ANPD publica guia orientativo sobre cookies e proteção de dados pessoais
O documento traz recomendações aos controladores de dados e exemplos de boas práticas para a elaboração de políticas e banners de cookies à luz da LGPD
Assuntos
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 18 de outubro de 2022, o guia orientativo que aborda “Cookies e Proteção de Dados Pessoais”. O objetivo do guia é fornecer orientações aos agentes de tratamento sobre a utilização dos cookies, abordando desde pontos mais técnicos, como conceitos e categorias dos mesmos, até temas mais principiológicos, como a implicação das regras da Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018 – LGPD) a serem observadas na sua utilização em sites eletrônicos.
Além de fornecer recomendações aos controladores sobre formas de garantir o cumprimento da LGPD, o material também destaca a aplicação das bases legais do regulamento que justificam o tratamento de dados pessoais e relaciona especificamente as bases do consentimento e legítimo interesse às diferentes categorias de cookies mais utilizadas em sites eletrônicos. O guia traz exemplos de boas práticas que podem ser adotadas pelos agentes de tratamento na elaboração de políticas e banners de cookies.
Para fins ilustrativos, veja abaixo uma lista com as principais orientações práticas que constam no guia da ANPD relacionadas à utilização de cookies. Vale ressaltar que todas as recomendações devem ser avaliadas com ressalvas, conforme o contexto e os detalhes aplicáveis a cada caso concreto.
Orientações Gerais
Idioma
Prática não recomendada:
- Apresentar informações sobre a política de cookies apenas em idioma estrangeiro.
Banner de Primeiro Nível (Banner para informar o uso de cookies e permitir o gerenciamento através de um banner de segundo nível, quando aplicável)
Botões de aceitar, rejeitar e gerenciar cookies
Prática não recomendada:
- Dificultar a visualização ou compreensão dos botões de rejeitar cookies ou de configurar cookies, e conferir maior destaque apenas ao botão de aceite.
- Impossibilitar ou dificultar a rejeição de todos os cookies não necessários.
- Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.).
- Dificultar o gerenciamento de cookies (exemplo: não disponibilizar opções específicas de gerenciamento para cookies que possuem finalidades distintas).
- Ao utilizar o consentimento como hipótese legal, vincular a sua obtenção ao aceite integral das condições de uso dos cookies, sem o fornecimento de opções efetivas ao titular.
Boa Prática:
- Disponibilizar botão que permita rejeitar todos os cookies não necessários, de fácil visualização, nos banners de primeiro e segundo nível.
Disponibilização de Informações
Prática não recomendada:
- Não disponibilizar informações e mecanismo direto, simplificado e próprio para o exercício dos direitos de revogação do consentimento e de oposição ao tratamento pelo titular (além das configurações de bloqueio do navegador).
Boa Prática:
- Disponibilizar informações sobre como realizar o bloqueio de cookies pelas configurações do navegador. Caso o cookie ou rastreador não possa ser desabilitado por meio do navegador, o titular deverá ser informado a respeito.
- Fornecer um link de fácil acesso para que o titular possa exercer os seus direitos, que pode incluir, por exemplo, saber mais detalhes sobre como seus dados são utilizados e sobre o período de retenção, além de solicitar a eliminação dos dados, opor-se ao tratamento ou revogar o consentimento.
Banner de Segundo Nível (Banner para fornecer informações mais detalhadas quanto aos diferentes tipos de cookies, quando aplicável, e possibilitar o gerenciamento desses cookies)
Disponibilização de banner de segundo nível
Prática não recomendada:
- Não disponibilizar banner de segundo nível.
Classificação e Categorias de cookies
Boa Prática:
- Classificar os cookies em categorias no banner de segundo nível.
- Descrever as categorias de cookies de acordo com seus usos e finalidades.
Disponibilização de informações
Prática não recomendada:
- Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular.
Boa Prática:
- Disponibilizar informações sobre como realizar o bloqueio de cookies pelas configurações do navegador. Caso o cookie ou rastreador não possa ser desabilitado por meio do navegador, o titular deverá ser informado a respeito.
Finalidades
Boa Prática:
- Apresentar descrição e informações simples, claras e precisas quanto às finalidades.
Obtenção do consentimento
Boa Prática:
- Permitir a obtenção do consentimento para cada finalidade específica, de acordo com as categorias identificadas no banner de segundo nível, quando couber.
Configurações Padrão
Prática não recomendada:
- Apresentar cookies não necessários ativados por padrão ou pré-selecionados, por exemplo, exigindo a desativação manual pelo titular.
Boa Prática:
- Desativar cookies baseados no consentimento por padrão.
O guia ficará aberto para o recebimento de comentários e contribuições contínuas da sociedade por meio da Plataforma Fala.BR, para que o material possa ser constantemente atualizado diante do estabelecimento de eventuais novas regulamentações e entendimentos da ANPD.
Para mais informações, conheça a prática de Tecnologia do Mattos Filho.