A Autoridade Nacional de Proteção de Dados (ANPD) emitiu recomendações sobre a coleta de cookies* realizada pelo Portal Gov.BR. Apesar das recomendações serem direcionadas à Secretaria do Governo Digital, a Autoridade informou que as diretrizes servem também para orientar os demais agentes de tratamento e esclareceu que está elaborando um guia completo a respeito do tema.

Atualmente, a Lei Geral de Proteção de Dados Pessoais (LGPD) não traz nenhuma diretriz específica a respeito da coleta de cookies, de modo que a regulamentação do tema por parte da ANPD se mostra essencial.

As principais recomendações da ANPD foram as seguintes:

1. A base legal do consentimento, via opt-in, deve ser utilizada como padrão aos cookies não necessários. Assim, todos os cookies facultativos devem estar desativados por padrão;
2. Para os cookies necessários, pode-se utilizar a base legal do Legítimo Interesse, sem necessidade de opt-in por parte do usuário;
3. Categorizar os cookies esclarecendo a finalidade de cada um e fornecendo granularidade ao titular, ou seja, ao invés de manter somente a opção que indica o aceite para todos os cookies, é recomendado que haja uma opção de aceite para cada tipo de cookie coletado, de modo que o titular tenha liberdade de escolha em relação aos tipos de cookies que prefere permitir a coleta; e
4. Disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não necessários.

Ao tornar pública sua recomendação referente aos cookies coletados pelo Portal Gov.BR, a ANPD demonstra que o seu entendimento sobre o tema seguirá a linha de raciocínio adotada na União Européia (UE), especialmente em relação à necessidade de coleta de consentimento dos usuários em relação aos cookies não necessários.

No intuito de traçar um paralelo comparativo entre as práticas de coleta de cookies adotadas na União Européia e a orientação inicial da ANPD, apontamos abaixo os procedimentos exigidos pela E-Privacy Directive e pelo Recital 30 da GDPR (General Data Protection Regulation), que regem as práticas referentes aos cookies na UE:

1. Coletar o consentimento dos usuários antes de usar qualquer cookie, exceto os cookies estritamente necessários;
2. Fornecer informações precisas e específicas sobre os dados que cada cookie rastreia e sua finalidade em linguagem simples;
3. Documentar e armazenar o consentimento recebido dos usuários;
4. Permitir que os usuários acessem o serviço/website mesmo que se recusem a permitir o uso de determinados cookies;
5. Fornecer aos usuários a possibilidade de revogar o consentimento com a mesma facilidade apresentada para a coleta do consentimento inicial.

Além disso, a ANPD indica como uma boa prática a explicação ao usuário sobre a opção de desabilitar os cookies via navegador. Porém, reforça que tal prática possui função meramente complementar, não afastando a necessidade do controlador disponibilizar um mecanismo direto e próprio para o gerenciamento dos cookies pelo titular, incluindo a possibilidade de revogação do consentimento.

Observamos, portanto, uma tendência da ANPD de seguir o mesmo direcionamento adotado na Europa, o que demonstra coerência com o histórico legislativo da LGPD e com a postura harmoniosa da ANPD com as autoridades europeias de proteção de dados.

Vale ressaltar, por fim, que os cookies aos quais a ANPD se refere são aqueles capazes de tornar o usuário identificável, por conterem dados pessoais. Assim, os cookies que armazenam apenas informações anonimizadas, ou seja, que não são capazes de identificar o usuário, não entram no escopo de aplicação da LGPD e, por consequência, não estão sujeitos às orientações da ANPD. Com relação a estes cookies anonimizados, a legislação aplicável é a Lei nº 12.965/2014, também conhecida como Marco Civil da Internet.

O aguardado guia a ser publicado pela ANPD abordará, entre outros aspectos, as categorias e finalidades dos cookies, as bases legais aplicáveis e as boas práticas relacionadas à coleta de cookies.

Clique aqui para acessar as recomendações da ANPD na íntegra.

*Cookies são pequenos arquivos de texto gravados no dispositivo do usuário ao acessar websites, que permitem que as aplicações armazenem informações sobre a navegação, facilitando funcionalidades como login automático, personalização de conteúdo de acordo com o interesse demonstrado, experiência social, anúncios, entre outros.