A preocupação da utilização dos Cookies sob a ótica de regramentos normativos da Privacidade e proteção dos dados pessoais

cookies

O que são cookies? 

Como é sabido, a Lei Geral de Proteção de Dados Pessoais entrou em vigor no dia 16 de agosto de 2020 e um ponto de dúvida recorrente é sobre a melhor forma de se coletar os cookies de um website. 

Para quem não sabe, os cookies são arquivos armazenados no computador do usuário que possuem a finalidade de auxiliar o provedor do site a rastrear suas visitas e as atividades realizadas em seu sítio eletrônico. O rastreamento se aplica como exemplo, mas não se limita, a manter o registro da visita mais recente do usuário, guardar informações de login ou mesmo disponibilizar funcionalidades no momento do acesso ao sítio eletrônico.  

Os cookies podem ser divididos de acordo com sua finalidade, o que implicará diretamente na base legal autorizadora para sua coleta e são os seguintes: 

  1. de sessão, utilizados apenas quando uma pessoa está acessando ativamente um sítio eletrônico; 
  1. de rastreamento, utilizados para criar registros de várias visitas ao mesmo sítio eletrônico; 
  1. de autenticação, utilizado para verificar se um usuário está ativo e identificá-lo; e  
  1. de terceiros, criados por outros sites possuindo uma parte do conteúdo, como anúncios ou imagens, que você vê na página do sítio eletrônico quando acessado. 

 A LGPD possui algum artigo que regulamente o uso dos cookies? 

Atualmente, a redação da Lei Geral de Proteção de Dados Pessoais não contém dizeres específicos a respeito do tratamento de dados realizados pelos cookies, porém já existem atos normativos internacionais que regulam essa modalidade de coleta de dados, conforme explicamos abaixo, e que poderão ser utilizados de base para uma boa gestão dos cookies em território brasileiro. 

O Considerando nº 30 do GDPR – General Data Protection Regulation dispõe a respeito da possibilidade de que as pessoas naturais possam ser associadas por meio de seu identificador online, fornecido por aparelhos, aplicações, ferramentas e protocolos (sejam esses protocolos da internetde identificadores de cookies ou outro identificador por meio de radiofrequência). Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, são capazes de serem utilizados para a definição de perfis e a identificação das pessoas singulares. 

Além disso, anteriormente à GDPRjá existiam, no Reino Unido, os Regulamentos de Privacidade e Comunicações Eletrônicas (PECR – The Privacy and Electronic Communications (EC DirectiveRegulations 2003, que trouxe regramentos específicos a determinadas formas de comunicações eletrônicas, sendo uma delas os cookies e tecnologias semelhantes.  

A PECR implementou a Diretiva Europeia 2002/58/EC, conhecida como “Diretiva de Privacidade Eletrônica”, que estabelece direitos de privacidade mais específicos nas comunicações eletrônicas. Porém, é importante deixar claro que esta Diretiva não substitui a utilização da GDPR, mas, em verdade, atua de forma conjunta quando se fala de proteção de dados nas comunicações eletrônicas, como no caso dos cookies.  

Relationship between these Regulations and the Data Protection Act 1998: 4.  Nothing in these Regulations shall relieve a person of his obligations under the Data Protection Act 1998 in relation to the processing of personal data. (PECR)1 

Tradução literal: Relação entre estes Regulamentos e a Lei de Proteção de Dados de 1998: 4. Nada nestes Regulamentos isentará uma pessoa de suas obrigações sob a Lei de Proteção de Dados de 1998 em relação ao processamento de dados pessoais. (PECR) 

Com tais explanações, temos que, até qualquer posicionamento específico da ANPD (Autoridade Nacional de Proteção de Dados) com relação a esse tema, é prudente que os agentes de tratamento de dados pessoais observem os preceitos da PECR, juntamente com a GDPR, no momento de definir o formato de coleta e armazenamento de cookies dos visitantes do site da empresa. 

E como posso me adequar da melhor forma com relação aos cookies coletados em meu site? 

O marco inicial para definir a melhor forma de se tratar os cookies é verificar quais e quantos cookies são coletados pelo sítio eletrônico de uma empresa (identificação dos cookies). 

Uma vez feito isso, é hora de delimitá-los em categorias, para facilitação na atribuição de bases legais, separando aqueles que são estritamente necessários para o uso do sítio eletrônico daqueles que não são necessários para a boa navegação do usuário, ou seja, são acessórios ou desnecessários. Também sugerimos que aqueles que não possuem utilidade alguma sejam excluídos da página, para evitar maiores complicações no que tange à fiscalização por parte da ANPD 

Essa delimitação é interessante para que o agente de tratamento de dados pessoais preencha aqueles requisitos contidos na PECR e/ou na GPDR, devido à falta de regulamentação de tal tema na LGPD 

Segundo consta na PECR, mais precisamente no tópico de Confidencialidade das Comunicações, o consentimento deverá ser expresso por um usuário no caso de realização de alteração ou definições nos controles no navegação, mas que tal base legal não se aplica ao armazenamento técnico, ou acesso, de informações que sejam necessárias para a prestação de um serviço da Segurança da Informação solicitado pelo usuário2, sendo dispensada a coleta deste consentimento apenas para aqueles cookies considerados estritamente necessários para a consecução dos serviços do sítio eletrônico da empresa. 

Sendo assim, é possível chegar à seguinte conclusão: 

  1. Cookies necessários para a realização das funcionalidades do sítio eletrônico, na hipótese de coleta de dados pessoais, são possíveis de serem justificados pela base legal do Interesse Legítimo, pela previsão expressa da PECR e da utilização da GDPR e LGPD (Considerando número 6 da PECR; Artigo 6ºf, da GPDR e Art. 7º, IX da LGPD); e  
  1. Cookies acessóriosou seja, que não são necessários para o bom funcionamento do site da empresa, mas que se prestam apenas para atendimento dos interesses do dono do sítio eletrônico devem ser tratados apenas mediante coleta do consentimento do titular (Considerando número 6 da PECR; Artigo 6º, a, da GPDR e Art. 7º, I da LGPD) e respeitando o opt-in (os cookies desnecessários não são pré-selecionados e o visitante do site os habilita apenas se quiser, após explicação ao visitante sobre as funcionalidades de cada tipo de cookie presente em seu site). 

Por fim, é extremamente relevante que conste da Política de Cookies ou mesmo na própria Política de Privacidade da empresa sobre quais dados serão coletados por tais cookies, qual a finalidade de cada um no tratamento destes dados e se estes são compartilhados com terceiros. 

Checklist: Planejamento estratégico de TI e Segurança em 2025

Participe da comunidade de tecnologia da Tripla

Siga a Tripla nas redes

Quer saber como nossas soluções podem beneficiar sua empresa? Converse com nossos especialistas!

Participe da comunidade
de tecnologia da Tripla

Copyright © 2020 Tripla

Fale com um de nossos consultores