ANPD lança guia orientativo sobre cookies e proteção de dados pessoais

No dia 18 de outubro de 2022, a Autoridade Nacional de Proteção de Dados (“ANPD”) lançou o guia orientativo “Cookies e Proteção de Dados Pessoais”.  O guia tem como objetivo expor um panorama geral sobre a utilização dos Cookies em ambiente eletrônico, levando em conta os cuidados a serem observados pelos agentes de tratamento no tocante à proteção de dados pessoais. Também, o guia pretende – por meio da utilização de casos ilustrativos – elucidar práticas positivas e negativas na confecção de banners de Cookies dispostos em ambiente eletrônico.

Conceito de Cookies

Para tanto, o guia define Cookies como “arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas” e explica que, a partir da utilização dos Cookies, pode-se, por exemplo, registrar informações de um usuário em determinado website, como seu número do cartão de crédito, seu login, ou um produto previamente adicionado ao seu carrinho de compras.

Atribuição de Bases Legais

Segundo o guia, é necessária a atribuição de uma das bases legais prevista na Lei Geral de Proteção de dados (“LGPD”) para possibilitar a utilização dos Cookies, sendo as mais relevantes e usuais o consentimento e o legítimo interesse.

Consentimento

O guia exemplifica casos nos quais a utilização da base legal do consentimento não é apropriada. Dentre eles estão:

• Cookies estritamente necessários – já que nesses casos a coleta das informações é essencial para o funcionamento da página eletrônica ou do serviço, e, portanto, não há condição efetiva para a manifestação livre do titular; e

• Cookies estritamente necessários para o cumprimento de obrigações e atribuições legais, especialmente nos casos em que houver vínculo claro e direto entre a coleta de dados por meio de Cookies e o exercício de prerrogativas estatais típicas por entidades e órgãos públicos.

Legítimo Interesse

Quanto à base legal do legítimo interesse, o guia informa que poderá ser empregada quando a utilização dos Cookies for estritamente necessária, bem como no caso de Cookies analíticos – responsáveis por medir audiência. Contudo, nos casos de Cookies utilizados para fins de publicidade, a ANPD reforça que nem sempre a hipótese poderá ser utilizada e recomenda a aplicação do teste de balanceamento para determinar a prevalência dos direitos e liberdades fundamentais dos titulares em relação aos legítimos interesses do controlador ou de terceiros.

Boas Práticas

De forma não exaustiva, o guia expõe boas práticas a serem consideradas no momento de elaboração dos banners Cookies, tais como:

• A disponibilização de botão que permita rejeitar todos os cookies não necessários;

• O fornecimento de link de acesso para que o titular exerça os seus direitos, tais como a obtenção de detalhes sobre a utilização de seus dados, o período de retenção, a solicitação do descarte de dados e a revogação do consentimento;

• A classificação dos Cookies em categorias;

• A descrição das categorias dos Cookies de acordo com seus usos e finalidades, com explicação simples dessas finalidades;

• A obtenção do consentimento para cada finalidade específica;

• A desativação dos Cookies baseados no consentimento por padrão; e

• A disponibilização de informações sobre a possibilidade de bloqueio dos cookies pelas configurações do navegador.

Práticas Desaconselhadas

Ainda, o guia lista práticas desaconselhadas na elaboração dos banners de Cookies, exemplificadamente:

• A utilização de um único botão, sem opção de gerenciamento, no caso de utilização da base legal do consentimento;

• O impedimento na visualização dos botões de rejeitar ou configurar Cookies, dando maior destaque ao botão de aceite;

• A impossibilidade ou o impedimento de rejeitar-se todos os Cookies não necessários;

• A apresentação dos Cookies não necessários ativados por padrão, de forma que o titular deva desativá-los manualmente;

• A não disponibilização dos banners de Cookies de segundo nível;

• A não disponibilização de informações e mecanismos diretos, simplificados e próprios para o exercício dos direitos de revogação do consentimento e de oposição ao tratamento por parte do titular de dados;

• A dificuldade no gerenciamento de Cookies;

• A apresentação de informações sobre a política de Cookies apenas em idioma estrangeiro;

• A apresentação da lista de Cookies de forma exageradamente granularizada;

• A vinculação da obtenção do consentimento ao aceite integral das condições de uso de Cookies, sem que se forneça opções efetivas ao titular de dados.

Cumpre ressaltar, embora o guia cuide primordialmente do tratamento de dados pessoais mediante a utilização de Cookies em ambiente eletrônico, suas orientações são aplicáveis à coleta de dados pessoais por meio de tecnologias similares de rastreamento, observando-se a particularidade do caso concreto.

No mais, apesar de o guia expor as boas práticas a serem seguidas pelos agentes de tratamento, ressalta-se que a observância das diretrizes nele contidas não isenta os agentes de observarem as instruções da LGPD.

Acesse o guia na íntegra clicando aqui.

Para mais informações, contate nossa área de Proteção de Dados.