Como fica a gestão de cookies após a manifestação da ANPD?

[:br]

Embora os rumores sobre o fim dos cookies ocupem as manchetes de jornais de tempos em tempos, atualmente esta tecnologia ainda é amplamente utilizada em websites. Com o advento da LGPD, muito se discutiu sobre a maneira correta de gerenciar cookies e a melhor forma de harmonizá-los com a legislação sobre proteção de dados pessoais.  

O que são cookies?

Cookies são pequenos arquivos de texto que ficam armazenados em dispositivos, tais como computadores, tablets, celulares e que permitem gravar informações sobre o usuário.

Em resumo, ao visitar uma página na internet, o website enviará este pequeno arquivo de texto com informações relevantes ao seu aparelho. Ao retornar a esta página, o website terá acesso a estas informações e poderá atendê-lo da melhor maneira.

Existem diversos tipos de cookies. Por exemplo, existem cookies que são essenciais ao funcionamento do website, sem os quais seu funcionamento ficaria prejudicado ou ainda cookies utilizados por instituições financeiras que agregam maior segurança à operação realizada. Os cookies podem armazenar dados como a preferência por um determinado idioma, o número de seu IP ou mesmo suas senhas para que você não tenha que as inserir sempre que retornar àquele website.

Como são arquivos de textos muito pequenos, é possível armazenar centenas de cookies de diversos websites em seu dispositivo sem que ocupem espaço significativo. 

Embora facilitem muito a vida do usuário, cookies podem representar um risco à segurança exatamente por terem a capacidade de armazenar informações diversas. Imagine, por exemplo, um computador compartilhado com várias pessoas. Se o cookie armazenou a senha de um e-mail, seria possível acessar a caixa de e-mail de alguém sem que essa pessoa soubesse.  

Cookies e a Lei Geral de Proteção de Dados Pessoais

Considerando que a lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou simplesmente “LGPD”) foi altamente inspirada no Regulamento Europeu de Proteção de Dados (RGPD), ao buscar respostas sobre a maneira adequada de harmonizar a gestão de cookies com as obrigações impostas pela LGPD, o movimento natural foi analisar a prática adotada na Europa.

Entretanto, este comparativo não foi tão eficiente como em outros casos. Isto porque a União Europeia possui outras regulamentações relacionada a cookies, tal como a e-privacy directive, e que não possuem uma lei diretamente correspondente aqui no Brasil.

Enquanto o entendimento majoritário na Europa era de que os cookies deveriam ser baseados no consentimento, com exceção de cookies necessários, que poderiam ser baseados no legítimo interesse, no Brasil ainda pairava controversas sobre o tema.

Como vários cookies são utilizados para fins de marketing, sobretudo os chamados cookies de terceiros, algumas empresas entendiam que a base legal para este tipo de tratamento poderia ser o legítimo interesse.

Este entendimento era reforçado pelo fato do artigo 10 da LGPD – que trata especificamente da base legal legítimo interesse – exemplifica o “apoio e promoção de atividades do controlador” como uma situação na qual, respeitados os requisitos legais, o legítimo interesse poderia ser utilizado. 

Sobre a manifestação da ANPD sobre o Portal Gov.BR

Na sexta-feira, 13 de maio de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu recomendação à Secretaria de Governo Digital (SGD/ME) para a adequação da prática de coleta de cookies realizada através do Portal Gov.BR.

As recomendações da ANPD incluíram: (i) a solicitação de inclusão de botão de fácil visualização no banner de primeiro nível que permita rejeitar todos os cookies não necessários de uma só (ii) a desativação da coleta de cookies baseados no consentimento por padrão (opt-in).

Isto significa que, ao acessar o website, o usuário poderá recusar com um só clique todos os cookies não necessários e que cookies baseados no consentimento somente serão instalados mediante uma ação positiva do usuário.

Ainda, a ANPD recomenda incluir a identificação, no banner de segundo nível (Política de Cookies), das bases legais utilizadas, de acordo com cada finalidade e categoria de cookie, utilizando o consentimento como principal base legal e o legítimo interesse para os tratamentos realizados por cookies estritamente necessários.

A ANPD recomenda, também, classificar os cookies em categorias no banner de segundo nível e incluir a possibilidade do usuário dar consentimento específico de acordo com as categorias identificadas.

No caso do Portal Gov.BR, o banner de segundo nível (Política de Cookies) informava o usuário sobre a possibilidade de se desabilitar os cookies via navegador. A ANPD entendeu que a apresentação dessa informação constitui uma boa prática, mas não afasta a necessidade de disponibilizar um mecanismo direto e próprio que permita o gerenciamento de cookies pelo titular e no qual se inclua a possibilidade de revogação do consentimento, sempre acompanhada da indicação das informações correspondentes.

Embora as recomendações da ANPD tenham sido voltadas ao Portal Gov.BR e que haja menção na própria manifestação sobre a elaboração de um guia a respeito do tema que será em breve publicado, já é possível ter uma ideia do que a ANPD considera adequado como prática de gestão de cookies.

Sem dúvidas, esta manifestação permite aos demais atores privados adequarem seus websites de acordo com estas recomendações, vez que provavelmente serão refletidas no guia que será disponibilizado pela ANPD.

É recomendável às empresas manter-se sempre atentas às manifestações e guias orientativos publicados pela ANPD e, desde já, revisarem suas práticas de gestão de cookies para adequação à LGPD.

[:]