Atualmente, existem diversas ferramentas aplicadas aos sites que proporcionam experiências únicas aos seus clientes, fornecendo utilidades únicas aos administradores do site, como monitoramento de resultados de posts e do número de acessos às páginas. A principal tecnologia que permite o funcionamento destes serviços é chamada de política de cookies.
Que pequenos arquivos emitidos pelos sites que são armazenados no computador dos usuários. Sua principal função é recolher dados acerca dos usuários, como informações sobre geolocalização, data e hora do último acesso ao site, dados de login, personalização de anúncios conforme suas preferências, entre muitas outras.
Em resumo, existem 3 tipos principais de cookies:
- Cookies persistentes: são gerados para executar diversas funções dentro do website e guardados por longos períodos de tempo na máquina. São muito utilizados para o oferecimento de experiências customizadas ao usuário.
- Cookies de sessão: emitidos para armazenar temporariamente informações referentes à sessão do usuário no website. Isto inclui, por exemplo, a recordação momentânea das opções que foram selecionadas.
- Cookies de third-party: estes cookies são criados por terceiros e inseridos nos sites através de integrações, como o Google Analytics. Eles dizem respeito a uma funcionalidade na página, mas não são gerados diretamente por ela, e sim pelo serviço third-party.
Alguns destes cookies precisam ser emitidos para que o site funcione corretamente, como os que armazenam temporariamente as decisões tomadas pelo usuário dentro do site, enquanto outros, como geolocalização, monitoramento do desempenho do site e personalização de anúncios, são geralmente opcionais.
O que os cookies têm a ver com a LGPD?
Na medida que os cookies armazenam inúmeros dados pessoais acerca dos usuários de forma pouco clara, sem muitas informações sobre quais dados são coletados, por quanto tempo tempo são usados e para quais fins, esta tecnologia pode violar múltiplos direitos e princípios previstos na Lei Geral de Proteção de Dados (LGPD), sendo que os cookies já foram alvos de inúmeros regulamentos e ações na União Europeia.
Há também um grande problema relacionado ao uso de bases legais, pois geralmente se recomenda o uso de consentimento para justificar uso de dados coletados com cookies, sendo incabível o uso do legítimo interesse neste caso.
Isto é um problema considerável, pois os cookies são praticamente invisíveis para pessoas sem conhecimentos específicos, tratando-se de uma tecnologia que foi desenvolvida sem pensar na privacidade do usuário.
Para saber mais sobre as bases legais de nossa lei de proteção de dados, confira nosso artigo 10 Principais bases legais da LGPD.
Portanto, a consequência do uso de cookies sem a tomada de medidas especiais de proteção de dados, com a vigência da LGPD e o pleno funcionamento da Autoridade Nacional de Proteção de Dados (ANPD), é a violação da lei com a possibilidade de receber sanções e multas expressivas, a depender do motivo para a coleta dos dados.
Dicas para aplicar cookies em um site
Apesar do uso incorreto dos cookies resultar em violações às leis de proteção de dados, é importante ressaltar que se trata de uma tecnologia fantástica e capaz de gerar vários benefícios tanto para você como aos seus clientes, desde que sejam tomados alguns cuidados.
Para saber como usá-los corretamente, confira 4 dicas para aplicar cookies com segurança em um site:
1. Aviso de cookies (cookie banner)
Um aviso de cookies (cookie banner) é uma rápida notificação que aparece na tela ao início da visita do usuário à página, com o intuito de permitir que este gerencie as permissões para o uso de cookies.
Sua implementação já se tornou uma praxe relativamente comum na criação de websites, sendo que a maioria das plataformas de desenvolvimento, como o WordPress, já contam com a possibilidade de introduzir um aviso de cookies básico.
O que muitas empresas não sabem é que estes cookie banners simples e pré-definidos falham em cumprir com todos os requisitos necessários.
Em comentários aos avisos de cookies das páginas “gov.br”, de forma similar ao que já foi decidido pelas autoridades de proteção de dados na Europa, a ANPD entendeu que é necessária a implementação de um aviso em dois níveis, um com informações mais simples e outro com informações mais completas:
a) No banner de primeiro nível:
i. Disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não-necessários;
ii. Desativar cookies baseados no consentimento por padrão (opt-in);
b) No banner de segundo nível (Política de Cookies):
i. Identificar as bases legais utilizadas, de acordo com cada finalidade / categoria de cookie, utilizando o consentimento como principal base legal, exceção feita aos cookies estritamente necessários, que podem se basear no legítimo interesse;
ii. Classificar os cookies em categorias no banner de segundo nível;
iii. Permitir a obtenção do consentimento específico de acordo com as categorias identificadas; iv. Disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não necessários.”
Desta forma, para que o seu website esteja em conformidade com a LGPD, é necessário que o aviso de cookies cumpra com os requisitos acima, o que pode ser feito através de uma plataforma especializada.
2. Crie políticas de privacidade e de cookies
Com a entrada em vigor da LGPD, passou-se a exigir que todas as empresas informem aos titulares de dados os seus direitos e demonstrem que as atividades envolvendo dados pessoais estão sendo feitas de forma correta.
No caso dos processos envolvendo cookies isto não é diferente e, aliás, é especialmente importante, por conta da atenção específica das autoridades voltadas a essa tecnologia.
Assim, a maneira ideal de demonstrar o cumprimento destes requisitos é através de uma política de privacidade e cookies, hoje considerada praticamente obrigatória.
Nela deverá ser explicado como cada tratamento (atividade) no website cumpre com a LGPD, especificando sua base legal, o local de armazenamento, por quanto tempo o dado é tratado, se os dados são compartilhados com terceiros ou empresas no estrangeiro etc.
Quanto aos cookies, é necessário que a política cumpra com os requisitos do “banner de segundo nível” da dica anterior.
Aqui abordamos como juntar estes assuntos em uma única política, mas nada impede que ela seja dividida em duas, uma política de privacidade e uma política de cookies, de acordo com sua preferência.
3. Evite utilizar o Google Analytics 3
Muito recentemente, diversas autoridades de proteção de dados da União Europeia divulgaram análise negativa acerca do Google Analytics 3 (GA 3), no sentido de que o famoso serviço estaria realizando transferências de dados de maneira ilegal, e por isso o seu uso pode acarretar a violação de várias leis de proteção de dados.
No Brasil ainda não há uma decisão a respeito, mas é possível esperar um posicionamento similar em razão da proximidade da LGPD com a legislação europeia.
Buscando remediar este problema, a Google anunciou que lançará o Google Analytics 4 (GA 4), em conformidade com as leis de proteção de dados, e desligará o Universal Analytics (UA), outra versão mais antiga da plataforma que também é popular, apesar de potencialmente afligida dos mesmos problemas do GA 3.
Por este motivo, se desejar utilizar os serviços da Google, recomendamos converter sua conta do GA 3 ou UA para o GA 4 assim que este entrar em operação, a fim de evitar incorrer em uma violação às leis de proteção de dados.
4. Consulte um especialista
Em razão das diversas utilidades dos cookies, é possível que mesmo cumprindo todos os requisitos acima haja a violação da LGPD, quando, por exemplo, o uso dos dados recolhidos através dos cookies violar direitos ou causar danos aos titulares de dados.
Considerando isto, é recomendável que sua empresa entre em contato ou contrate um Data Protection Officer (DPO) ou um DPO as a service, que ficará encarregado da proteção de dados em sua empresa.
Para saber mais sobre isso, confira nosso artigo DPO as a Service: afinal, como funciona na prática e por que minha empresa deveria considerar a contratação?
