Em 18 de outubro de 2022 foi lançado pela Autoridade Nacional de Proteção de Dados – ANPD um guia orientativo denominado “Cookies e Proteção de Dados Pessoais”.
Não obstante o Guia ter como foco principal a coleta de dados pessoais por meio de cookies no acesso a páginas eletrônicas na internet, a ANPD deixou claro que as orientações apresentadas também são aplicáveis, de forma geral,para a coleta de dados pessoais mediante o uso de tecnologias similares de rastreamento, incluindo em dispositivos móveis (celulares e tablets, por exemplo), observadas as peculiaridades de cada contexto.
Cookies são arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas como o funcionamento adequado e e para viabilizar a oferta de serviços no ambiente digital.
Os cookies permitem armazenar nos dispositivos dos usuários uma série de dados. As informações coletadas e armazenadas pelos cookies podem se referir diretamente a pessoas naturais ou, ainda, permitir indiretamente a sua identificação, mediante, por exemplo, a realização de inferências e o cruzamento com outras informações e, por vezes, por meio da formação de perfis comportamentais.
O guia ainda classifica os cookies de acordo com as suas diversas categorias, e afirma que estes deverão seguir os princípios da LGPD.
A ANPD afirma que não é compatível com a LGPD a obtenção “forçada” do consentimento, isto é, de forma condicionada ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular. Também aduz que não é recomendável a utilização de banners de cookies com opções de autorização pré-selecionadas ou a adoção de mecanismos de consentimento tácito, como a pressuposição de que, ao continuar a navegação em uma página, o titular forneceria consentimento para o tratamento de seus dados pessoais.
O consentimento será a hipótese adequada para as situações de cookies não necessários.
Contudo, o guia afirma que não é apropriado utilizar a hipótese legal do consentimento nas hipóteses de cookies estritamente necessários, pois nessas situações a coleta da informação é essencial para assegurar o funcionamento da página eletrônica ou para a adequada prestação do serviço, de modo que não haveria condições efetivas para uma manifestação livre do titular ou, ainda, para que se assegure a este a real possibilidade de escolher entre aceitar ou recusar o tratamento de seus dados pessoais.
De forma similar, o consentimento não será a hipótese legal apropriada se o tratamento for estritamente necessário para o cumprimento de obrigações e atribuições legais, notadamente quando demonstrada a existência de um vínculo claro e direto entre a coleta de dados por meio de cookies e o exercício de prerrogativas estatais típicas por entidades e órgãos públicos.
O legítimo interesse poderá ser a hipótese legal apropriada nos casos de utilização de cookies estritamente necessários e para fins de medição de audiência (cookies analíticos ou de medição), nessa última hipótese em determinados contextos, observados os requisitos previstos na LGPD.
Por outro lado, é possível afirmar que o legítimo interesse dificilmente será a hipótese legal mais apropriada nas situações em que os dados coletados por meio de cookies são utilizados para fins de publicidade como, por exemplo, nos casos em que houver formação de perfis comportamentais, análise e previsão de preferências e comportamentos ou, ainda, rastreamento do usuário por páginas eletrônicas distintas.
Ademais, a ANPD recomenda uma Política de Cookies para atender ao princípio da transparência e auxiliar o titular a compreender o tratamento dos dados pessoais coletados por meio de cookies, sendo esta uma declaração pública que disponibiliza informações aos usuários de um site ou aplicativo.
Importante também não confundir a Política de Cookies com o Banner de Cookies, sendo este último um recurso visual usado no design de aplicativos ou sites na internet, que utiliza barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente, fornecendo ferramentas para que o usuário possa ter maior controle sobre o tratamento (veja desenhos no guia). Por exemplo, o banner permite que o usuário consinta ou não com determinados tipos de cookies.
Nos banners de primeiro nível o agente deverá: a) disponibilizar botão que permita rejeitar todos os cookies não necessários, de fácil visualização, b) fornecer um link de fácil acesso para que o titular possa exercer os seus direitos.
No de segundo nível deverá: i) classificar os cookies em categorias no banner de segundo nível; ii) descrever as categorias de cookies de acordo com seus usos e finalidades; iii) apresentar descrição e informações simples, claras e precisas quanto a essas finalidades; iv) permitir a obtenção do consentimento para cada finalidade específica, v) desativar cookies baseados no consentimento por padrão. vi) disponibilizar informações sobre como realizar o bloqueio de cookies pelas configurações do navegador.
Estas são algumas breves considerações sobre o trabalho, mas aconselhamos a integral leitura no link abaixo abaixo.
A ANPD abriu a oportunidade para comentários e contribuições contínuas da sociedade por meio da Plataforma Fala.BR.e para tanto basta acessar o link.
Luiz Fernando Picorelli
Consultor jurídico, CIPM e CDPO/BR pela International Association of Privacy Professionals – IAPP