A Autoridade Nacional de Proteção de Dados (“ANPD”) acaba de lançar seu Guia Orientativo sobre Cookies e Proteção de Dados Pessoais. Trata-se de tema relevante já que se debruça sobre uma tecnologia largamente utilizada para a coleta de informações em ambientes digitais.
Dentre as informações que podem ser coletadas por esses arquivos capazes de operacionalizar a coleta de dados, os chamados Cookies, há dados pessoais – daí surge a preocupação da ANPD com o tema. Esse tipo de arquivo pode ser utilizado para diversas finalidades, tais como lembrar opções feitas anteriormente por aquele usuário (e.g., senha ou login), medição de audiência de determinado site, entre outras coisas. Para criar essa “memória”, os cookies podem precisar armazenar dados pessoais – identificando pessoas físicas diretamente, ou cruzando dados, o que permite uma identificação indireta –, sendo isso justamente o que provoca a incidência da Lei Geral de Proteção de Dados.
Em seu Guia Orientativo, a ANPD trata do conceito de cookies, apresentando classificação de tipos distintos (e.g., cookies primários, cookies de terceiros, cookies necessários, cookies analíticos, de funcionalidade). Além disso, endereça os princípios aplicáveis ao tratamento feito por meio deles, quais sejam, os princípios da finalidade, necessidade e adequação e do livre acesso e da transparência, bem como detalha os direitos do titular aplicáveis quando da sua utilização e como garanti-los.
Ainda, o guia tem um tópico apenas para tratar das hipóteses legais potencialmente aplicáveis quando se utilizam cookies, sendo elas o consentimento e o legítimo interesse, detalhando as particularidades de cada umas dessas hipóteses nesse contexto.
A ANPD faz também orientações especificas sobre Políticas de Cookies, sugerindo que ela seja disponibilizada (i) como uma seção específica do Aviso de Privacidade; (ii) em um local específico e separado; ou (iii) no próprio banner de cookies, sempre respeitando a necessária transparência em relação ao tratamento de dados: “independentemente do mecanismo adotado, o importante é que sejam disponibilizadas informações claras, precisas e facilmente acessíveis sobre o uso de cookies e a coleta de dados pessoais”.
Especificamente sobre os banners de cookies, o guia os caracteriza como uma materialização de princípios e direitos previstos na LGPD, já que podem ser uma forma de efetivar direitos e princípios da lei. Determina assim, uma série de boas práticas relativas a esses banners, bem como lista práticas desaconselhadas.
Dentre as boas práticas, a ANPD sugere a descrição das categorias de cookies de acordo com seus usos e finalidades; a apresentação da descrição e informações simples, claras e precisas quanto a essas finalidades; a permissão da obtenção do consentimento para cada finalidade específica, de acordo com as categorias identificadas no banner, quando couber; e a desativação de cookies baseados no consentimento por padrão. Dentre as práticas desaconselhadas há dificultar o gerenciamento de cookies (e.g., não disponibilizar opções específicas de gerenciamento para cookies que possuem finalidades distintas); apresentar informações sobre a política apenas em idioma estrangeiro; apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão podendo levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular; vincular o consentimento ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular.
A Autoridade reforça que o Guia ficará aberto a comentários e contribuições da sociedade civil, que podem ser enviadas para a Ouvidoria da ANPD por meio da Plataforma Fala.BR. O Guia pode ser acessado na íntegra através desse link.