Como o novo ofício da ANPD impacta os Cookies do seu site

Share on facebook
Share on twitter
Share on linkedin
Share on print
Share on email

1. A coleta de Cookies na LGPD

Cookies e tecnologias similares são documentos de texto que podem conter um código de identificação único. Esse documento pode ser salvo no dispositivo eletrônico do titular de dados ao visitar um site. A partir desse procedimento, o responsável pelo site poderá obter informações sobre o titular de dados, como data e hora de visita, preferências, o motivo da visita ao site etc.
Essa tecnologia pode ser utilizada para compreender melhor o público-alvo ou visitantes do site da empresa ou manter o site funcionando corretamente. Assim, existem diversas categorias de cookies que podem ser utilizadas pelo controlador do tratamento de dados pessoais. Antes de iniciar a análise da fundamentação legal do tratamento de cookies e a posterior redação da política de cookies, é fundamental que o controlador conheça quais cookies são coletados nos sites que mantém sob sua responsabilidade.
Considerando as regras da LGPD, o controlador deverá identificar uma base legal para fundamentar o tratamento de cookies, observando os artigos 6. e 7. da lei nesse sentido. Normalmente, dependendo da categoria de cookies tratados, o tratamento é fundamentado no legítimo interesse (sendo necessário realizar um teste de legítimo interesse que atende às orientações previstas no artigo 10) ou no consentimento do titular.
Nos casos em que o tratamento de dados pessoais for baseado no consentimento do titular, o controlador deverá adotar as medidas necessárias para que a coleta do consentimento respeite as regras da legislação, especialmente aquelas estabelecidas nos artigos 5, inciso XII, 8 e 9 da LGPD.
O ônus de comprovar que o consentimento foi objetivo em conformidade com a LGPD é do controlador de dados pessoais (artigo 8o, §2o). O artigo 8o também determina que autorizações genéricas de tratamento de dados são nulas e que é vedado o tratamento de dados pessoais mediante vício de consentimento.
Portanto, o titular tem direito a receber informações “claras, adequadas e ostensivas” sobre o tratamento de seus dados (artigo 9o da LGPD), que devem incluir informações sobre a revogação de consentimento. Assim, um dos instrumentos jurídicos relacionados à mitigação de riscos que pode ser necessário para a adequação do tratamento de dados realizado pelo controlador é a política de cookies.
Não há um modelo oficial disponível para a elaboração deste documento, que deverá observar as exigências da LGPD para informar o titular de dados sobre o tratamento de dados pessoais realizado e refletir a estrutura da operação de tratamento de cookies efetivamente realizada pelo controlador. É importante que as políticas elaboradas pelo controlador não sejam confusas ou contenham informações de difícil compreensão.

2. O ofício da ANPD

Até o momento, a ANPD não emitiu um regulamento específico sobre a Política de Cookies e método de coleta de consentimento. Porém, a ANPD informou, no dia 13/05/2022, que o guia sobre política de cookies está em processo de desenvolvimento. Nesse documento, a Autoridade pretende estabelecer as boas práticas de coleta de cookies, que deverão ser observadas pelas empresas públicas e privadas.
Considerando que não há previsão para a publicação desse documento, a ANPD realizou a análise da coleta de cookies realizada pelo governo federal e emitiu o Ofício N. 6/2022/CGTP/ANPD/PR, datado de 13/05/2022, no qual tornou públicas as recomendações mínimas sobre o tema e que devem ser consideradas quando da gestão de cookies.
É imprescindível que os controladores verifiquem as suas políticas de cookies e mecanismos de gestão de cookies (incluindo a forma de disponibilização das informações para o titular) com base nas orientações da ANPD.

2.1 Utilização de banners

A ANPD confirmou a possibilidade de utilização de banners de primeiro e de segundo nível. Quando o cliente optar por realizar a coleta de cookies em duas etapas, o banner de primeiro nível deverá conter informações suficientes sobre o que são cookies.
É proibida a inclusão de um único botão de aceite. O consentimento coletado a partir de um banner que possui apenas a opção “aceito” será considerado inválido por não ser livre, informado e inequívoco. Ainda, o consentimento deve ser coletado de forma individualizada, por categoria de cookies tratados. Os cookies estritamente necessários podem ter o tratamento fundamentado no legítimo interesse.

2.2 Informações mínimas aos titulares

A LGPD demanda que as informações sejam disponibilizadas aos titulares de forma simples e de fácil acesso. O titular deve conseguir compreender o que será realizado com seus dados pessoais e por qual motivo o tratamento de dados deve ser feito. Assim, a ANPD orientou que o controlador deverá disponibilizar informações sobre as bases legais utilizadas, a finalidade do tratamento e a categoria e classificação dos cookies tratados.
Adicionalmente, deve ser possível obter o consentimento específico, de acordo com as informações incluídas na Política de Cookies, e deve haver um mecanismo para que o titular rejeite, de uma única vez, todos os cookies com exceção dos estritamente necessários.
Por fim, não será suficiente indicar a desabilitação de coleta de cookies via navegador. O controlador deve disponibilizar um mecanismo próprio de revogação de consentimento e informar o titular sobre o mesmo.

Certificados e Prêmios