ANPD lança guia orientativo “Cookies e Proteção de Dados Pessoais”

ANPD lança guia orientativo “Cookies e Proteção de Dados Pessoais”. Material elaborado pela Autoridade tem o objetivo de explicar a temática e educar titulares de dados pessoais sobre seus direitos.

Nesta terça-feira (18/10), a Autoridade lança o guia orientativo “Cookies e Proteção de Dados Pessoais. O material foi elaborado com o objetivo de orientar os agentes de tratamento sobre as boas práticas na área, além de traçar um panorama geral sobre o assunto, abordando desde questões mais conceituais como a classificação desta tecnologia de acordo com diversos parâmetros, até pontos mais técnicos como as boas práticas a serem observadas na sua utilização em sites eletrônicos. 

Com viés educativo, o guia elenca direitos e deveres dos agentes envolvidos no tratamento de cookies. Traz também, explicações sobre o que são cookies, estabelece quais os princípios da Lei Geral de Proteção de Dados (LGPD) que são aplicáveis a tais informações e dá recomendações aos controladores de dados pessoais sobre instrumentos para garantir o cumprimento da Lei, como as políticas e os banners de cookies. 

Para a Diretora Miriam Wimmer, relatora do processo de elaboração do guia no Conselho Diretor, “O guia de cookies traz orientações importantes para a adequação de agentes de tratamento às disposições da LGPD. O objetivo é promover a cultura da proteção de dados pessoais no ambiente digital, incentivando a adoção de práticas transparentes, que garantam maior compreensão e controle dos titulares sobre o uso de seus dados pessoais.”  

O guia ficará aberto a comentários e contribuições contínuas da sociedade. O objetivo é que o material se mantenha sempre atualizado, quando novas regulamentações e entendimentos forem estabelecidos. As sugestões poderão ser enviadas para a Ouvidoria da ANPD, por meio da Plataforma Fala.BR. 

 

 Cookies e LGPD 

Cookies são arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, visando ao atendimento de variadas finalidades 

Os cookies podem ser usados para identificar usuários, viabilizar pagamentos online, apresentar anúncios ou medir a eficácia de uma página eletrônica, entre outros exemplos. 

Um dos grandes problemas relacionados ao uso de cookies é a falta de transparência, ou seja, a ausência de informações precisas e acessíveis sobre a forma como ocorrem a coleta de dados pessoais e seu tratamento. Isso pode restringir o controle do titular sobre os seus próprios dados pessoais. 

Assim como no caso de outros dados pessoais, o titular tem uma série de direitos em relação ao uso de cookies. Um deles é o de acesso facilitado a informações sobre os dados coletados. Em determinados casos, o titular também tem direito ao livre consentimento quanto ao tratamento de dados, bem como a sua revogação a qualquer tempo. A coleta de dados pessoais por meio de cookies deve, ainda, ser limitada ao mínimo necessário para a realização de finalidades legítimas, explícitas e específicas.  

De forma didática, o guia apresenta vários exemplos ilustrativos do que deve ou não ser feito em relação aos cookies. A ideia é fornecer aos agentes de tratamento de dados (pessoas que realizam ou a quem competem as decisões referentes ao tratamento de dados pessoais) uma orientação mais clara sobre o tema, permitindo-lhes atuar de forma mais transparente e construir uma relação de confiança com o titular do dado, em conformidade com as regras estabelecidas pela LGPD. A título de exemplo, são trazidas hipóteses de como os cookies são usados por sites de comércio eletrônico, por estabelecimentos educacionais e pelo setor público. 

A observância das orientações do guia não isenta os agentes de tratamento do cumprimento dos demais preceitos da LGPD e tampouco de adotar as providências necessárias para resguardar os direitos dos titulares de dados. 

Dados pessoais coletados a partir de interações realizadas em um sítio na internet, em um aplicativo ou em um serviço digital, podem revelar diversos aspectos da personalidade e do comportamento de pessoas. Em tais contextos, essas pessoas são colocadas em uma posição de maior vulnerabilidade especialmente em face da assimetria de informação com relação a grandes provedores de aplicações de internet, que respondem pelo tratamento de uma quantidade massiva de dados pessoais ou quando os propósitos do tratamento não são apresentados de forma clara, precisa e facilmente acessível.

Antes mesmo da publicação da lgpd, o Marco Civil da Internet (mci, Lei nº 12.965/2014) já havia reconhecido que, ao lado da liberdade de expressão, a garantia da privacidade e de proteção de dados pessoais é condição essencial para o pleno exercício do direito de acesso à rede (arts. 3º, 7º e 8º). O mci também estabeleceu forte proteção aos dados pessoais, ao prever que a sua guarda e disponibilização “devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas”. Além disso, a disponibilização de registros de conexão e de acesso a aplicações de internet, mesmo quando associados a dados pessoais, para autoridades públicas ou para terceiros, somente pode ocorrer, em regra, mediante ordem judicial“.

As disposições protetivas do mci foram ampliadas pela lgpd, norma que dispôs sobre a proteção de dados pessoais de forma mais abrangente, incluindo a previsão de direitos para os titulares, de princípios norteadores para o tratamento de dados pessoais e de obrigações para os agentes de tratamento. Entre as principais disposições da lgpd aplicáveis à coleta de dados pessoais por meio de cookies ou de outras tecnologias de rastreamento online, merecem destaque as seguintes:

(i) Princípios da finalidade, necessidade e adequação (art. 6º, i, ii e iii): a coleta de dados pessoais mediante o uso de cookies deve ser limitada ao mínimo necessário para a realização de finalidades legítimas, explícitas e específicas, observada a impossibilidade de tratamento posterior de forma incompatível com essas finalidades. Nesse sentido, a finalidade que justifica a utilização de determinada categoria de cookies deve ser específica e informada ao titular, e a coleta de dados deve ser compatível com tal finalidade.

Por exemplo, caso o responsável pela página eletrônica informe ao titular que utiliza cookies apenas para a finalidade de medição de audiência, não poderá utilizar as informações coletadas para fins distintos e não compatíveis com essa finalidade, tais como para a formação de perfis e a exibição de anúncios. Da mesma forma, não poderá coletar outros dados pessoais não relacionados ou não compatíveis com essa finalidade. Por isso, não se admite a indicação de finalidades genéricas, tal como ocorre com a solicitação de aceite de termos e condições gerais, sem a indicação das finalidades específicas de uso dos cookies. Além disso, o princípio da necessidade determina que o tratamento deve abranger apenas os “dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Esse princípio desaconselha o próprio tratamento de dados pessoais quando a finalidade que se almeja pode ser atingida por outros meios menos gravosos ao titular de dados.

(ii) Princípios do livre acesso e da transparência (art. 6º, iv e vi): impõem ao agente de tratamento a obrigação de fornecer aos titulares informações claras, precisas e facilmente acessíveis sobre a forma do tratamento, o período de retenção e as finalidades específicas que justificam a coleta de seus dados por meio de cookies. Também é importante que sejam fornecidas informações sobre o eventual compartilhamento de dados com terceiros e sobre os direitos assegurados ao titular, entre outros aspectos indicados no art. 9º da lgpd. Uma boa prática é a indicação ao titular sobre como gerenciar preferências de cookies em seu próprio navegador ou aparelho. Assim, por exemplo, pode ser objeto de explicação a forma pela qual os cookies podem ser excluídos ou, ainda, como desabilitar cookies de terceiros.

Importante ressaltar que o gerenciamento de cookies pelo navegador possui uma função complementar, que não afasta a necessidade de disponibilização ao titular de um mecanismo direto e próprio para o gerenciamento de cookies e para o exercício de seus direitos, sempre acompanhado da indicação das informações correspondentes.

Quanto à forma de apresentação, essas informações podem ser indicadas, por exemplo, em banners, apresentados após o acesso a uma página na internet; e, de forma mais detalhada, em políticas ou avisos de privacidade, que contenham informações sobre a política de cookies utilizada pelo agente de tratamento, conforme as recomendações apresentadas no Guia da ANPD

(iii) Direitos do titular: entre outros, são especialmente relevantes no contexto da utilização de cookies, o direito de acesso, de eliminação de dados, de revogação do consentimento e de oposição ao tratamento, sempre mediante procedimento gratuito e facilitado, conforme previsto no art. 18 da lgpd. Para o atendimento a essa determinação legal, é recomendável a disponibilização ao titular de mecanismo para o “gerenciamento de cookies”, por meio do qual seja possível, por exemplo, rever permissões anteriormente concedidas, como na hipótese de revogação
de consentimento relacionado ao uso de cookies para fins de marketing, quando essa for a base legal utilizada.

Importante enfatizar que, independentemente da tecnologia utilizada, não são compatíveis com a lgpd práticas que impliquem a coleta indiscriminada de dados pessoais – sem finalidade especificamente definida e clara para o titular – e o correspondente rastreamento ilimitado de seus titulares no ambiente digital. A violação aos direitos dos titulares ocorrerá, especialmente, quando a coleta não estiver amparada em uma hipótese legal apropriada e não forem disponibilizadas informações claras, precisas e facilmente acessíveis que confiram ao titular a efetiva possibilidade de compreender e de controlar o uso de seus dados pessoais.

 

(iv) Término do tratamento e eliminação de dados pessoais: a lgpd prevê que, como regra geral, os dados pessoais devem ser eliminados após o término do tratamento, o que pode ocorrer, por exemplo, quando a finalidade for alcançada ou a eliminação for legitimamente solicitada pelo titular. Dessa forma, o armazenamento de informações pessoais após o término do tratamento somente é admitido em hipóteses excepcionais, tal como para fins de cumprimento de obrigação legal, entre outras hipóteses previstas no art. 16 da lgpd. Daí decorre que o período de retenção de cookies deve ser compatível com as finalidades do tratamento, limitando-se ao estritamente necessário para se alcançar essa finalidade. Por isso, períodos de retenção indeterminados, excessivos ou desproporcionais em relação às finalidades do tratamento não são compatíveis com a lgpd.

(v) Hipóteses legais: são as hipóteses em que a lgpd autoriza o tratamento de dados pessoais, conforme o disposto no art. 7º e no art. 11, este no caso de dados pessoais sensíveis. Assim, sempre que envolvido tratamento de dados pessoais, a utilização de cookies somente poderá ser admitida se identificada a hipótese legal aplicável pelo controlador e atendidos os requisitos específicos estipulados para esse fim na lgpd.

consentimento
De acordo com a lgpd, o consentimento deve ser livre, informado e inequívoco. O consentimento será livre quando o titular realmente tiver o poder de escolha sobre o tratamento de seus dados pessoais. Ou seja, deve lhe ser assegurada a possibilidade efetiva de aceitar ou
recusar a utilização de cookies, sem consequências negativas ou intervenções do controlador que possam vir a viciar ou a prejudicar a sua manifestação de vontade.

Em razão desse requisito legal, não é compatível com a lgpd a obtenção “forçada” do consentimento, isto é, de forma condicionada ao aceite integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao titular. Deve-se ressalvar, no entanto, que a regularidade do consentimento deve ser verificada de acordo com o contexto e as peculiaridades de cada caso concreto, considerando-se, em particular, se é fornecida ao titular uma alternativa real e satisfatória.

O consentimento também deve ser informado, exigindo-se, para tanto, que sejam apresentadas ao titular todas as informações necessárias para uma avaliação e uma tomada de decisão consciente a
respeito da autorização ou recusa para a utilização de cookies.

legítimo interesse
A hipótese legal do legítimo interesse autoriza o tratamento de dados pessoais de natureza não sensível quando necessário ao atendimento de interesses legítimos do controlador ou de terceiros, “exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais” (art. 7º, ix).

O interesse do controlador será considerado legítimo quando for compatível com o ordenamento jurídico e não contrariar as disposições da lei. Além disso, o controlador deverá avaliar, em momento anterior à realização de qualquer operação baseada em legítimo interesse, se, no caso, prevalecem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais e, portanto, impeçam a realização do tratamento. Como em qualquer operação de tratamento de dados, é importante também comprovar a adoção de medidas técnicas e administrativas capazes de salvaguardar a operação e os dados utilizados, garantindo a segurança do tratamento e a transparência para os titulares.

Você pode acessar o guia completo da ANPD aqui. 

Guias Orientativos 

A ANPD já publicou uma série de guias orientativos sobre temas afetos à proteção de dados pessoais. Entre os temas abordados estão o tratamento de dados pessoais pelo poder público; a aplicação da LGPD no contexto eleitoral; e a proteção de dados pessoais. Todos os materiais estão disponíveis de forma gratuita, na página de Documentos e Publicações do site da Autoridade. 

Fonte: ANPD 

Veja também:

Sobre mindsecblog 1871 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. ANPD lança guia orientativo “Cookies e Proteção de Dados Pessoais” – Neotel Segurança Digital

Deixe sua opinião!