O Guia da ANPD sobre cookies e proteção de dados pessoais

January 17, 2023

Cookies continuam sendo uma fonte de preocupação para as autoridades responsáveis pela proteção de dados em todos os países, ainda mais se for considerada a falta de transparência na coleta e no uso de muitos desses dados. Eis que a Autoridade Nacional de Proteção de Dados (ANPD) emitiu um guia orientativo para lidar com cookies no Brasil, embora a própria Lei Geral de Proteção de Dados (LGPD) não tenha exibido regras específicas a respeito do tema. Até por isso, esse guia da ANPD surge em bom momento para dirimir dúvidas e servir como base para orientar a todos sobre como tratar o tema no Brasil.

O guia inicia com a definição de cookies: arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas, inclusive o funcionamento adequado de algumas páginas de internet que são customizadas a partir dos dados coletados pelos cookies.

A propósito, como os cookies podem conter informações que se refiram diretamente a pessoas naturais ou, ainda, permitir indiretamente a sua identificação – mediante, por exemplo, a realização de inferências e o cruzamento com outras informações e, por vezes, por meio da formação de perfis comportamentais –, tais cookies acabam contendo dados pessoais, que são protegidos pela LGPD.

O guia classifica os cookies em macrocategorias, de acordo com:

1. a entidade responsável por sua gestão.

2. a necessidade.

3. a finalidade.

4. o período de retenção das informações.

Os cookies, de acordo com a entidade responsável por sua gestão, são classificados em:

Cookies próprios ou primários

são aqueles definidos diretamente pelo site ou aplicação que o titular está visitando. Os cookies primários geralmente não podem ser usados para rastrear a atividade em outro site que não seja aquele em que foi colocado. Este tipo de cookie pode incluir informações como credenciais de login, itens do carrinho de compras ou idioma preferido.

Cookies de terceiros

são aqueles criados por um domínio diferente do que o titular está visitando. Decorrem de funcionalidades de outros domínios que são incorporadas a uma página eletrônica, a exemplo da exibição de anúncios.


Os cookies, de acordo com a necessidade, são classificados em:

Cookies necessários

são aqueles utilizados para que o site ou aplicação realize funções básicas e opere corretamente. Por isso, a coleta da informação é essencial para assegurar o funcionamento da página eletrônica ou para a adequada prestação do serviço. Dessa forma, as atividades abrangidas como estritamente necessárias incluem aquelas relacionadas à funcionalidade específica do serviço, ou seja, sem elas o usuário não seria capaz de realizar as principais atividades do site ou aplicação. Essa categoria se restringe ao essencial para prestar o serviço solicitado pelo titular, não contemplando finalidades não essenciais, que atendam a outros interesses do controlador.

Cookies não necessários

são aqueles que não se enquadram na definição de cookies necessários e cuja desabilitação não impede o funcionamento do site ou aplicação ou a utilização dos serviços pelo usuário. Nesse sentido, cookies não necessários estão relacionados com funcionalidades não essenciais do serviço, da aplicação ou da página eletrônica. Exemplos incluem, entre outros, aqueles utilizados para rastrear comportamentos, medir o desempenho da página ou serviço, além de exibir anúncios ou outros conteúdos incorporados.


Os cookies, de acordo com a finalidade, são classificados em:

Cookies analíticos ou de desempenho

possibilitam coletar dados e informações sobre como os usuários utilizam o site, quais páginas visitam com mais frequência naquele site, a ocorrência de erros ou informações sobre o próprio desempenho do site ou da aplicação.

Cookies de funcionalidade

são usados para fornecer os serviços básicos solicitados pelo usuário e possibilitam lembrar preferências do site ou aplicação, como nome de usuário, região ou idioma. Os cookies de funcionalidade podem incluir cookies próprios, de terceiros, persistentes ou de sessão.

Cookies de publicidade

são utilizados para coletar informações do titular com a finalidade de exibir anúncios. Mais especificamente, a partir da coleta de informações relativas aos hábitos de navegação do usuário, os cookies de publicidade permitem sua identificação, a construção de perfis e a exibição de anúncios personalizados de acordo com os seus interesses.


Os cookies, de acordo com o período de retenção das informações, são classificados em:

Cookies de sessão ou temporários

são projetados para coletar e armazenar informações enquanto os titulares acessam um site. Costumam ser descartados após o encerramento da sessão, isto é, após o usuário fechar o navegador. São utilizados regularmente para armazenar informações que só são relevantes para a prestação de um serviço solicitado pelos usuários ou com uma finalidade específica temporária, como ocorre, em geral, com uma lista de produtos no carrinho de um site de compras.

Cookies persistentes

os dados coletados por meio desses cookies ficam armazenados e podem ser acessados e processados por um período definido pelo controlador, que pode variar de alguns minutos a vários anos. A esse respeito, deve ser avaliado no caso concreto se a utilização de cookies persistentes é necessária, uma vez que as ameaças à privacidade podem ser reduzidas com a utilização de cookies de sessão. Em qualquer caso, quando são utilizados cookies persistentes, é recomendável limitar sua duração no tempo tanto quanto possível, considerando a finalidade para a qual foram coletados e serão tratados, conforme exposto mais adiante neste guia.


O documento deixa claro que a utilização de cookies somente será legítima se respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na LGPD.

Assim, o guia passa a fazer referência aos principais pontos da LGPD que são aplicáveis à coleta de dados pessoais por meio de cookies, conforme os aspectos citados a seguir:

ITEM DA LGPD

EXPLICAÇÃO

RECOMENDAÇÃO

1. Princípios da finalidade, necessidade e adequação (Art. 6, I, II e III)

A coleta de dados pessoais mediante o uso de cookies deve ser limitada ao mínimo necessário para a realização de finalidades legítimas, explícitas e específicas, observada a impossibilidade de tratamento posterior de forma incompatível com essas finalidades. Nesse sentido, a finalidade que justifica a utilização de determinada categoria de cookies deve ser específica e informada ao titular, e a coleta de dados deve ser compatível com tal finalidade. Por exemplo, caso o responsável pela página eletrônica informe ao titular que utiliza cookies apenas para medição de audiência, não poderá utilizar as informações coletadas para fins distintos e não compatíveis com essa finalidade, tais como para a formação de perfis e a exibição de anúncios. Da mesma forma, não poderá coletar outros dados pessoais não relacionados ou não compatíveis com essa finalidade. Por isso, não se admite a indicação de finalidades genéricas, tal como ocorre com a solicitação de aceite de termos e condições gerais, sem a indicação das finalidades específicas de uso dos cookies. Além disso, o princípio da necessidade determina que o tratamento deve abranger apenas os “dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Esse princípio desaconselha o próprio tratamento de dados pessoais quando a finalidade que se almeja pode ser atingida por outros meios menos gravosos ao titular de dados.

2. Princípios do livre acesso e da transparência (Art. 6, IV e VI)

Impõem ao agente de tratamento a obrigação de fornecer aos titulares informações claras, precisas e facilmente acessíveis sobre a forma do tratamento, o período de retenção e as finalidades específicas que justificam a coleta de seus dados por meio de cookies. Também é importante que sejam fornecidas informações sobre o eventual compartilhamento de dados com terceiros e sobre os direitos assegurados ao titular, entre outros aspectos indicados no Art. 9º da LGPD.

Uma boa prática é a indicação ao titular sobre como gerenciar preferências de cookies em seu próprio navegador ou aparelho. Assim, por exemplo, pode ser objeto de explicação a forma pela qual os cookies podem ser excluídos ou, ainda, como desabilitar cookies de terceiros. Importante ressaltar que o gerenciamento de cookies pelo navegador possui uma função complementar, que não afasta a necessidade de disponibilização ao titular de um mecanismo direto e próprio para o gerenciamento de cookies e para o exercício de seus direitos, sempre acompanhado da indicação das informações correspondentes. Quanto à forma de apresentação, essas informações podem ser indicadas, por exemplo, em banners, apresentados após o acesso a uma página na internet; e, de forma mais detalhada, em políticas ou avisos de privacidade, que contenham informações sobre a política de cookies utilizada pelo agente de tratamento, conforme as recomendações apresentadas neste Guia.

3. Direitos do titular

No contexto da utilização de cookies, são especialmente relevantes o direito de acesso, de eliminação de dados, de revogação do consentimento e de oposição ao tratamento, sempre mediante procedimento gratuito e facilitado, conforme previsto no Art. 18 da LGPD.

Para o atendimento a essa determinação legal, é recomendável a disponibilização ao titular de mecanismo para o “gerenciamento
de cookies”, por meio do qual seja possível, por exemplo, rever permissões anteriormente concedidas, como na hipótese de revogação de consentimento relacionado ao uso de cookies para fins de marketing, quando essa for a base legal utilizada.

4. Término do tratamento e eliminação dos dados pessoais

A LGPD prevê, como regra geral, que os dados pessoais devem ser eliminados após o término do tratamento, o que pode ocorrer, por exemplo, quando a finalidade for alcançada ou a eliminação for legitimamente solicitada pelo titular. Dessa forma, o armazenamento de informações pessoais após o término do tratamento somente é admitido em hipóteses excepcionais, tal como para fins de cumprimento de obrigação legal, entre outras hipóteses previstas no Art. 16 da LGPD. Daí decorre que o período de retenção de cookies deve ser compatível com as finalidades do tratamento, limitando-se ao estritamente necessário para se alcançar essa finalidade. Por isso, períodos de retenção indeterminados, excessivos ou desproporcionais em relação às finalidades do tratamento não são compatíveis com a LGPD.

5. Hipóteses legais

São as hipóteses em que a LGPD autoriza o tratamento de dados pessoais, conforme o disposto no Art. 7º e no Art. 11 – este, no caso de dados pessoais sensíveis. Assim, sempre que envolvido tratamento de dados pessoais, a utilização de cookies somente poderá ser admitida se identificada a hipótese legal aplicável pelo controlador e atendidos os requisitos específicos estipulados para esse fim na LGPD.

Aqui, o consentimento e o legítimo interesse estão sob o foco principal. Com respeito ao consentimento, ele deve ser livre, informado e inequívoco, além de ser obtido de forma específica e destacada, especialmente no que concerne a autorização para tratamento de dados pessoais sensíveis, constando de forma separada. Portanto, não é recomendável a utilização do consentimento para os cookies necessários. Deve ainda ser disponibilizado um procedimento simplificado e gratuito para revogar o consentimento. Já no caso do legítimo interesse, ele sempre poderá ser utilizado no tratamento de dados pessoais de natureza não sensível quando necessário ao atendimento de interesses legítimos do controlador ou de terceiros, “exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”. Logo, para ser adequado o tratamento, o controlador deve se certificar de que a utilização pretendida, além de não ferir direitos e liberdades, poderia ser razoavelmente prevista pelo titular de dados, isto é, que seria possível ao titular supor que aquela utilização poderia ocorrer com seus dados pessoais a partir das informações prestadas pelo controlador no momento da coleta
do dado pessoal. Assim, cookies analíticos ou de medição são apropriados sob a justificativa do legítimo interesse, ao passo que cookies de publicidade, não.

O guia finalmente recomenda que seja criada uma Política de Cookies, constituindo-se em uma declaração pública que disponibilize informações aos usuários de um site ou aplicativo, devendo apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento. A Política de Cookies pode ser apresentada: (i) como uma seção específica do Aviso de Privacidade; (ii) em um local específico e separado; ou (iii) no próprio banner de cookies.

Banners de cookies são recursos visuais usados no design de aplicativos ou sites na internet, que utilizam barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. O guia estabelece as seguintes boas práticas quanto ao uso de banners de cookies:

1. Banners de primeiro nível

– Disponibilizar botão que permita rejeitar todos os cookies não necessários, de fácil visualização, nos banners de primeiro e de segundo nível, com as seguintes opções: (i) Rejeitar cookies não necessários, (ii) Aceitar todos os cookies e (iii) Selecionar cookies.
– Fornecer um link de fácil acesso para que o titular possa exercer os seus direitos, que pode incluir, por exemplo, saber mais detalhes sobre como seus dados são utilizados e sobre o período de retenção, além de solicitar a eliminação dos dados, opor-se ao tratamento ou revogar o consentimento.

2. Banners de segundo nível

– Classificar os cookies em categorias no banner de segundo nível.
– Descrever as categorias de cookies de acordo com seus usos e finalidades.
– Apresentar descrição e informações simples, claras e precisas quanto a essas finalidades.
– Permitir a obtenção do consentimento para cada finalidade específica, de acordo com as categorias identificadas no banner de segundo nível, quando couber.
– Desativar cookies baseados no consentimento por padrão.
– Disponibilizar informações sobre como realizar o bloqueio de cookies pelas configurações do navegador. Caso o cookie ou rastreador não possa ser desabilitado por meio do navegador, o titular deverá ser informado a respeito.

Por fim, o guia recomenda que sejam evitadas as seguintes práticas em banners de cookies:

  1. Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.);
  2. Dificultar a visualização ou compreensão dos botões de rejeitar cookies ou de configurar cookies, e conferir maior destaque apenas ao botão de aceite;
  3. Impossibilitar ou dificultar a rejeição de todos os cookies não necessários;
  4. Apresentar cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular;
  5. Não disponibilizar banner de segundo nível;
  6. Não disponibilizar informações e mecanismo direto, simplificado e próprio para o exercício dos direitos de revogação do consentimento e de oposição ao tratamento pelo titular (além das configurações de bloqueio do navegador);
  7. Dificultar o gerenciamento de cookies (exemplo: não disponibilizar opções específicas de gerenciamento para cookies que possuem finalidades distintas);
  8. Apresentar informações sobre a política de cookies apenas em idioma estrangeiro;
  9. Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular;
  10. Ao utilizar o consentimento como hipótese legal, vincular a sua obtenção ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular.
No items found.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

O Guia da ANPD sobre cookies e proteção de dados pessoais

No items found.

Cookies continuam sendo uma fonte de preocupação para as autoridades responsáveis pela proteção de dados em todos os países, ainda mais se for considerada a falta de transparência na coleta e no uso de muitos desses dados. Eis que a Autoridade Nacional de Proteção de Dados (ANPD) emitiu um guia orientativo para lidar com cookies no Brasil, embora a própria Lei Geral de Proteção de Dados (LGPD) não tenha exibido regras específicas a respeito do tema. Até por isso, esse guia da ANPD surge em bom momento para dirimir dúvidas e servir como base para orientar a todos sobre como tratar o tema no Brasil.

O guia inicia com a definição de cookies: arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas, inclusive o funcionamento adequado de algumas páginas de internet que são customizadas a partir dos dados coletados pelos cookies.

A propósito, como os cookies podem conter informações que se refiram diretamente a pessoas naturais ou, ainda, permitir indiretamente a sua identificação – mediante, por exemplo, a realização de inferências e o cruzamento com outras informações e, por vezes, por meio da formação de perfis comportamentais –, tais cookies acabam contendo dados pessoais, que são protegidos pela LGPD.

O guia classifica os cookies em macrocategorias, de acordo com:

1. a entidade responsável por sua gestão.

2. a necessidade.

3. a finalidade.

4. o período de retenção das informações.

Os cookies, de acordo com a entidade responsável por sua gestão, são classificados em:

Cookies próprios ou primários

são aqueles definidos diretamente pelo site ou aplicação que o titular está visitando. Os cookies primários geralmente não podem ser usados para rastrear a atividade em outro site que não seja aquele em que foi colocado. Este tipo de cookie pode incluir informações como credenciais de login, itens do carrinho de compras ou idioma preferido.

Cookies de terceiros

são aqueles criados por um domínio diferente do que o titular está visitando. Decorrem de funcionalidades de outros domínios que são incorporadas a uma página eletrônica, a exemplo da exibição de anúncios.


Os cookies, de acordo com a necessidade, são classificados em:

Cookies necessários

são aqueles utilizados para que o site ou aplicação realize funções básicas e opere corretamente. Por isso, a coleta da informação é essencial para assegurar o funcionamento da página eletrônica ou para a adequada prestação do serviço. Dessa forma, as atividades abrangidas como estritamente necessárias incluem aquelas relacionadas à funcionalidade específica do serviço, ou seja, sem elas o usuário não seria capaz de realizar as principais atividades do site ou aplicação. Essa categoria se restringe ao essencial para prestar o serviço solicitado pelo titular, não contemplando finalidades não essenciais, que atendam a outros interesses do controlador.

Cookies não necessários

são aqueles que não se enquadram na definição de cookies necessários e cuja desabilitação não impede o funcionamento do site ou aplicação ou a utilização dos serviços pelo usuário. Nesse sentido, cookies não necessários estão relacionados com funcionalidades não essenciais do serviço, da aplicação ou da página eletrônica. Exemplos incluem, entre outros, aqueles utilizados para rastrear comportamentos, medir o desempenho da página ou serviço, além de exibir anúncios ou outros conteúdos incorporados.


Os cookies, de acordo com a finalidade, são classificados em:

Cookies analíticos ou de desempenho

possibilitam coletar dados e informações sobre como os usuários utilizam o site, quais páginas visitam com mais frequência naquele site, a ocorrência de erros ou informações sobre o próprio desempenho do site ou da aplicação.

Cookies de funcionalidade

são usados para fornecer os serviços básicos solicitados pelo usuário e possibilitam lembrar preferências do site ou aplicação, como nome de usuário, região ou idioma. Os cookies de funcionalidade podem incluir cookies próprios, de terceiros, persistentes ou de sessão.

Cookies de publicidade

são utilizados para coletar informações do titular com a finalidade de exibir anúncios. Mais especificamente, a partir da coleta de informações relativas aos hábitos de navegação do usuário, os cookies de publicidade permitem sua identificação, a construção de perfis e a exibição de anúncios personalizados de acordo com os seus interesses.


Os cookies, de acordo com o período de retenção das informações, são classificados em:

Cookies de sessão ou temporários

são projetados para coletar e armazenar informações enquanto os titulares acessam um site. Costumam ser descartados após o encerramento da sessão, isto é, após o usuário fechar o navegador. São utilizados regularmente para armazenar informações que só são relevantes para a prestação de um serviço solicitado pelos usuários ou com uma finalidade específica temporária, como ocorre, em geral, com uma lista de produtos no carrinho de um site de compras.

Cookies persistentes

os dados coletados por meio desses cookies ficam armazenados e podem ser acessados e processados por um período definido pelo controlador, que pode variar de alguns minutos a vários anos. A esse respeito, deve ser avaliado no caso concreto se a utilização de cookies persistentes é necessária, uma vez que as ameaças à privacidade podem ser reduzidas com a utilização de cookies de sessão. Em qualquer caso, quando são utilizados cookies persistentes, é recomendável limitar sua duração no tempo tanto quanto possível, considerando a finalidade para a qual foram coletados e serão tratados, conforme exposto mais adiante neste guia.


O documento deixa claro que a utilização de cookies somente será legítima se respeitados os princípios, os direitos dos titulares e o regime de proteção de dados previstos na LGPD.

Assim, o guia passa a fazer referência aos principais pontos da LGPD que são aplicáveis à coleta de dados pessoais por meio de cookies, conforme os aspectos citados a seguir:

ITEM DA LGPD

EXPLICAÇÃO

RECOMENDAÇÃO

1. Princípios da finalidade, necessidade e adequação (Art. 6, I, II e III)

A coleta de dados pessoais mediante o uso de cookies deve ser limitada ao mínimo necessário para a realização de finalidades legítimas, explícitas e específicas, observada a impossibilidade de tratamento posterior de forma incompatível com essas finalidades. Nesse sentido, a finalidade que justifica a utilização de determinada categoria de cookies deve ser específica e informada ao titular, e a coleta de dados deve ser compatível com tal finalidade. Por exemplo, caso o responsável pela página eletrônica informe ao titular que utiliza cookies apenas para medição de audiência, não poderá utilizar as informações coletadas para fins distintos e não compatíveis com essa finalidade, tais como para a formação de perfis e a exibição de anúncios. Da mesma forma, não poderá coletar outros dados pessoais não relacionados ou não compatíveis com essa finalidade. Por isso, não se admite a indicação de finalidades genéricas, tal como ocorre com a solicitação de aceite de termos e condições gerais, sem a indicação das finalidades específicas de uso dos cookies. Além disso, o princípio da necessidade determina que o tratamento deve abranger apenas os “dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Esse princípio desaconselha o próprio tratamento de dados pessoais quando a finalidade que se almeja pode ser atingida por outros meios menos gravosos ao titular de dados.

2. Princípios do livre acesso e da transparência (Art. 6, IV e VI)

Impõem ao agente de tratamento a obrigação de fornecer aos titulares informações claras, precisas e facilmente acessíveis sobre a forma do tratamento, o período de retenção e as finalidades específicas que justificam a coleta de seus dados por meio de cookies. Também é importante que sejam fornecidas informações sobre o eventual compartilhamento de dados com terceiros e sobre os direitos assegurados ao titular, entre outros aspectos indicados no Art. 9º da LGPD.

Uma boa prática é a indicação ao titular sobre como gerenciar preferências de cookies em seu próprio navegador ou aparelho. Assim, por exemplo, pode ser objeto de explicação a forma pela qual os cookies podem ser excluídos ou, ainda, como desabilitar cookies de terceiros. Importante ressaltar que o gerenciamento de cookies pelo navegador possui uma função complementar, que não afasta a necessidade de disponibilização ao titular de um mecanismo direto e próprio para o gerenciamento de cookies e para o exercício de seus direitos, sempre acompanhado da indicação das informações correspondentes. Quanto à forma de apresentação, essas informações podem ser indicadas, por exemplo, em banners, apresentados após o acesso a uma página na internet; e, de forma mais detalhada, em políticas ou avisos de privacidade, que contenham informações sobre a política de cookies utilizada pelo agente de tratamento, conforme as recomendações apresentadas neste Guia.

3. Direitos do titular

No contexto da utilização de cookies, são especialmente relevantes o direito de acesso, de eliminação de dados, de revogação do consentimento e de oposição ao tratamento, sempre mediante procedimento gratuito e facilitado, conforme previsto no Art. 18 da LGPD.

Para o atendimento a essa determinação legal, é recomendável a disponibilização ao titular de mecanismo para o “gerenciamento
de cookies”, por meio do qual seja possível, por exemplo, rever permissões anteriormente concedidas, como na hipótese de revogação de consentimento relacionado ao uso de cookies para fins de marketing, quando essa for a base legal utilizada.

4. Término do tratamento e eliminação dos dados pessoais

A LGPD prevê, como regra geral, que os dados pessoais devem ser eliminados após o término do tratamento, o que pode ocorrer, por exemplo, quando a finalidade for alcançada ou a eliminação for legitimamente solicitada pelo titular. Dessa forma, o armazenamento de informações pessoais após o término do tratamento somente é admitido em hipóteses excepcionais, tal como para fins de cumprimento de obrigação legal, entre outras hipóteses previstas no Art. 16 da LGPD. Daí decorre que o período de retenção de cookies deve ser compatível com as finalidades do tratamento, limitando-se ao estritamente necessário para se alcançar essa finalidade. Por isso, períodos de retenção indeterminados, excessivos ou desproporcionais em relação às finalidades do tratamento não são compatíveis com a LGPD.

5. Hipóteses legais

São as hipóteses em que a LGPD autoriza o tratamento de dados pessoais, conforme o disposto no Art. 7º e no Art. 11 – este, no caso de dados pessoais sensíveis. Assim, sempre que envolvido tratamento de dados pessoais, a utilização de cookies somente poderá ser admitida se identificada a hipótese legal aplicável pelo controlador e atendidos os requisitos específicos estipulados para esse fim na LGPD.

Aqui, o consentimento e o legítimo interesse estão sob o foco principal. Com respeito ao consentimento, ele deve ser livre, informado e inequívoco, além de ser obtido de forma específica e destacada, especialmente no que concerne a autorização para tratamento de dados pessoais sensíveis, constando de forma separada. Portanto, não é recomendável a utilização do consentimento para os cookies necessários. Deve ainda ser disponibilizado um procedimento simplificado e gratuito para revogar o consentimento. Já no caso do legítimo interesse, ele sempre poderá ser utilizado no tratamento de dados pessoais de natureza não sensível quando necessário ao atendimento de interesses legítimos do controlador ou de terceiros, “exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”. Logo, para ser adequado o tratamento, o controlador deve se certificar de que a utilização pretendida, além de não ferir direitos e liberdades, poderia ser razoavelmente prevista pelo titular de dados, isto é, que seria possível ao titular supor que aquela utilização poderia ocorrer com seus dados pessoais a partir das informações prestadas pelo controlador no momento da coleta
do dado pessoal. Assim, cookies analíticos ou de medição são apropriados sob a justificativa do legítimo interesse, ao passo que cookies de publicidade, não.

O guia finalmente recomenda que seja criada uma Política de Cookies, constituindo-se em uma declaração pública que disponibilize informações aos usuários de um site ou aplicativo, devendo apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento. A Política de Cookies pode ser apresentada: (i) como uma seção específica do Aviso de Privacidade; (ii) em um local específico e separado; ou (iii) no próprio banner de cookies.

Banners de cookies são recursos visuais usados no design de aplicativos ou sites na internet, que utilizam barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. O guia estabelece as seguintes boas práticas quanto ao uso de banners de cookies:

1. Banners de primeiro nível

– Disponibilizar botão que permita rejeitar todos os cookies não necessários, de fácil visualização, nos banners de primeiro e de segundo nível, com as seguintes opções: (i) Rejeitar cookies não necessários, (ii) Aceitar todos os cookies e (iii) Selecionar cookies.
– Fornecer um link de fácil acesso para que o titular possa exercer os seus direitos, que pode incluir, por exemplo, saber mais detalhes sobre como seus dados são utilizados e sobre o período de retenção, além de solicitar a eliminação dos dados, opor-se ao tratamento ou revogar o consentimento.

2. Banners de segundo nível

– Classificar os cookies em categorias no banner de segundo nível.
– Descrever as categorias de cookies de acordo com seus usos e finalidades.
– Apresentar descrição e informações simples, claras e precisas quanto a essas finalidades.
– Permitir a obtenção do consentimento para cada finalidade específica, de acordo com as categorias identificadas no banner de segundo nível, quando couber.
– Desativar cookies baseados no consentimento por padrão.
– Disponibilizar informações sobre como realizar o bloqueio de cookies pelas configurações do navegador. Caso o cookie ou rastreador não possa ser desabilitado por meio do navegador, o titular deverá ser informado a respeito.

Por fim, o guia recomenda que sejam evitadas as seguintes práticas em banners de cookies:

  1. Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.);
  2. Dificultar a visualização ou compreensão dos botões de rejeitar cookies ou de configurar cookies, e conferir maior destaque apenas ao botão de aceite;
  3. Impossibilitar ou dificultar a rejeição de todos os cookies não necessários;
  4. Apresentar cookies não necessários ativados por padrão, exigindo a desativação manual pelo titular;
  5. Não disponibilizar banner de segundo nível;
  6. Não disponibilizar informações e mecanismo direto, simplificado e próprio para o exercício dos direitos de revogação do consentimento e de oposição ao tratamento pelo titular (além das configurações de bloqueio do navegador);
  7. Dificultar o gerenciamento de cookies (exemplo: não disponibilizar opções específicas de gerenciamento para cookies que possuem finalidades distintas);
  8. Apresentar informações sobre a política de cookies apenas em idioma estrangeiro;
  9. Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular;
  10. Ao utilizar o consentimento como hipótese legal, vincular a sua obtenção ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular.
No items found.