Foi publicado, pela Autoridade Nacional de Proteção de Dados (ANPD), o Guia orientativo sobre Cookies e Proteção de Dados Pessoais, que busca orientar os agentes de tratamento sobre a utilização de cookies em seus websites.

O guia define cookies como arquivos instalados no dispositivo de um usuário que permitam a coleta de determinadas informações, podendo incluir dados pessoais em situações específicas e os separa em categorias, de acordo com quatro critérios, sendo eles:

1- De acordo com a entidade responsável pela sua gestão:
Cookies próprios ou primários; e cookies de terceiros.

2- De acordo com a necessidade:
Cookies necessários; e cookies não necessários.

3- De acordo com a finalidade:
Cookies analíticos ou de desempenho; cookies de funcionalidade; e cookies de publicidade

4- De acordo com o período de retenção das informações:
Cookies de sessão ou temporários; e cookies persistentes

A ANPD reforça, através do guia, que um dos potenciais e principais problemas relacionados ao uso de cookies é a falta de transparência, isto é, a não disponibilização de informações claras, precisas e facilmente acessíveis sobre a coleta e a realização do tratamento, o que pode inviabilizar ou restringir indevidamente o controle do titular sobre os seus dados pessoais, trazendo riscos à privacidade.

Além disso, o guia destaca aspectos gerais em relação às disposições da LGPD aplicáveis à coleta de dados pessoais através de cookies ou outras tecnologias de rastreamento online, como:

(i) Princípios da finalidade, necessidade e adequação;

(ii) Princípios do livre acesso e da transparência;

(iii) Direitos do titular;

(iv) Término do tratamento e eliminação de dados pessoais; e

(v) Hipóteses legais.

Importante notar ainda que o arquivo traz boas práticas em relação às disposições mencionadas, como a indicação ao titular sobre como gerenciar suas preferências de cookies através do aparelho ou navegador que utiliza, com disponibilização de informações através de banners, política e avisos; e a inclusão de mecanismos de gerenciamento de cookies que possibilitem a revisão de permissões.

Em relação às hipóteses legais que autorizam o tratamento de dados pessoais através de cookies, o guia traz uma diferença em relação ao posicionamento anterior da Autoridade, sendo ele: ao invés de ser necessária a utilização do consentimento para os cookies não necessários e o legítimo interesse para os cookies necessários, apesar de serem as bases legais recomendadas, a ANPD destaca que as indicações do guia não são exaustivas, podendo a coleta de dados através de cookies ser baseada em outras hipóteses legais, desde que cumpridos os requisitos da LGPD.

A Autoridade recomenda ainda a elaboração de uma política de cookies para atender ao princípio da transparência e auxiliar o titular a compreender o tratamento de seus dados. A política de cookies deve apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, entre outros aspectos indicados no art. 9º da LGPD, podendo estar integrada à política de privacidade, em documento apartado, ou até como parte do banner de cookies.

No que toca ao “cookie banner”, o Guia orienta que nos banners será necessário disponibilizar um botão que permita rejeitar todos os cookies não necessários, de fácil visualização, nos banners de primeiro e segundo nível.

Ainda, deverá ser fornecido um link de fácil acesso para que o titular possa exercer os seus direitos, que pode incluir, por exemplo, saber mais detalhes sobre como seus dados são utilizados e sobre o período de retenção, além de solicitar a eliminação dos dados, opor-se ao tratamento ou revogar o consentimento.

Nos banners de segundo nível, será necessário:

• Classificar os cookies em categorias;
• Descrever as categorias de cookies de acordo com seus usos e finalidades;
• Apresentar descrição e informações simples, claras e precisas quanto a essas finalidades;
• Permitir a obtenção do consentimento para cada finalidade específica, de acordo com as categorias identificadas no banner de segundo nível, quando couber;
• Desativar cookies baseados no consentimento por padrão e
• Disponibilizar informações sobre como realizar o bloqueio de cookies pelas configurações do navegador. Caso o cookie ou rastreador não possa ser desabilitado por meio do navegador, o titular deverá ser informado a respeito.

Todavia, um ponto que não foi sanado no Guia e ainda carece de posicionamento pela ANPD é quanto ao bloqueio da navegação do site antes do aceite ou recusa do usuário em relação aos cookies, sendo no momento mera opção do Controlador.

O Guia em questão ficará aberto a comentários e contribuições de forma contínua, com o fim de atualizá-lo em momento oportuno, à medida que novas regulamentações e entendimentos forem estabelecidos, a critério da ANPD. As sugestões podem ser enviadas para a Ouvidoria da ANPD, por meio da Plataforma Fala.BR (https://falabr.cgu.gov.br/).

Para acessar a íntegra do Guia, clique aqui.