A Autoridade Nacional de Proteção de Dados – ANPD, entidade responsável pela interpretação e fiscalização da adequação à Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), publicou em 13/05/2002 um documento sobre determinadas práticas de coleta de cookies por sites e plataformas digitais.
Trata-se de uma Recomendação à Secretaria do Governo Digital do Governo Federal para adequação do portal “Gov.br” aos termos da LGPD, mas que a ANPD adverte que deve também orientar os demais agentes de tratamento de dados, já que as exigências da Lei são as mesmas para os setores público e privado.
A Recomendação cuida de práticas básicas na coleta de cookies, em dois pontos.
O primeiro situa-se na página inicial do site - a plataforma “Gov.br” contém, nesta página inicial, informações muito limitadas e oferece ao usuário apenas uma única opção quanto aos cookies: aceitá-los todos. Tal prática contraria a exigência legal de que o consentimento deve ser livre, informado e inequívoco.
Atenção que apenas dizer “coletamos dados para melhorar a sua experiência...” é genérico e não atende.
O segundo ponto é a própria Política de Cookies, que apresenta informações genéricas, o que viola os princípios da transparência e da lealdade (que integra a boa fé). Informa a ANPD que as finalidades de tratamento de dados, por exemplo, estão diluídas ao longo do documento e não é possível identificar todas elas, além de haver incorreção na categorização dos cookies, apresentando cookies analíticos como sendo cookies de terceiros.
A ANPD chama a atenção para o fato de que a possibilidade do usuário desabilitar cookies através do navegador deve existir, mas cumpre uma função complementar, que não afasta a necessidade de se disponibilizar um mecanismo direto e próprio para o gerenciamento de cookies pelo titular dos dados, que inclua a possibilidade de revogação do consentimento, sempre acompanhada das informações correspondentes.
Sendo assim, a ANPD recomenda a adoção, no mínimo, das seguintes medidas:
1) disponibilizar um botão, já na página inicial do site ou plataforma, de fácil visualização, que permita rejeitar todos os cookies não necessários, ou seja, o botão “REJEITAR TODOS”;
2) desativar os cookies baseados no consentimento por padrão (opt-in): a Lei exige que o consentimento seja expresso, de modo que somente podem ser coletados cookies expressamente autorizados pelo usuário, mediante um ato positivo deste de consentimento, ou seja, é ilegal a apresentação dos botões de aceitação já marcados, exigindo que o usuário os desmarque, caso não consinta (não configura um consentimento válido, é nulo). Os botões devem estar desabilitados e cabe ao usuário habilitar aqueles com cuja coleta ele concorda;
3) na Política de Cookies:
a) os cookies devem ser classificados por categorias;
b) devem ser identificadas as bases legais utilizadas pelo site, uma para cada finalidade ou categoria de cookies, devendo o consentimento ser a principal base legal, exceto para os cookies estritamente necessários, cuja coleta pode se basear no legítimo interesse;
c) deve ser obtido o consentimento específico para cada categoria de cookie identificada;
d) deve, aqui também, ser disponibilizado um botão, de fácil visualização, que permita a rejeição em bloco de todos os cookies não necessários.
Em outros termos, a prática comum de se franquear ao usuário apenas a opção de aceitar todos os cookies, e em bloco, é ilegal, assim como apresentar os botões de consentimento já habilitados. Deve haver, para o usuário, a opção de rejeição de todos os cookies não necessários, em bloco, e um botão de consentimento para cada categoria de cookies, que devem vir desabilitados, já que, segundo a LGPD, a inação do usuário não autoriza a coleta dos cookies.
Estas são algumas medidas que refletem a aplicação prática da disciplina legal da proteção de dados, nos termos da LGPD, para as quais a ANPD já alertou.
A ANPD está trabalhando na elaboração de um guia orientativo mais detalhado sobre coleta de cookies, dirigido a todos os agentes de tratamento de dados, mas os pontos aqui tratados já devem ser observados nos sites e plataformas digitais no Brasil.
