Consultor Jurídico

Opinião

Aviso de cookies: qual modelo adotar?

Por 

A ANPD emitiu um ofício recomendando ao Portal Gov.br o cumprimento de disposições da Lei Geral de Proteção de Dados (LGPD) acerca do uso de cookies. Foram identificados dois pontos de atenção: o primeiro diz respeito ao banner de aviso de cookies, aquele que aparece imediatamente após o site ser acessado; e o segundo, sobre a política de privacidade de cookies.

Apesar dos apontamentos terem sido direcionados especificamente ao portal do governo, é esperado que o mesmo critério seja aplicado às pessoas jurídicas de direito privado.

Mas o que são "cookies"? Sintetizando, são arquivos criados pelos sites para armazenar as informações de navegação do usuário. O acesso ao site serve de gatilho para a criação desses arquivos que capturam informações de todos os tipos. São armazenadas informações relativas à maneira como os usuários utilizam as ferramentas disponíveis pelo site, o que pode proporcionar uma melhora do seu desempenho, data e horário de acesso, IPs, geolocalização e, principalmente, preferências do usuário.

A criação de cookies está relacionada com os objetivos de uso das informações, o que determina a sua categoria. Há cookies que são (1) necessários para manter a funcionalidade e aprimorar o (2) desempenho do site. Outros são destinados à (3) publicidade, quando são utilizados dados relativos aos interesses do usuário. E há também os cookies de (4) terceiros, que são criados por sites diferentes daquele acessado e que rastreiam as informações.

Ocorre que não há um dispositivo na LGPD que regule tema tão específico e, por isso, a autoridade nacional precisou interpretar o texto legal, o que resultou no seguinte entendimento: a base legal para o tratamento de dados pessoais através de cookies é o consentimento, nos termos mencionados no artigo 5º, inciso XII, da LGPD, que é a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada".

Essa é a mesma versão adotada pela União Europeia. O European Data Protection Board (EDPB) — conselho europeu de proteção de dados — emitiu uma guideline, em maio de 2020, na qual fez correlações sobre o uso do consentimento à captura de dados através de cookies. Cabe ressaltar que o consentimento também é uma base legal prevista no General Data Protection Regulation (GDPR) — regulamento europeu de proteção de dados — cuja definição foi incorporada pela LGPD.

O EDPB diz que o consentimento só é livremente prestado quando oferecer uma escolha genuína ao titular de dados, que o coloque na posição de controle do processamento da informação. Se há múltiplas operações de tratamento de dados, o consentimento deve ser oferecido a cada uma delas, pois prevalece o conceito da granularidade, que garante ao titular o direito de escolher qual processamento de dados ele quer autorizar, individualmente.

Nesse contexto e diante das diversas categorias de cookies existentes, a conclusão lógica é a de que o consentimento deve ser oferecido a cada uma delas, sendo necessário que os sites informem quais dados são coletados em cada categoria. Além disso, para que a escolha seja, de fato, livre, nenhuma das opções deve estar previamente marcada, pois é desejada uma "ação" do titular (opt-in).

Assim, a orientação emitida pela ANPD estabelece que o aviso de cookies passe a ter as seguintes características:

1. Divisão de banners em dois níveis, sendo que no primeiro deve haver um botão "rejeitar todos os cookies" de fácil acesso;

2. No segundo nível, as categorias de cookies devem estar individualizadas;

3. O padrão deve ser o opt-in (consentimento) para cada categoria;

 

(Exemplo)
Fonte: https://ico.org.uk/

(Information Commissioner`s Office)

 

 

 

 

 

É importante salientar que os cookies classificados como "necessários" independem de consentimento, porque sem eles o site não cumpre o seu papel, e a prestação de serviço se torna deficiente. Por exemplo, os cookies utilizados para armazenar os itens no carrinho de compra são necessários, porque sem eles não há como processar a compra. Aliás, por uma questão de coerência, se o site só utilizar cookies necessários, o banner de aviso acaba sendo dispensável, pois não haverá nada com o que consentir.

Tal procedimento já é aplicado pelas autoridades de proteção de dados da França (CNIL) e Irlanda (DPC). Seus websites armazenam apenas cookies necessários e, por isso, nenhum banner é disponibilizado no momento do acesso e as informações são comunicadas na política de privacidade, garantindo transparência aos titulares.

É certo que essas recomendações que restringem o uso de cookies para captar dados, desde que implementadas, deverão impactar diretamente o desenvolvimento de produtos e serviços e a prospecção de novos clientes, pois o volume de dados a que as empresas terão acesso poderá diminuir drasticamente. E a razão será a facilidade que o usuário terá de rejeitar todos os cookies e continuar navegando, uma vez que o botão de rejeição estará em evidência. O principal interesse de quem acessa um site é interagir com o seu conteúdo e, se a cada acesso o titular tiver que ler, identificar a categoria e gerenciar a coleta de cookies, é possível que ele, simplesmente, rejeite-os na totalidade.

É fato, também, que um percentual baixíssimo de pessoas lê políticas de privacidade. Há pesquisas que falam em 9% dos usuários da internet. E se ninguém lê, com o que as pessoas estão consentindo? Provavelmente, com o que não conhecem e, nesse sentido, as recomendações da ANPD estão ajustadas a garantir a proteção de dados dos titulares, pois aquele que não tem interesse em conhecer a política de tratamento de dados, melhor que tenha a opção acessível de "não ter seus dados coletados".

Muito embora as normas de privacidade se proponham a proteger os dados do titular, o seu cumprimento é direcionado para as pessoas jurídicas ou físicas, controladoras de dados, pois são elas que têm interesse no uso da informação. E, neste sentido, é diligente que estejam encarregadas de criar mecanismos tecnológicos que inibam o titular de fornecer dados de forma impulsiva e desatenta e busquem uma ação consciente, ainda que isso represente um obstáculo na captura de dados.

Assim, a implementação do modelo de aviso de cookies recomendado pela ANPD tem o potencial de evitar que o usuário troque a sua privacidade pelo acesso rápido aos sites e as empresas que estiverem alinhadas a esse modelo irão demonstrar que tratam dados apoiadas em boas práticas de privacidade, valorizando a marca, elevando a reputação e fortalecendo a confiança do cliente.




Topo da página

 é advogada e consultora em privacidade e proteção de dados, certificada pela IAPP como CIPM e especialista em Direito Empresarial pela FGV-SP e Direito e Processo do Trabalho pelo IICS-CEU.

Revista Consultor Jurídico, 23 de junho de 2022, 17h06

Comentários de leitores

1 comentário

Aviso de cookies: qual modelo adotar

Ricardo Benevento (Outros)

Parabéns pela reportagem, muito esclarecedora. Realmente esse assunto dos cookies geralmente são vistos como algo no meio do caminho, atrapalhando a nossa navegação e, de modo geral, passamos direto e não damos o devido valor. Mas é um assunto importante que diz respeito a nossa privacidade e a sociedade precisa se conscientizar e exercer o seu papel. Obrigado pelos esclarecimentos.

Comentários encerrados em 01/07/2022.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.