Logo upLexis
search
BlogGeral

Insights de gestão de privacidade de cookies

Insights de gestão de privacidade de cookies

Atualizado em 2 de agosto de 22 | Geral  por

Mariana Benjamin Costa

Cookies são pequenos arquivos de texto “etiquetados” no dispositivo que visita um site e a sua ideia principal é tornar a experiência online mais fácil, célere e customizada. No entanto, eles não são os cookies de vovó utilizados para informar coisas que aconteceram no software (como em 1979), estando mais para os cookies que a Oracle oferece ao Neo na primeira interação das personagens, no filme Matrix (1999).

A Oracle era um programa de investigação da psique humana que podia ou não predizer o futuro, tal qual os cookies atuais, que podem servir para espionar atividades online e predizer comportamentos de consumo.

No mundo digital, predição, customização e facilidades costumam significar que dados pessoais estão sendo tratados e isso pode ou não estar de acordo com a legislação.

Quando falamos de cookies, por exemplo, é importante entender que nem sempre é o controlador dos dados pessoais quem tem acesso aos dados coletados e que o armazenamento da tag é feito diretamente no dispositivo que acessou o site, mas que essas informações podem ser compartilhadas com terceiros.

Se você tem um site, transparência sobre o tratamento de dados pessoais e formação do livre consentimento sobre o tratamento são requisitos indispensáveis para que as informações advindas dos cookies sejam consideradas legítimas, por isso, é indispensável a adoção de um documento específico, considerando os seguintes tópicos:

Propósitos de cookies

Há muitos tipos de cookies e os que forem utilizados devem ser informados ao titular que tem dados coletados. Para fins de exemplo, trouxe algumas linhas dos propósitos comumente adotados:

  • Cookies estritamente necessários: aqueles essenciais à navegação do usuário. Sites que oferecem áreas seguras, gestão de preferências de cookies e outros recursos coletam cookies para validação das preferências do usuário do site em temas de privacidade, autenticação, prestação do serviço de navegação e funcionalidades essenciais no site;
  • Cookies de desempenho: aqueles utilizados para melhorar os próprios sites. Podem não ser coletados dados pessoais diretamente, visto que as informações de visitação e fonte de tráfego podem ser anônimas. Basicamente, ele quer saber quantas pessoas visitaram o site, quais páginas foram acessadas etc;
  • Cookies de funcionalidade: aqueles de personalização da experiência de navegação. A escolha de idiomas, tamanhos de texto e outros elementos customizáveis, como a oferta de produtos dentro do site. Essa personalização deve ser objeto de consentimento pelo titular; 
  • Cookies de publicidade: aqueles incluídos pelos parceiros de publicidade (terceiros). Esses cookies podem construir um perfil de interesses e consumo, monitorar a eficácia de ações de marketing etc. Alguns deles coletam informações online de forma generalizada e automatizada para veiculação de anúncios personalizados nos sites em que há parceria com as redes de publicidade coletoras. 

O Grupo Alphabet (Google), em 2020, foi multado pela CNIL (autoridade francesa de proteção de dados pessoais) por não pedir o consentimento para a instalação automática de cookies - mesmo quando a personalização de anúncios era desativada, um dos cookies publicitários continuava armazenado no computador e dados eram gravados para o mecanismo de buscas - em 100 milhões de euros. A multa foi confirmada no mais alto tribunal administrativo da França.

Relacionamento com terceiros

Nem sempre o proprietário do site terá acesso aos dados pessoais e/ou informações de perfil criadas por terceiros, mas poderá usufruir dessas informações e você é responsável por esse mapeamento, então:

  • Entenda quando podem estar sendo tratados dados pessoais por terceiros em seu nome e/ou benefício e mapeie essas necessidades;
  • Efetue due diligence sobre os terceiros que pretende contratar (será que ele já foi multado por más práticas com cookies no mercado?) e monitore os seus achados;
  • Mitigue as incertezas sobre a forma como o tratamento de dados pessoais é feito dentro de cada organização - e como isso afeta os serviços da parceria, através do contrato;
  • Evite contratar parceiros da área de tecnologia sem ler os termos de adesão com atenção; e
  • Questione o DPO sobre como é feita e para qual finalidade é feita a coleta de cookies nos serviços prestados pelos terceiros.
Banner para download do e-book "Manual da due diligence".

Armazenamento de cookies

Os cookies podem ser armazenados por tempo determinado, esteja pronto para responder por qual razão o tempo é necessário ao cumprimento da finalidade almejada com o cookie.

Consentimento legítimo

Cookies estritamente necessários são processados sob a base legal do legítimo interesse do controlador e servem ao resguardo dos direitos do titular.

Quanto aos demais, a obtenção do consentimento é obrigatória e deve ser observado que:

  • Informação: os cookies devem ser bem informados, de acordo com o seu propósito de atuação, para que possa ser formado o livre consentimento dos titulares sobre a sua aceitação ou não; 
  • Fácil recusa: a negativa de aceitação não deve ser mais difícil do que a aceitação. Em dezembro de 2021, a CNIL aplicou uma multa de 150 milhões de euros contra o Grupo Alphabet (Google) e 60 milhões contra o grupo Meta (Facebook) porque apesar de um clique aceitar todos os cookies, diversos eram necessários para recusá-los;
  • Granularidade de aceitação: a ANPD já emitiu recomendação sobre o assunto, é recomendada a granularidade de aceitação dos seus cookies, de acordo com o seu propósito;
  • Opt-in: a opção pela aceitação dos cookies deve estar previamente desmarcada para opt-in pelo usuário, à exceção dos cookies estritamente necessários; e
  • Registro: a gestão da privacidade impõe a coleta de dados pessoais e você deve ter isso bem mapeado dentro da sua organização.

Clareza e objetividade são fundamentais

Evite termos muito técnicos, adapte a linguagem para dotar a comunicação de eficiência e escreva no idioma adequado ao seu público. Considere informar o nome, serviço, objetivo e tipo e duração de cada cookie.

Transparência e precisão

Dados pessoais não estão à disposição, eles têm titulares que devem ser devidamente informados sobre as formas, finalidades e processos de tratamento utilizados com suas informações.

Inclua na sua política de privacidade o processamento de dados pessoais através de cookies.

Governança e senso crítico

Se houver pergunta sem resposta sobre a necessidade da existência de um cookie, considere sua exclusão. A coleta excessiva de dados pessoais é um mau hábito de muitas organizações.

Avante!


Mariana é advogada com expertise na implantação e gestão de projetos de Compliance e LGPD, especialista em Direito Digital (FMP) e Auditora-Líder de Sistemas de Gestão de Compliance ISO 37301:2021, incluindo as normas ISO 37301:2017 e ISO 19600:2014.

Compliance

Matérias relacionadas

Ilustração de um corretor apresentando um imóvel.

Due diligence imobiliária: o que é e como realizá-la?

|

Geral

Imagem de um homem discursando em um púlpito.

O que é uma Pessoa Politicamente Exposta?

|

Geral

Imagem de duas pessoas conversando.

O que é homologação de fornecedores?

|

Geral