Em 18 de outubro de 2022, a Autoridade Nacional de Proteção de Dados (“ANPD”) do Brasil publicou diretrizes sobre o uso de cookies, intituladas Cookies e Proteção de Dados Pessoais (as "Diretrizes"). Cookies são arquivos instalados no dispositivo de um usuário, que permitem a coleta de informações sobre o usuário para diversos fins, incluindo informações pessoais, como identificação de um usuário antes de uma transação, 'lembrar' escolhas anteriores do usuário ou publicidade.
Este artigo traz uma visão geral das Diretrizes que ajudarão as empresas a projetar e implementar banners de consentimento de cookies adequados e garantir a conformidade com os requisitos de consentimento de acordo com a Lei Geral de Proteção de Dados do Brasil (a “LGPD”). É importante observar que, quando os dados pessoais dos usuários forem coletados sem fundamento legal, os mesmos constituem uma violação dos direitos dos usuários sob a LGPD.
Para facilitar, dividimos a visão geral das Diretrizes nas seguintes seções:
(A) Como obter o consentimento dos usuários quanto ao uso de cookies?
De acordo com a LGPD, o consentimento é considerado necessário para o uso de cookies não essenciais. Tal consentimento deve ser dado livremente, informado e inequívoco. Isso exige que as organizações garantam que:
- O titular dos dados deve ter opções igualmente proeminentes de aceitar e recusar o uso de cookies em banners de consentimento, sem quaisquer consequências negativas ou quaisquer intervenções do controlador para recusar cookies que possam viciar ou prejudicar sua expressão de vontade;
- O acesso ao serviço ou funcionalidade de um site não deve ser condicionado à aceitação de cookies não essenciais pelo usuário para que o usuário não seja obrigado a aceitar o uso de cookies;
- É proibido o uso de caixas de seleção pré-selecionadas. Da mesma forma, o consentimento não pode ser implícito e deve ser de forma explícita a vontade do titular dos dados;
- O titular dos dados deve receber as informações adequadas necessárias para permitir que ele faça uma avaliação sobre o que se deve consentir com os cookies;
- No caso de coleta de dados sensíveis com base no consentimento, além de livre, informado e inequívoco, o consentimento deve ser obtido de forma específica e destacada;
- O titular dos dados deve poder revogar unilateralmente o consentimento uma vez concedido a qualquer momento por meio de um mecanismo simplificado. A retirada do consentimento deve ser gratuita;
- Deve ser obtido um novo consentimento do titular dos dados se os pressupostos relativos ao consentimento dado anteriormente mudarem, como mudanças nas finalidades do uso de cookies ou se outra base legal deve ser invocada para o uso de cookies;
- Todos os cookies não essenciais devem ser desabilitados por padrão para que o usuário tenha a possibilidade de escolher os cookies que considere adequados para a coleta de suas informações pessoais.
A ANPD enfatizou a importância da transparência do usuário, ou seja, manter o titular dos dados informado sobre as práticas de coleta e processamento de dados, fornecendo informações claras, precisas, de fácil acesso e de fácil compreensão ao titular dos dados. Essas informações podem ser fornecidas ao titular dos dados por meio de banners de consentimento de cookies, políticas de cookies e políticas de privacidade. Uma política de cookies, composta por informações detalhadas sobre as categorias de cookies, pode ser apresentada em uma seção específica dentro da política de privacidade principal do site, separadamente em um local específico, ou no banner de cookies.
Independentemente do mecanismo utilizado, os titulares dos dados devem ser devidamente informados sobre a utilização de cookies, as finalidades específicas dos cookies que justificam a coleta de dados pessoais através de cookies, os períodos de retenção e se existe ou não compartilhamento de informação pessoal com terceiros.
Um banner de cookies é um recurso visual projetado para fornecer informações sobre o uso de cookies de maneira resumida, simples e direta. O banner de consentimento de cookies garante que os usuários tenham maior controle em relação ao processamento de seus dados pessoais, permitindo que eles aceitem certos tipos de cookies. Um banner de cookie deve ser elaborado de acordo com os princípios e obrigações da LGPD quanto ao tratamento de dados pessoais.
A ANPD incentiva um formato de informações em camadas para o banner de consentimento de cookies:
- A primeira camada de informação do banner de consentimento de cookies deve consistir no seguinte:
- uma opção “Aceitar todos os cookies”;
- uma opção “Rejeitar todos os cookies”; e
- uma opção “Gerenciar cookies” através da qual o utilizador é direcionado para a segunda camada de informação do banner de consentimento que consiste em informação simples, acessível e detalhada sobre a utilização de cookies, como as suas finalidades específicas e períodos de retenção, e como podem ser bloqueados (Política de Cookies).
As opções 'Aceitar todos os cookies' e 'Rejeitar todos os cookies' devem ser igualmente destacadas e acessíveis para o usuário. Cookies baseados em consentimento e cookies não essenciais devem ser desabilitados por padrão.
- A segunda camada de informação é a Política de Cookies detalhada da empresa. Deve fornecer as seguintes informações:
- descrição das categorias de cookies de acordo com seus usos e finalidades;
- a finalidade de cada categoria de cookies de forma simples, clara e precisa;
- informações sobre o possível compartilhamento de dados do usuário com terceiros;
- opções granulares de ativação e desativação para diferentes categorias de cookies. No entanto, a ANPD alertou que uma lista de cookies muito granular pode ser de difícil compreensão para o usuário e pode levar à fadiga do consentimento. Além disso, uma quantidade excessiva de coleta de dados também não seria apropriada;
- as informações sobre como os cookies podem ser bloqueados usando as configurações do navegador. Se uma determinada categoria de cookies não puder ser desativada/bloqueada através das configurações do navegador, o titular dos dados deve ser informado sobre isso;
- as informações sobre como os titulares dos dados podem exercer seus direitos em relação aos cookies, como o direito de saber mais detalhes sobre como os dados são usados, o direito de exclusão de dados, o direito de se opor ao processamento de dados e o direito de revogar o consentimento; e
- os períodos de retenção de dados.
(D) O interesse legítimo é uma base legal apropriada para o uso de cookies?
Os interesses legítimos do controlador de dados podem ser considerados uma base legal adequada para o tratamento de dados de natureza não sensível apenas se os direitos e liberdades dos titulares dos dados não prevalecerem sobre os interesses legítimos do controlador. Os interesses do controlador só serão considerados legítimos se estiverem em conformidade com os requisitos legais e regulamentares aplicáveis. Ao se basear no interesse legítimo como base do processamento de dados, o controlador deve adotar medidas técnicas e organizacionais adequadas para garantir o processamento seguro e a transparência para os titulares dos dados.
No contexto do uso de cookies, a ANPD esclareceu que interesses legítimos são uma base legal adequada nas seguintes circunstâncias:
- para a utilização de cookies considerados estritamente necessários ou essenciais para fornecer o serviço ou funcionalidade de um site ou plataforma;
- para o uso de cookies de medição de audiência (cookies analíticos ou de medição), desde que sejam atendidas as seguintes condições:
- o processamento é limitado ao propósito específico de identificar padrões e tendências com base em dados agregados, e não combinado com outros mecanismos de rastreamento ou perfil de usuário;
- nenhuma informação pessoal é compartilhada com terceiros;
- nenhum perfil de usuário é criado; e
- os riscos de privacidade para os titulares dos dados são mínimos.
Em qualquer situação de invocação de interesses legítimos como base legal para o tratamento de dados, o responsável pelo tratamento deve assegurar que os direitos e liberdades fundamentais dos titulares dos dados não prevaleçam sobre os seus interesses legítimos. O controlador deve garantir que o titular dos dados possa antecipar esse uso de seus dados, no momento da coleta dos mesmos, com base nas informações fornecidas pelo controlador. Além disso, o titular dos dados tem o direito de se opor ao processamento com base nos interesses legítimos do controlador de dados em caso de descumprimento dos requisitos da LGPD, e nesses casos, o controlador de dados deve interromper o processamento dos dados.
(E) Quais princípios de proteção de dados são relevantes no contexto dos cookies?
A coleta de informações por meio de cookies pode ser considerada como tratamento de dados pessoais e, portanto, está sob a proteção da LGPD. Independentemente dos tipos de cookies usados, as organizações devem garantir a adesão aos principais princípios de proteção de dados, incluindo o seguinte:
- Transparência: a ANPD tem enfatizado a importância da transparência do usuário, ou seja, manter o titular dos dados informado sobre as práticas de coleta e tratamento de dados, fornecendo informações claras, precisas e de fácil acesso e compreensão. Essas informações podem ser fornecidas por meio de banners de consentimento de cookies, políticas de cookies e políticas de privacidade;
- Princípio da necessidade e limitação da finalidade: o princípio da necessidade exige que as organizações coletem os dados relevantes e limitados ao necessário para os fins para os quais são processados. A limitação de finalidade, por outro lado, exige que as organizações processem dados pessoais apenas para fins específicos, explícitos e legítimos;
- Limitação de armazenamento: a ANPD enfatiza que os períodos de retenção de dados em relação aos cookies devem ser limitados ao estritamente necessário para atingir as finalidades dos cookies. Nesse sentido, os controladores de dados são obrigados a excluir os dados pessoais depois que eles não forem mais necessários para os fins para os quais foram coletados; e
-
Cumprimento dos direitos dos titulares dos dados: no âmbito dos cookies, o titular dos dados tem o direito de revogar a qualquer momento o consentimento concedido para a utilização de cookies não essenciais. O titular dos dados também tem o direito de acessar suas informações pessoais coletadas por meio de cookies.
(F) Como demonstrar o cumprimento dos requisitos de consentimento?
Para poder demonstrar o cumprimento dos requisitos de consentimento da LGPD e das Diretrizes da ANPD sobre o uso de cookies, o controlador de dados deve manter registros e documentação de consentimento adequados.
Nossos especialistas da Securiti continuam monitorando de perto todos os desenvolvimentos legais para ajudar você a se preparar para a conformidade. A solução de gerenciamento de consentimento de cookies da Securiti ajuda você a cumprir as orientações sobre cookies no Brasil, garantindo:
- banner avançado de consentimento de cookies opt-in para o Brasil, com opções de aceitação e rejeição igualmente proeminentes de tamanhos, fontes, cores e formatos iguais;
- consentimento não verificado para cookies não essenciais por padrão;
- a capacidade de adicionar URL de política de privacidade em banners de consentimento;
- centro de preferência de consentimento que permite opt-ins e opt-outs de consentimento granular;
- registros de consentimento adequados e atualizados, incluindo registros de consentimento individual, o conteúdo com o qual o titular dos dados consentiu, status do consentimento (concedido, recusado ou retirado) e marcações de data e hora do status de consentimento;
- informações simples, acessíveis e detalhadas para os usuários sobre o uso de cookies podem ser declaradas em banners de consentimento e centros de preferência, como suas finalidades específicas e períodos de retenção, como os titulares dos dados podem exercer seus direitos em relação aos cookies, e os cookies podem ser bloqueados/desativados; e
- capacidade de verificar armazenamento local, armazenamento de sessão, pixels de rastreamento e web beacons, além de apenas cookies, a fim de estar preparado para o mundo pós-cookies de terceiros.
Solicite uma demonstração para entender como podemos ajudar você a cumprir as leis globais de privacidade de dados.
