Com a finalidade de definir as boas práticas relacionadas ao tratamento de dados pessoais decorrente da coleta de cookies, a Autoridade Nacional de Proteção de Dados – ANPD emitiu, em 18 de outubro de 2022, o “Guia Orientativo: Cookies e proteção de dados pessoais – Guia”. Neste documento, cookies são definidos como “arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas.”. Ainda, de forma didática, traz exemplos e definições, possibilitando um melhor entendimento sobre como ocorre esse tipo de tratamento de dados pessoais, com o objetivo de conferir maior transparência aos titulares sobre um assunto que, muitas vezes, é restrito aos profissionais da área.
Atualmente, é usual os sites apresentarem um banner para informar que são coletadas informações decorrentes da utilização de categorias de cookies, pelo menos quanto à segurança dos sites, além de Políticas de Cookies e Avisos de Privacidade, como uma boa prática importada da Europa e em conformidade com o princípio da transparência previsto na Lei Geral de Proteção de Dados (Lei n. 13.709/2018 – “LGPD”).
Considerando que a LGPD não possui previsões específicas sobre o tratamento de dados decorrentes da utilização de cookies, de forma educativa, coube à ANPD apresentar suas diretrizes no referido Guia e ali elencar as categorias de cookies, de acordo com a entidade responsável; a necessidade; a finalidade; e o período de retenção. Para facilitar a compreensão, apresenta-se o diagrama a seguir:
Os tipos de cookies denominados necessários são aqueles utilizados para que o site ou aplicação realize funções básicas e opere corretamente. Para esta categoria de cookies, o Guia prevê a possibilidade de aplicação da base legal do legítimo interesse, considerando a imprescindibilidade dos cookies necessários para a regular prestação dos serviços através de plataformas online, desde que o titular possua ciência deste tratamento e acesso ao direito de oposição.
Quanto aos cookies não necessários, consistentes naqueles que possuem finalidades secundárias, como de marketing, o Guia prevê que uma base legal cabível consiste no consentimento, investido de seus atributos legais. Para estes casos, o Guia recomenda a adoção de banners que possibilitem ao titular consentir ou não com a coleta, de forma ativa e incluindo a possibilidade de o usuário escolher quais categorias de cookies não necessários deseja aceitar ou não, através de uma explicação didática oferecida pelo site – geralmente apresentado sob “configuração de cookies”.
Os cookies podem, ainda, ser classificados conforme a finalidade:
- Analíticos ou de desempenho, os quais possibilitam a coleta de dados e informações sobre o comportamento do usuário e suas preferências;
- De funcionalidade, que são os utilizados para atividades solicitadas pelos usuários, como preferências de idioma, login, região de acesso; e
- De publicidade, que são utilizados para a construção do perfil do usuário, de acordo com suas preferências e hábitos de navegação.
O Guia prevê a possibilidade de utilização do legítimo interesse como base legal para os cookies analíticos e o consentimento para as hipóteses de funcionalidade e publicidade. Contudo, a determinação da base legal submete-se à avaliação que considere, inclusive, a necessidade de coleta ou ausência desta, bem como a finalidade.
No que tange ao período de retenção, os cookies podem ser classificados como:
- De sessão ou temporários, os que coletam e armazenam informações somente durante o uso do site e as descartam assim que o usuário fecha o navegador; e
- Persistentes, que podem ficar armazenados por um período definido pelo controlador, desde minutos até mesmo anos.
Nessas hipóteses, o Guia aconselha que haja uma limitação da duração do armazenamento, para que haja conformidade com o princípio da finalidade e é incisivo ao afirmar que as informações sobre o período de retenção devem estar disponíveis aos titulares. Para essa categoria, as bases legais do consentimento e do legítimo interesse podem ser aplicadas, a depender do caso concreto, da finalidade de utilização e do armazenamento dos dados.
O Guia orienta também sobre a apresentação de banners com informações específicas e acuradas sobre os detalhes dos tratamentos de dados pessoais oriundos da utilização de cookies, em que é recomendável inserir um link para a Política de Cookies e/ou Política de Privacidade do site, de forma a assegurar que o titular tenha pleno conhecimento de quais dados e como estes estão sendo coletados e tratados.
Por fim, é essencial que os controladores de dados pessoais assegurem aos titulares o direito de oposição ao tratamento dos dados pessoais e/ou a revogação do consentimento fornecido pelo titular para a utilização de cookies, de forma facilitada e gratuita.
O tema possui bastante relevância, considerando o aumento exponencial das atividades cotidianas realizadas através de plataformas online e coleta constante de cookies, com finalidades desde a segurança tecnológica do site até a realização de publicidade direcionada. Acompanharemos os próximos passos da ANPD, das demais autoridades competentes e das organizações públicas e privadas.