• Thais Barcelos

Cookies e LGPD

Se você tem um site ou uma plataforma digital, é bem provável que utilize cookies, ainda que não conheça ao certo sua definição. Porém, com a entrada em vigor da Lei Geral de Proteção de Dados (agosto de 2020), é essencial que você entenda a função destes arquivos, e considere que algumas mudanças na utilização deles pelo seu site serão necessárias, para que sua empresa alcance a segurança jurídica, e evite problemas com autuações e infrações à LGPD.


But, first!

Primeiro vamos entender o que são os cookies: cookies são pequenos arquivos transferidos entre o site, por exemplo, e navegador. Na primeira vez que o site é acessado, são enviados pequenos arquivos para o navegador do usuário, que os armazena. Enquanto os cookies permanecerem armazenados, toda vez que esse mesmo usuário acessar o site novamente, esses arquivos serão enviados do navegador dele para o site, personalizando a navegação.


Até aí ok. Mas o que realmente importa é o conteúdo armazenado por estes pequenos arquivos. Os cookies registram informações sobre os usuários (alguns fornecidos pelos próprios, como endereço de e-mail e senha), e também sobre as preferências desses (como quais sites eles visitam, dados geográficos, demográficos, por quais produtos se interessaram, etc.) Os cookies podem ser armazenados por meses ou até anos! Tudo depende do que é estabelecido na política de cookies de cada site.


Mas a LGPD não é para Proteção de Dados Pessoais? O que isso tem a ver com cookies?

Bem, é que, de acordo com a LGPD, em seu artigo 5°, inciso I, dado pessoal é toda “informação relacionada a pessoa natural identificada ou identificável”. Ou seja, não apenas dados que identifiquem diretamente uma pessoa, mas também aqueles que possam, de alguma forma, levar à identificação dela. Assim, algumas informações registradas por cookies de um site podem possuir potencial de identificação do usuário, o que faz com que o uso destes arquivos de rastreabilidade devam estar de acordo com a legislação de dados.


Ok, mas posso continuar coletando cookies no meu site?

A resposta é sim, desde que algumas medidas sejam observadas, e as principais são TRANSPARÊNCIA e RESPONSABILIDADE! Ajustar a política de cookies e seu aviso de tratamento dos cookies é apenas uma parte desse processo – a parte final, diríamos. Nesse processo, é importante ressaltar que a Lei incorpora princípios de privacy by default, ou seja, nada de deixar caixinhas de “eu aceito” pré-marcadas! Por padrão, o usuário deve sempre fazer o opt-in, e não o opt-out.


Vamos mais a fundo?

Há diversos tipos de cookies para as mais variadas finalidades: cookies necessários, cookies de segurança, cookies de preferências, cookies de marketing, entre outros. A depender dessa classificação, e de quais informações eles armazenam, o uso dos cookies instalados no seu site deve ser enquadrado em uma das bases legais para tratamento de dados, estabelecidas na LGPD. As bases legais estão dispostas no artigo 7°, e todo o tratamento deve ser fundamentado em pelo menos uma das hipóteses lá expostas. A mais comum para o uso dos cookies é o consentimento dos usuários (art. 7º, inciso I). Dito isso, não podemos deixar de falar nessa previsão legal.


De acordo com o artigo 5°, inciso XII da lei, o consentimento é a manifestação de vontade livre, informada e inequívoca,ela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Isso significa que ao utilizar o consentimento como base legal, deve-se informar expressamente quais dados serão coletados, para quê serão coletados e solicitar a concordância expressa do usuário (sempre no opt-in, lembra?).


Uma dúvida que frequentemente recebemos é: se a única base legal para o tratamento de dados pelos cookies “X” do site é o consentimento, e o usuário não consentir, posso utilizá-lo mesmo assim? A resposta é NÃO! É importante lembrar também que o consentimento deve sempre ser colhido antes da instalação do cookie no navegador do usuário. Qualquer forma diversa dessa pode configurar afronta à legislação, além de ser uma atitude antiética no ambiente virtual.


Além do consentimento, ou de qualquer outra base legal, é imprescindível que a empresa atenda aos princípios gerais da LGPD, coletando sempre informações essenciais ou interessantes para a atividade e atuação do negócio. A Lei veio, também, para coibir abusos e comércio ilegal de dados pessoais - mas isso é assunto para um próximo post, ok?


Sempre orientamos nossos clientes e parceiros que estar de acordo com a legislação não significa, necessariamente, deixar de fazer algo em sua empresa ou inviabilizar algum negócio. Pelo contrário, estar em conformidade com as leis e regulamentações traz maior segurança jurídica, abrindo novas oportunidades, e deixando transparente o compromisso com a ética empresarial e a responsabilidade social da empresa. O uso deve ser responsável e legítimo, de acordo com a lei.


REFERENCIAS:

BLUM, Renato Opice; MALDONADO, Viviane Nóbrega, coord. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Thomson Reuters Brasil, 2019.

PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva Educação, 2018.

Gomes, Barcelos Advogados Associados.

Todos os direitos reservados.

  • Ícone Cinza LinkedIn
  • Ícone Instagram Gomes Barcelos

mapa do site

/nossos fundamentos

/cápsulas de privacidade

soluções de segurança