Cartilha de Orientações

LGPD e o Uso de Cookies

Cartilha elaborada por: Compliance Digital – Peduti Advogados

Edição nº: 01 – Abril de 2023.

Introdução

A presente cartilha tem como objetivo principal apresentar a utilização de cookies e a sua relação com a proteção de dados pessoais, com fundamento no “Guia Orientativo de Cookies e Proteção de Dados Pessoais”, publicado pela Autoridade Nacional de Proteção de Dados (ANPD) em 18/10/2022, e nas boas práticas internacionais. 


A privacidade e proteção de dados pessoais dos usuários de serviços online é de grande importância, ainda mais à luz da Lei nº 13.709/18 - Lei Geral de Proteção de Dados Pessoais (LGPD), representante da maior revolução em matéria de normatização da proteção de dados pessoais, desde a Lei nº 12.965/14 - Marco Civil da Internet, legislação elaborada antes do advento de diversas formas de coleta e uso de dados comuns atualmente, em particular por meio da Internet. 

O que é a Autoridade Nacional de Proteção de Dados (ANPD)?


É órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional (art. 5º, XIX, LGPD). 

A privacidade, ademais, é uma questão cada vez mais importante para os usuários da Internet, preocupados com o fato de seus dados estarem sendo amplamente coletados e, ainda, comercializados sem sua permissão ou conhecimento. Isso não é importante apenas do ponto de vista jurídico, mas também empresarial. O direito à proteção de dados pessoais é um direito fundamental, expressamente protegido pela Constituição Federal de 1988 (art. 5º, inciso LXXIX) e pela LGPD, em conjunto com os interesses e demais liberdades civis e direitos fundamentais dos titulares de dados pessoais, nos termos do artigo 17 da LGPD.


Estar em conformidade com as diretrizes e normas da LGPD demonstra aos parceiros comerciais, clientes, colaboradores e prestadores de serviços preocupação e seriedade na condução e trato de dados pessoais por parte da [EMPRESA], fornecendo parâmetros de segurança e prevenção a incidentes ou uso inadequado dos dados pessoais, que destacarão a [EMPRESA] como empresa pioneira no Brasil ao adotar políticas e regras de boas práticas e de governança atinentes aos mais altos padrões nacionais e internacionais de tratamento diligente, finalístico e transparente de dados pessoais, como também resguarda a [EMPRESA] contra condenações na esfera cível por danos sofridos por titulares de dados pessoais e sanções administrativas em decorrência da violação de disposições da LGPD, com penas de multa que poderão chegar a até R$ 50.000.000,00 (cinquenta milhões de reais).

O que são cookies?

Você possivelmente deve ter notado quando entrou em um website e apareceu o seguinte aviso:

Esse aviso faz referência aos cookies, arquivos que podem ser instalados no seu computador ou em outro dispositivo e que permitem a coleta de determinadas informações, incluindo dados pessoais, a fim de atender a finalidades diversas.

Qual é a relação dos cookies com a Lei Geral de Proteção de Dados Pessoais (LGPD)?

A LGPD tem o propósito de regular e estabelecer diretrizes, princípios e fundamentos para o tratamento de dados pessoais, inclusive no ambiente digital, a fim de proteger as liberdades civis e direitos fundamentais, de privacidade e intimidade, dos titulares de dados pessoais.


Diante da possibilidade de que cookies podem coletar dados pessoais, ou seja, informação relacionada à pessoa física identificada ou identificável, há uma estreita relação com a Lei Geral de Proteção de Dados Pessoais (LGPD).


Para garantir a conformidade da [EMPRESA] com os ditames e princípios de tratamento de dados pessoais impostos pela LGPD, é essencial que se dê importância aos avisos e políticas de cookies e tecnologias semelhantes de forma compatível com os mais altos padrões e procedimentos de segurança da informação exigidos e observados no mercado.


A utilização de cookies, portanto, somente será legítima caso haja o atendimento aos princípios e às disposições da LGPD.

Importante!


Ainda que a maioria das especificações se concentrem nos chamados cookies, diversas tecnologias podem ser utilizadas de forma similar, como: objetos compartilhados locais, também conhecidos como cookies flash; web beacons; clear gifs e tags de página. 


As referências neste documento a cookies devem ser entendidas como correspondendo também a essas tecnologias similares. Como a tecnologia inova, se desenvolve e se atualiza em ritmo superior à legislação, seria temerário imaginar que a LGPD limitar-se-ia a regular somente tecnologias atuais.

O que é dado pessoal?

De acordo com o art. 5º, inciso I da LGPD, é qualquer informação relacionada à pessoa natural identificada ou identificável. 


Exemplos de dados pessoais: Nome, data de nascimento, número do CPF, endereço, número de cartão de crédito, dados bancários, histórico de crédito, informações para cobrança, histórico de transações comerciais identificadas etc.

Tipos de Cookies

A solução para a correta disponibilização de cookies depende de quais cookies a [EMPRESA] utiliza em seu site, bem como de seu propósito e finalidade. A maneira mais eficaz de distinguir quais são os cookies e suas funções, de fato, é realizar uma revisão completa de todos os cookies. Sem prejuízo, esta revisão mostra-se como uma oportunidade para identificar a legitimidade real e a finalidade adequada na consecução dos interesses comerciais da [EMPRESA] por meio do tratamento de dados pessoais dos usuários de seu site. 


Para fins didáticos, abaixo encontram-se as principais categorias de cookies, nos termos do disposto pela ANPD:


Quais são os principais tipos de cookies, de acordo com a entidade responsável pela sua gestão?

Os cookies, de acordo com a entidade responsável pela sua gestão, podem se subdividir em:

  • Cookies próprios ou primários: são definidos diretamente pelo site ou aplicação que o usuário está visitando. Exemplo: credenciais de login gravadas, itens do carrinho de compras que ficam salvos.
  • Cookies de terceiros: são aqueles colocados por sites e/ou serviços de terceiros dissociados do domínio que o usuário está visitando. Exemplo: exibição de anúncios.


Quais são os principais tipos de cookies, de acordo com a necessidade?

Os cookies, de acordo com a necessidade, podem se subdividir em:

  • Cookies necessários: são aqueles utilizados para que o site ou aplicação funcione corretamente. Exemplo: Podem ser exigidos para funções como login, ou habilitação de transações de pagamento. 
  • Cookies não necessários: estão relacionados a funcionalidades não essenciais do serviço, da aplicação ou da página eletrônica. Sua desabilitação não impede o funcionamento do site ou aplicação ou a utilização dos serviços pelo usuário. Exemplo: cookies utilizados para rastrear comportamentos e medir o desempenho da página.


Quais são os principais tipos de cookies, de acordo com a finalidade?

Os cookies, de acordo com a finalidade, podem se subdividir em:

  • Cookies analíticos ou de desempenho: permitem contar o número de visitantes de determinado site, verificar como os usuários utilizam o site ou aplicação e informações relacionadas ao desempenho.
  • Cookies de funcionalidade: permitem o uso de recursos essenciais para a experiência no site ou aplicação. Podem incluir cookies próprios, de terceiros, persistentes ou de sessão.
  • Cookies de publicidade: são utilizados para coletar informações do usuário a fim de exibir anúncios personalizados que são mostrados ao acessar o site ou aplicação.


Quais são os principais tipos de cookies, de acordo com o período de retenção das informações?

Os cookies, de acordo com o período de retenção das informações, podem se subdividir em:

  • Cookies de sessão ou temporários: projetados para coletar e armazenar informações enquanto os usuários visitam o site. Costumam ser descartados/perdem a validade após o usuário fechar o navegador. Exemplo: itens do carrinho de compras que ficam salvos.
  • Cookies persistentes: são cookies que permanecem no seu dispositivo mesmo depois de ter fechado o navegador, por um período variável. Exemplo: pode ser usado para rastrear o comportamento de um usuário e suas preferências, gravando o idioma utilizado e últimas pesquisas feitas.

Bases legais aplicáveis


Na hipótese de ocorrer o tratamento de dados pessoais por meio do uso de cookies, esse tratamento deve estar amparado pelo que se chama de base legal. As bases legais, nesse sentido, são as hipóteses previstas em lei que permitirão (ou não) o uso dessa tecnologia para a coleta de dados pessoais dos usuários. 


O artigo 7º da LGPD prevê 10 (dez) bases legais para o tratamento de dados pessoais comuns, ao passo que o artigo 11 prevê 8 (oito) para o tratamento de dados sensíveis².


Ao contrário do que muitos pensam, o consentimento não é a única hipótese que autoriza o tratamento de dados pessoais. Especificamente para o caso de cookies, a ANPD ressaltou a utilização de duas bases legais: o consentimento e o legítimo interesse, conforme disposto na tabela abaixo:

Hipótese Legal Quando é indicada?
Consentimento (art. 7º, I ou art. 11, I – LGPD) Cookies não necessários e cookies de publicidade. A possibilidade de aceitar ou recusar a utilização de cookies não necessários, de modo independente dos cookies necessários, permite que o consentimento seja livre.
Legítimo interesse (art. 7º, IX – LGPD) Cookies estritamente necessários. Cookies analíticos ou de desempenho (em determinados contextos, observados os requisitos previstos na LGPD).

Uma pergunta razoável a se fazer é: “Por que os controles de cookies incorporados aos navegadores de Internet não podem ser considerados instrumentos de manifestação do consentimento do titular de dados pessoais?”. Afinal, os usuários são livres para bloquear cookies utilizando as configurações ou extensões do navegador de Internet. 


O problema com tais configurações ou extensões, entretanto, é que muitos usuários não as conhecem. Além disso, nem todos os navegadores de Internet são criados iguais e a sofisticação das configurações de cookies e privacidade variam consideravelmente, muitas vezes não fornecendo níveis suficientes de controle. 


²Art. 5º Para os fins desta Lei, considera-se: (...) 

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (...)

Consentimento

Caso seja utilizado o consentimento como base legal, há determinados requisitos que devem ser seguidos, nos termos da LGPD:

  • Deve ser livre, ou seja, o titular deve ter assegurada a possibilidade efetiva de aceitar ou recusar a utilização de cookies.
  • Deve ser informado, de modo que sejam apresentadas todas as informações necessárias para que o titular tome a sua decisão de modo consciente.
  • Deve ser inequívoco, ou seja, o titular deve ativamente conceder o seu consentimento, de modo que ele não possa ser presumido. Por esse motivo, não é recomendável a utilização de banners de cookies com opções de autorização pré-selecionadas ou a pressuposição de que, ao continuar a navegação em uma página, o titular forneceria o consentimento de seus dados pessoais automaticamente.
  • No caso de dados pessoais sensíveis, o consentimento deve ser específico e destacado, para finalidades específicas.
  • A [EMPRESA] deverá registrar todos os consentimentos coletados, tendo em vista que é de sua responsabilidade comprovar, caso necessário, que foram obtidos de forma lícita.


Legítimo Interesse

O legítimo interesse é uma base legal prevista no artigo 7º, inciso IX da LGPD, não sendo permitido utilizá-lo como prerrogativa para a coleta de dados pessoais sensíveis. Além disso, somente poderá fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

  1. Apoio e promoção de atividades do controlador;
  2. Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da LGPD.


Dentre os seus requisitos, é importante que:

  • Seja comprovada a adoção de medidas de segurança, técnicas e administrativas, capazes de salvaguardar a operação e os dados utilizados.
  • A [EMPRESA] se certifique de que a utilização pretendida, além de não ferir direitos e liberdades, poderia ser razoavelmente prevista pelo titular de dado.
  • O titular tenha um canal de contato caso deseje se opor ao tratamento realizado com base no legítimo interesse, em caso de descumprimento aos requisitos previstos na LGPD (art. 18, §2º, LGPD).
  • Seja elaborada uma Avaliação de Legítimo Interesse (LIA) pelo Encarregado (DPO) da [EMPRESA].

Qual é a diferença entre uma política de cookies, um aviso/banner de cookies e uma política de privacidade?

A Política de Cookies é uma política voltada a fornecer informações sobre como a empresa utiliza cookies. Nela, devem conter disposições sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, entre outros aspectos indicados no art. 9º da LGPD. A Política de Cookies³ pode ser apresentada: 

  1. como uma seção específica da Política de Privacidade;
  2. em um local específico e separado; ou
  3. no próprio banner de cookies.


O Aviso ou Banner de Cookies é um recurso visual usado no design de aplicativos ou sites na internet, que utiliza barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. Além disso, o banner fornece ferramentas para que o usuário possa ter maior controle sobre o tratamento, como, por exemplo, permitindo que ele consinta ou não com determinados tipos de cookies⁴. Serve, portanto, como uma ferramenta para trazer mais transparência e aderência aos princípios de proteção de dados pessoais.


Já a Política de Privacidade objetiva fornecer transparência para com o titular de dados pessoais (usuário do site, clientes da [EMPRESA], etc.). O documento demonstra como é feito o tratamento dos dados pessoais utilizados, para quais finalidades, dentre outras informações importantes.


Observação da ANPD: disponibilizar informações sobre cookies somente por meio da Política de Privacidade pode não ser suficiente, pois o titular de dados nem sempre irá consultar a página da Política de Privacidade de um site. Assim, recomenda-se que sejam configurados recursos para que o titular possa identificar tais informações separadamente assim que acessar a plataforma, como pela utilização de banner de segundo nível.

³Guia Orientativo ANPD – Cookies e proteção de dados pessoais (p. 29).

⁴Guia Orientativo ANPD – Cookies e proteção de dados pessoais (p. 28).

Princípios da LGPD que devem ser observados na utilização de cookies


De acordo com o guia orientativo fornecido pela ANPD, dentre os 10 (dez) princípios expostos no artigo 6º da LGPD, devem ser observados, principalmente, os seguintes:

  • Princípio da finalidade;
  • Princípio da adequação; 
  • Princípio da necessidade;
  • Princípio do livre acesso;
  • Princípio da transparência.


De acordo com o princípio da finalidade, o tratamento deve ser feito para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. 


Já o princípio da adequação dispõe que deve haver compatibilidade do tratamento de dados pessoais com as finalidades informadas ao titular, ou seja, os dados devem ser tratados de acordo com a sua real destinação. 


Com relação ao princípio da necessidade, o tratamento deverá ser relativo somente aos dados pessoais que forem necessários à persecução da finalidade informada. Desse modo, não se deve coletar ou manter dados pessoais que não possuam destinação certa ou finalidade definida.


O princípio do livre acesso garante, aos titulares, consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. Na prática, significa dizer que a [EMPRESA] deve contar com mecanismos para que o titular dos dados exerça o seu direito de consultar informações relacionadas aos seus dados pessoais, de forma gratuita. Além disso, a [EMPRESA] necessita deixar evidente os seus objetivos e o período em que os dados pessoais serão utilizados.


Por fim, o princípio da transparência objetiva que os titulares tenham informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Em resumo, esse princípio determina que a [EMPRESA], ao utilizar os dados pessoais do titular nas suas atividades, deve, de forma clara, informar como serão utilizados os referidos dados. 

Como elaborar um banner de Cookies

Usualmente, um aviso de cookies possuirá duas telas, ou dois banners, chamados de (i) banner de primeiro nível e, (ii) banner de segundo nível, respectivamente.


Na elaboração do banner de primeiro nível, ou seja, aquele que aparece no momento em que o usuário visita o site pela primeira vez, recomenda-se, como boa prática, que (i) seja disponibilizado um botão que permita rejeitar todos os cookies não necessários; (ii) aceitar todos os cookies; (iii) ver preferências e escolher quais cookies deseja habilitar. 

Ainda no banner de primeiro nível, é importante que seja fornecido um link, direcionando para a Política de Privacidade. Exemplo:

(Guia Orientativo de Cookies e Proteção de Dados Pessoais” – ANPD, p. 31)

Na elaboração do banner de segundo nível, de acordo com as recomendações da ANPD, sugere-se:

  • A classificação dos cookies em categorias, de acordo com seus usos e finalidades;
  • A apresentação de descrição e informações simples, claras e precisas quanto a essas finalidades;
  • A obtenção do consentimento para cada cookie não necessário, ou seja, as opções devem estar desativadas por padrão;
  • A disponibilização de informações sobre como realizar o bloqueio de cookies pelas configurações do navegador. Caso o cookie ou rastreador não possa ser desabilitado por meio do navegador, o usuário deverá ser informado a respeito.


Exemplo:

(Guia Orientativo de Cookies e Proteção de Dados Pessoais” – ANPD, p. 32)

Portanto, quanto mais ressaltada for a comunicação da [EMPRESA] com seus usuários, melhor. Cumpre mencionar, ainda, que o usuário médio da Internet não possui um alto grau de conhecimento técnico, de modo que é sempre aconselhável usar uma linguagem amistosa, acessível e direta nas informações de cookies da [EMPRESA].

Direitos dos Titulares

Caso o titular identifique que a [EMPRESA] está utilizando cookies e coletando seus dados pessoais, possui, dentre outros direitos dispostos no artigo 18 da LGPD:

  • Direito de acesso aos seus dados pessoais tratados;
  • Eliminação dos dados pessoais tratados com o seu consentimento;
  • Revogação do consentimento antes fornecido – Nesse sentido, deve ser “disponibilizado ao titular um procedimento simplificado e gratuito para revogar o consentimento fornecido para a utilização de cookies, de forma similar ao procedimento utilizado para obtê-lo”.⁵
  • Oposição ao tratamento, em caso de descumprimento da LGPD.


Observação: Conforme orientado pela ANPD, “não são compatíveis com a LGPD práticas que impliquem a coleta indiscriminada de dados pessoais – sem finalidade especificamente definida e clara para o titular – e o correspondente rastreamento ilimitado de seus titulares no ambiente digital”.

Quem é o titular?

De acordo com o art. 5º, inciso V da LGPD, titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, ou seja, ocorrendo a coleta dos seus dados pessoais por meio de cookies, por exemplo, você é considerado titular. 


Importante!

O Código Civil dispõe que a existência da pessoa natural termina com a morte (art. 6º, CC), portanto, pessoas falecidas não são titulares de dados pessoais.

⁵Guia Orientativo de Cookies e Proteção de Dados Pessoais” – ANPD (p. 19).

A revisão de cookies pela [EMPRESA]

Uma revisão nos cookies irá ajudar a [EMPRESA] a distinguir os cookies que são tratados em seu site, qual é a funcionalidade de tais cookies e que tipo de cookies são eles, bem como por qual período os cookies permanecem no computador ou dispositivo de um usuário, quais dados pessoais dos usuários são coletados, e se estão ou não sendo usados em harmonia com a LGPD. Para tanto, pode ser realizo o seguinte passo a passo:


Quais cookies estou utilizando? 

Sugere-se começar através da listagem todos os cookies usados atualmente no site da [EMPRESA]. Caso não se saiba quais cookies estão sendo usados, o desenvolvedor do site da [EMPRESA] deverá ser capaz de fornecer uma lista. Como alternativa, uma série de ferramentas, algumas inclusive gratuitas, estão disponíveis online.


O que os cookies da [EMPRESA] fazem? 

Para cada cookie listado, deve-se anotar seu propósito e finalidade. É importante que a [EMPRESA] tenha clareza sobre a função de cada cookie, pois isso ajudará na próxima etapa.


Quais tipos de cookies estão sendo usados?

Percorrendo a lista novamente, deve-se identificar quais tipos de cookies estão em atividade no site da [EMPRESA]. Consulte a lista supramencionada para conseguir orientação. Deve-se identificar se cada cookie foi inserido pela [EMPRESA] ou de terceiros; se se trata de cookie persistente ou cookie de sessão; e se é estritamente necessário para atingir a finalidade, funcionalidade ou segmentação propostas pela [EMPRESA], etc.


Qual o tempo de duração dos cookies persistentes? 

Se a [EMPRESA] tratar de cookies persistentes, é essencial examinar sua durabilidade. Os cookies persistentes são considerados mais invasivos para a privacidade do que os cookies de sessão. Consequentemente, para cada um, considerar se sua vida útil é efetivamente necessária para atingir a finalidade do cookie apresentada pela [EMPRESA] e, caso assim o seja, deve-se encurtar seu ciclo de vida.


Quais dados os cookies no site da [EMPRESA] coletam?

Nem todos os cookies coletam e armazenam dados pessoais, mas alguns o fazem e, à luz da LGPD, os dados usados pelos cookies são definidos como “dados pessoais”. Além do intuitivo – nome, endereço de e-mail, etc. – os endereços de IP e outros identificadores, aparentemente anônimos, devem ser qualificados como dados identificáveis.


Nesse sentido, mesmo um identificador anônimo que não possa identificar diretamente um titular por operação pode ser classificado como dado pessoal, se puder ser utilizado para identificar o indivíduo por meio do cruzamento de dados. Se os cookies coletarem dados pessoais, a [EMPRESA] estará tratando de dados pessoais e deve, como tal, garantir que cumpre todos os requisitos da LGPD.


Os cookies da [EMPRESA] são legais?

Conservar os próprios cookies primários sob controle da [EMPRESA] é imprescindível e, se houver algum dado pessoal envolvido, é essencial cumprir completamente o teor da LGPD. Além disso, se a [EMPRESA] fizer uso de cookies de terceiros, apesar de o controle sobre eles estar (pelo menos até certo ponto) com o terceiro que os fornece, eles ainda estão sendo usados em seu site. Consequentemente, é necessário garantir que o terceiro ou as partes envolvidas estejam igualmente em conformidade com a legislação de proteção de dados.

Conclusão

Resta explanada, nesta cartilha, a importância da adequação do site da [EMPRESA] aos termos e condições impostas pela Lei Geral de Proteção de Dados Pessoais, no que tange à utilização de cookies


As ações deverão ser implementadas no site da [EMPRESA], garantindo a sua conformidade à LGPD. O conteúdo e mensagens neste documento são sugestões e orientações que seguem as melhores práticas em conformidade com a privacidade e proteção de dados. Não obstante, o texto apresentado pelos modelos poderá ser ajustado de acordo com a realidade, cultura organizacional e design da [EMPRESA].

Ativo 10

Sobre a Peduti Advogados

A Peduti Advogados é uma banca especializada em Propriedade Intelectual e Direito Digital e está sediada, estrategicamente, no centro financeiro e de negócios de São Paulo, com correspondentes especializados em todo país e no exterior. 


Com mais de 46 anos de tradição nestas áreas, nossa prática nos âmbitos nacional e internacional é permeada pelo mais alto padrão de excelência técnica e atendimento aos padrões internacionais de Compliance, oferecendo assessoria full-service em nossas áreas de atuação, atendendo a toda a gama de serviços relacionados a privacidade e proteção de dados, patentes, marcas, direitos autorais, softwares, transferência de tecnologia, nomes de domínio, publicidade e segredos de negócio – incluindo assessoria, consultoria, condução de litígios judiciais e administrativos, licenciamentos, comércio internacional, gerenciamento de portfólio, combate à pirataria/contrafação e concorrência desleal. 


Nossa equipe conta com aproximadamente 40 profissionais entre advogados, engenheiros, paralegais, estagiários e equipe administrativa, todos com atuação focada em Propriedade Intelectual e Direito Digital, gerando resultados práticos e eficazes às demandas de nossos clientes.


Você ainda tem dúvidas sobre a LGPD e como isso pode afetar a sua empresa ou negócio?

Agende uma conversa com um de nossos advogados. Envie uma mensagem ou ligue para nosso escritório.

Ficaremos  felizes em poder ajudar e responder possíveis dúvidas!

Ligue para nós: (11) 3078-0353 Chame no WhatsApp: (11) 91979-7850 E-mail: lgpd@peduti.com.br