies, o consentimento e o legítimo interesse do controlador.
O consentimento é a coleta da autorização específica do titular para o tratamento de seus dados, devendo tal autorização ser livre, informada e inequívoca.
Para que o consentimento seja livre, deve ser oferecida oportunidade de o titular efetivamente poder aceitar ou não a utilização dos cookies, sem intervenção do controlador que possa interferir ou prejudicar seu livre consentimento, não podendo utilizar-se de meios que possam forçar o titular a consentir, devendo ser oferecidas alternativas reais e satisfatórias ao titular no momento do consentimento, que devem ser analisadas considerando o caso prático.
Outra característica é a informação, ou seja, deverão ser apresentadas ao titular todas as informações que sejam relacionadas à tomada de decisão, de forma simples e facilitada, para que ele tenha a capacidade de efetivamente avaliar se quer ou não consentir com a coleta dos cookies. Tal informação é tão importante que caso haja alguma mudança nas informações relacionadas ao tratamento, deverá ser coletado novo consentimento, informando o titular sobre tal atualização.
Por fim, o consentimento deverá ser inequívoco, ou seja, a manifestação deve ser realizada por meio de um ato positivo do usuário, não sendo recomendável banners de cookies com opções de autorização pré-selecionadas ou coleta de consentimento de forma tácita. Após coletada a autorização, é obrigação de quem coletou manter o registro de tais consentimentos e comprovar que este foi coletado respeitando os ditames legais.
Ademais, para auxiliar o titular na compreensão do tratamento dos dados pessoais através da coleta de cookies e atender ao princípio da transparência, é recomendada a publicação de uma política de cookies ou documento equivalente, devendo constar informações sobre as finalidades e meios de tratamento dos dados coletados, além de prazos de retenção, compartilhamento dos dados, entre outros aspectos elencados na legislação pertinente. Tal política não se confunde com o chamado banner de cookies, em que o controlador informa ao titular de forma simples, direta e resumida sobre a utilização dos cookies naquele portal.
Como já informado, para que o consentimento coletado no banner de cookies seja inequívoco, deve haver a opção de aceitar ou não os cookies, devendo ser fornecidas opções ao titular sobre os diversos tipos de cookies, permitindo que possa gerenciar algumas categorias de cookies, recusando outras. Deve-se evitar a utilização de botão único sem opção de gerenciamento dos tipos de cookies, bem como deve ser facilitada a possibilidade de gerência ou recusa destes.
Conclui-se que a ANPD buscou através da elaboração deste Guia, trazer orientações aos agentes de tratamento sobre as boas práticas a serem seguidas quando da coleta de cookies, cabendo , entretanto, a uma assessoria jurídica especializada em proteção de dados pessoais analisar no caso prático quais as bases legais para o tratamento de cada espécie de cookie, bem como para produção de Políticas, textos e documentos relacionados com o fim de garantir maior segurança e conformidade com a legislação.
O Guia orientativo sobre cookies e proteção de dados pessoais pode ser acessado na íntegra pelo link: