Foi publicado, no dia 18 de outubro 2022, o Guia Orientativo sobre “Cookies e Proteção de Dados Pessoais” pela Autoridade Nacional de Proteção de Dados (ANPD), cujo principal intento versa sobre o auxilio aos agentes de tratamento sobre as boas práticas acerca do referido assunto, de modo a abordar desde conceitos elementares, até pontos de maior complexidade.
Preliminarmente, a fim de garantir o correto entendimento acerca da temática abordada, faz-se relevante tratar sobre a definição e classificação dos Cookies, que embora seja uma expressão que possa ser cotidianamente auferida pelos usuários da internet ao acessar páginas de sites que os utilizam, seu significado, por muitas vezes, é desconhecido.
Conforme estabelece o referido Guia Orientativo, Cookies são arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, e que tem por objetivo atender finalidades diversas. Por vezes, as informações coletadas servem para o funcionamento adequado e seguro de páginas eletrônicas e para viabilizar a oferta de serviços no ambiente digital. Um exemplo disso é a utilização de Cookies para “recordar” opções feitas pelo usuário, tais como o idioma utilizado, o tipo de produto preferido, as senhas e logins utilizados, produtos incluídos ao carrinho para efetivação de uma compra, dentre outros. De outro modo, os Cookies também podem ser utilizados para a medição de acesso de uma página e a oferta de anúncios personalizados.
Em seguida, tratando da classificação dos Cookies, o referido Guia Orientativo os classifica de acordo com diferentes perspectivas, variando conforme: (i) a entidade responsável pela sua gestão; (ii) a necessidade; (iii) a finalidade; e (iv) o período de retenção das informações.
Em relação à entidade responsável pela sua gestão, os Cookies são classificados em próprios ou primários, e de terceiros. Os próprios são aqueles definidos diretamente pelo site que o titular está visitado. Eles geralmente não podem ser utilizados como meio para rastrear a atividade em outro site que não seja o site original em que ele foi colocado. Também vale dizer que esses tipos de Cookies podem armazenar informações como credenciais de login, itens do carrinho de compras ou idioma preferido. Já os Cookies de terceiros são aqueles criados por um domínio diferente daquele que o titular está visitando, de modo que eles são apresentados a este através de funcionalidades incorporadas a uma página eletrônica, como por exemplo anúncios exibidos.
De acordo com a perspectiva de necessidade, tem-se a divisão de Cookies necessários e Cookies não necessários. Os Cookies necessários são aqueles utilizados para que o site realize funções básicas e opere corretamente, restringindo-se a captar as informações que se façam essenciais para que o controlador preste o serviço solicitado pelo titular. Assim, conclui-se que a coleta das informações via Cookies se faz preponderante para assegurar o funcionamento da respectiva página eletrônica, de modo que sem esta, o usuário não seria sequer capaz de realizar as principais atividades do site.
Por outro lado, os Cookies não necessários caracterizam-se como sendo aqueles que não se enquadram como os anteriores, e cuja desabilitação não impede o funcionamento do site ou a utilização dos serviços pelos usuários.
Tendo em vista a finalidade de seu uso, os Cookies se diferenciam em Cookies analíticos ou de desempenho, Cookies de funcionalidade e Cookies de publicidade. Os primeiros são aqueles que possibilitam a coleta de dados e informações sobre como os usuários utilizam o site, quais páginas visitam com mais frequência dentro do site e a ocorrência de erros ou informações sobre o próprio desempenho do site. Já os Cookies de funcionalidade são usados para prover ao usuário os serviços básicos solicitados e permitir lembrar suas preferências no site, como nome de usuário, região ou idioma. Por fim, os Cookies de publicidade são aqueles utilizados para coletar informações relativas aos hábitos de navegação do usuário, com a finalidade de exibir anúncios.
Com relação à quarta e última perspectiva, referente ao período de retenção das informações, infere-se a classificação dos Cookies em Cookies de sessão ou temporários e Cookies persistentes. Os Cookies de sessão são projetados para coletar e armazenar informações enquanto os usuários acessam o site, sendo descartados quando este fecha o navegador. Já os Cookies persistentes são aqueles que coletam e armazenam informações por um período definido pelo controlador, podendo variar de alguns minutos a até mesmo alguns anos de acordo com a finalidade a qual essas informações foram coletadas.
Em seguida, sendo exaurida as definições e classificações tratadas pelo Guia Orientativo, passa-se a uma análise acerca da relação intrínseca da utilização de Cookies com a Lei Geral de Proteção de Dados (LGPD), instituída pela Lei nº. 13.709/2018, uma vez que um dos principais problemas relacionados ao uso de Cookies é a não disponibilização pelo controlador, de informações claras, precisas e facilmente acessíveis sobre a coleta e o tratamento das informações, que podem acarretar em uma restrição ou até mesmo inviabilização do controle do titular sobre os seus dados pessoais.
Conforme estabelece os artigos 7º e 11 da LGPD, auferindo-se a coleta e tratamento de dados pessoais, a utilização de Cookies só será autorizada mediante a identificação de hipótese legal aplicável pelo controlador e se atendidos os requisitos específicos estipulados pela LGPD para tal fim.
O Guia Orientativo, além de dispor sobre as principais normativas norteadoras da coleta de dados por meio de Cookies, apresenta também um rol exemplificativo sobre as hipóteses legais em que os Cookies podem ser utilizados pelo controlador, de modo a abordar as duas mais usuais e relevantes: o consentimento e o legítimo interesse.
Assim, de acordo com o que preconiza a LGPD, para que o controlador seja autorizado ao uso de Cookies, o consentimento do titular neste sentido deve ser livre, informado e inequívoco, de modo que deve ser assegurado ao titular a possibilidade efetiva de aceitar ou não a utilização de Cookies, sem que isso gere consequências prejudiciais ao titular ou que acarrete em intervenções do controlador que possam vir a viciar ou prejudicar sua manifestação de vontade devidamente consentida. Também se caracteriza como dever do controlador que pretende a utilização de Cookies, o fornecimento ao titular de todas as informações necessárias para uma avaliação e uma tomada de decisão consciente acerca da aceitação ou recusa para a utilização dos Cookies e a garantia de obtenção de uma manifestação clara, objetiva e positiva do titular, não sendo admitida sua manifestação de forma tácita.
Alternativamente, permite a LGPD o tratamento de dados pessoais não sensíveis quando impreterível para o atendimento de interesses legítimos do controlador ao de terceiros, excetuando-se os casos em que prevalecerem os direitos e garantias fundamentais do titular que exijam a proteção dos dados pessoais. Assim, considera-se legítimo o interesse do controlador quando esse for compatível com o ordenamento jurídico, de modo a não contrariar disposições em lei e, cumulativamente, não for o caso de prevalência de direitos e garantias fundamentais dos titulares que exijam a proteção dos dados.
Em sequência, com o intuito de garantir o atendimento ao princípio da transparência e auxiliar o titular a compreender o tratamento dos dados pessoais coletados, o Guia Orientativo trata de fazer uma recomendação aos controladores que buscam a utilização de Cookies para que estes elaborem uma Política de Cookies, sendo esse um documento disponibilizado em uma página específica, acessável por meio de link apresentado no Banner de Cookies, que apresenta informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de Cookies, o período de retenção, se há compartilhamento dos dados coletados com terceiros e outros aspectos elencados pelo artigo 9º da LGPD.
Por fim, o Guia Orientativo também aborda a ferramenta do Banner de Cookies como sendo um meio de suma importância para se fazer valer o livre consentimento do titular, sendo este: “um recurso visual usado no design de aplicativos ou sites na internet, que utiliza barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente. Além disso, o banner fornece ferramentas para que o usuário possa ter maior controle sobre o tratamento, como, por exemplo, permitindo que ele consinta ou não com determinados tipos de cookies.”.
A equipe do Zanetti e Paes de Barros Advogados permanece à disposição para solucionar eventuais dúvidas.