A LGPD exige que um site apenas colete dados pessoais de usuários após eles terem dado seu consentimento explícito para os propósitos específicos de seu uso. Saiba mais!
A relação do uso de cookies com a LGPD
A Lei Geral de Proteção de Dados (LGPD) foi inspirada na General Data Protection Regulation (GDPR), da União Europeia. A LGPD, por sua vez, também traz regulamentações específicas sobre alguns temas, como por exemplo cookies e tecnologias de rastreamento.
Especificamente sobre cookies e tecnologias de rastreamento, a LGPD já têm regulamentação específica. Portanto, se você pretende criar um site ou um blog, precisa adicionar mensagem de cookies para informar sobre o uso desse recurso. É por isso que, de acordo com a LGPD, o consentimento de cookies é a base legal usada com mais frequência para permitir que sites processem dados pessoais e usem cookies.
Os cookies podem ser definidos como um pequeno arquivo que é instalado no computador do usuário de um site por meio do navegador e que fica acessível aos servidores do site para coleta de informações sobre o computador ou outro dispositivo do usuário, para que este seja reconhecido como o mesmo usuário em todas as sessões de seu browser e em outros sites.
Cookies são dados pessoais, uma vez que a LGPD define que dado pessoal pode ser aquele dado identificável. Em havendo a possibilidade de se conectar às informações de rastreamento viabilizadas pelos cookies a uma pessoa natural, então estamos falando de dados pessoais.
Consentimento expresso, cookies e aceite
A Diretiva da União Europeia impõe como base legal para o tratamento de cookies e outras tecnologias similares o consentimento expresso, que é simplificadamente conhecido como o aceite eletrônico através do “opt-in”.
Através de uma “Pop-up”, que é um tipo de janela que se abre no navegador ao visitar uma página web, o autor do site que trata dados de europeus divulga que estão sendo coletados cookies e disponibiliza a opção de aceite ou não de rastreamento pelo usuário.
Considerando que a lei brasileira também prevê como base legal o consentimento expresso, não há, obviamente, nada de ilegal em se pedir o consentimento em casos de rastreamento de cookies por uma organização, o que, para alguns, pode soar até como a alternativa mais conservadora e protetiva aos titulares de dados pessoais.
Ocorre que, sabe-se que a gestão do consentimento é custosa e sensível. A possibilidade de se entender que um consentimento é inválido é alta, se considerar que conforme a lei, deve se dar através de uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, inciso XII, da LGPD).
Cookies e LGPD: o que é realmente necessário?
Questiona-se se é uma manifestação livre aquele “aceite” que tão logo os usuários precisam clicar para continuar navegando num site.
Nessa linha, especialistas da área levantam a hipótese de se usar a base legal do legítimo interesse do controlador ou de terceiros para o tratamento de cookies. Sem entrar no mérito do que seria o legítimo interesse, o que queremos dizer aqui é que há questionamentos sobre se usar outra base legal que não o consentimento e, com isso, não haver necessidade de o usuário do site ter que concordar, de imediato, com o tratamento de dados.
Obviamente, seja qual for a base legal escolhida, é imprescindível que não se desconsidere o princípio da transparência estabelecido pela Lei Geral de Proteção de Dados. Independentemente de sermos cautelosos ou não, usando o consentimento ou o legítimo interesse, é imprescindível deixar transparente que há, de fato, o rastreamento do indivíduo através de cookies ou outras tecnologias.
Portanto, estamos atualmente em um momento delicado, que apesar de carecer regulamentação específica sobre cookies, sabemos dos princípios que norteiam a LGPD, bem como das tendências que vêm da União Europeia. Mas entendemos também, o quanto uma “pop-up” com o “aceite eletrônico” engessa as atividades das organizações. Por isso, é sempre importante analisar quais riscos podemos nos submeter, sem perder de vista a privacidade dos usuários.
O que exatamente a Lei dos Cookies exige?
A “Lei dos Cookies” exige o consentimento informado dos usuários antes de armazenar ou acessar informações sobre dispositivos do usuário.
Isso significa que, se você usar cookies, você deve:
- informar seus usuários que seu site/app (ou qualquer outro serviço de terceiros utilizadas pelo seu site/app) está usando cookies;
- explicar, de forma clara e abrangente, como os cookies funcionam e para o que você os usa;
- obter consentimento informado antes do armazenamento desses cookies no dispositivo do usuário.
Na prática, você precisará mostrar um cookie banner (também chamado aviso de cookies) após a primeira visita do usuário, implementar uma política de cookies e permitir que o usuário forneça consentimento. Antes do consentimento, os cookies deve ser executado ou instalado.
Para saber mais sobre como utilizar esses recursos, acesse: Como usar cookies em conformidade com a LGPD
