Cookies

na LGPD:
Como usá-los e como reportá-los por meio de
Banner de Cookies e Política de Cookies

Por
Raphael Machado
Ygor Buitrago
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Apresentação

Este artigo contém uma breve revisão sobre o conceito de

cookies, suas aplicações e suas implicações a Segurança e
Privacidade. Discutimos, ainda, como utilizar cookies em
conformidade à LGPD. O artigo é fortemente baseado no Guia
Orientativo sobre cookies da ANPD, mas utiliza uma série de
outras referências técnicas, além da interpretação aplicada
pela Clavis no dia-a-dia de trabalho com seus
clientes/parceiros.

2
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Introdução
Cookies são pequenos arquivos de texto armazenados no computador do
usuário por um site, e que permitem ao site lembrar informações específicas
sobre o usuário, tais como suas preferências e histórico de navegação. Eles
são amplamente utilizados em páginas web para melhorar a experiência do
usuário, permitindo que os sites personalizem a apresentação com base no
histórico de navegação e nas preferências do usuário, além de manter o
usuário conectado em sua conta. Adicionalmente, os cookies são usados para
coletar dados sobre o comportamento do usuário, como informações de
navegação e preferências de compras, que podem ser usados por empresas
para personalizar anúncios e oferecer ofertas relevantes.

Com o aumento das preocupações com a privacidade no Brasil e no

mundo, o modo de uso de cookies pelos sites passou a ser um ponto
de atenção, afinal, eles podem coletar um grande volume de
informações pessoais, tanto de forma explícita - armazenando
dados de usuários - quanto de forma implícita - registrando
preferências e padrões de navegação.

Com o advento da Lei Geral de Proteção de Dados (LGPD), tornou-se

ainda mais importante determinar quais são os usos aceitáveis de
cookies e como disponibilizar informações sobre cookies para
usuários. No presente artigo, discutimos essas duas questões - uso
e reporte de cookies - sempre com foco na conformidade à LGPD.

3
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Categorias de Cookies
Cookies podem ser classificados quanto a
entidade responsável pela sua gestão, quanto
à necessidade, quanto à finalidade, e quanto
ao período de retenção das informações.
Em relação à entidade responsável pela sua
gestão, temos os cookies de primeira e de
terceira parte. Os cookies de primeira parte
(cookies próprios ou primários) são criados e
gerenciados pelo próprio site que o usuário
está visitando, enquanto os de terceira parte
(cookies de terceiros) são criados e
gerenciados por terceiros, como anunciantes
ou plataformas de análise.
Por fim, quanto ao período de retenção das
informações, temos os cookies de sessão (ou
temporários) e os cookies persistentes. Os
cookies de sessão são temporários e são
excluídos automaticamente assim que o
usuário fecha o navegador. Já os cookies
persistentes permanecem no dispositivo do
usuário por um período determinado, mesmo
após o encerramento da sessão, para que o
site possa se lembrar das preferências do
usuário em visitas futuras.

Já em relação à necessidade, temos os

cookies necessários (essenciais) e os
cookies não-necessários (não-essenciais). Os
cookies necessários são essenciais para o
funcionamento do site e para a prestação de
serviços específicos solicitados pelo usuário,
como por exemplo, cookies associados ao
processo de login ou uso de carrinho de
compras. Os cookies não-necessários, por
outro lado, são opcionais e incluem cookies
de desempenho, de funcionalidade e de
publicidade.

Em relação à finalidade, temos os cookies

analíticos (cookies de desempenho), que
coletam informações sobre a forma como o
usuário utiliza o site para melhorar sua
eficiência; os cookies de funcionalidade, que
permitem que o site se lembre das preferências
do usuário para oferecer uma experiência
personalizada; e os cookies de publicidade, que
permitem que as empresas direcionem
anúncios personalizados para o usuário.

4
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Cookies e as Regulações
de Privacidade e Proteção de Dados

A consolidação das regulações de privacidade ao redor do mundo trouxe uma mudança

perceptível na experiência de navegação em relação aos cookies: nos dias de hoje, é
praticamente certo que, na primeira visita a um site, o usuário irá se deparar com um
aviso a respeito do uso de cookies - geralmente, acompanhado de um botão para
registro de ciência e, muitas vezes, com opções de personalização do uso de cookies.

Esses avisos sobre o uso de cookies são os

chamados “banners de cookies”. O que a
maioria das pessoas desconhece é que,
LGPD
embora tais “avisos” sejam motivados Já na LGPD , não são encontrados termos
pelas diversas legislações de Privacidade e como “cookie”, “arquivo”, “browser” e
Proteção de Dados (dentre as quais está a “navegador”. O que acontece é que, na
LGPD), a maioria destas regulações possui medida em que cookies caracterizam-se
poucas informações explícitas a respeito como identificadores de indivíduos e
de cookies. Por exemplo, uma busca pelo repositórios de informações pessoais, eles
devem estar sujeitos aos tratamentos
termo “cookie” na GDPR (GENERAL DATA
previstos na regulação.
PROTECTION REGULATION - legislação
europeia de privacidade e proteção de
dados) retorna apenas um artigo (Recital
30, onde a palavra “cookie” aparece apenas
como um exemplo de identificador
associado a pessoas naturais, junto a
outros como endereços IP).

5
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

O Cenário Brasileiro:
Cookies e a LGPD
Voltando-se especificamente ao cenário
brasileiro, como comentamos, a LGPD não é
prescritiva em relação ao uso e reporte de
cookies. Ainda assim, a LGPD possui
disposições aplicáveis a coleta de dados por
meio de cookies e de outras tecnologias de
rastreamento online, tais como os princípios
I, II, III, IV e VI do artigo 6º (finalidade,
necessidade, adequação, livre acesso e
transparência), artigos 7º e 11 (Hipóteses
para tratamento de dados pessoais e dados
pessoais sensíveis), artigo 16 (Término do
tratamento e eliminação de dados pessoais)
e artigo 18 (Direitos do titular).
De todo modo, coube à ANPD emanar orientações mais
detalhadas quanto ao uso de cookies e quanto ao reporte ao
usuário. Neste sentido, dois mecanismos são fundamentais
para garantir o direito à privacidade e proteção dos dados
pessoais. Uma delas é o já mencionado “Banner de Cookie”,
um recurso visual usado no design de aplicativos ou sites na
Internet que utiliza barras de leitura destacadas para
informar ao titular de dados, de forma resumida, simples e
direta, sobre a utilização de cookies naquele ambiente”. O
outro mecanismo é a Política de Cookies, “que contém
informações mais detalhadas sobre o assunto”.

Embora banners e políticas de cookies sejam bastante difundidos no ambiente digital,

ainda existe muita dúvida quanto ao que é realmente necessário para que esses
mecanismos estejam em conformidade à LGPD - especialmente no que diz respeito ao
tipo e quantidade de informação presente em cada um.

6
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Banner de Cookies
Como já discutimos, banner de cookie é uma mensagem que aparece em um site
para informar aos usuários que o site usa cookies e solicitar o consentimento do
usuário para coletar seus dados pessoais. O banner de cookie deve incluir
informações claras e simples sobre o tipo de cookies usados pelo site e para que
finalidade eles são usados. Além disso, o usuário deve ser capaz de escolher se
aceita ou não o uso de cookies antes de continuar a navegar no site.

Em seu Guia Orientativo sobre cookies e

proteção de dados pessoais, a ANPD prevê
o uso de dois níveis de banners de cookies.
O banner de primeiro nível é exibido assim
que o usuário acessa o site e contém
informações básicas sobre o uso de
cookies. Ele deve incluir um aviso claro e
simples sobre o uso de cookies pelo site,
bem como um link para a política de
privacidade do site. O banner de segundo
nível, por outro lado, é mais detalhado e só é
exibido depois que o usuário concorda em
permitir o uso de cookies. Ele deve fornecer
informações mais específicas sobre cada
tipo de cookie usado pelo site, bem como
permitir que o usuário escolha os tipos de
cookie que deseja utilizar. O banner de
segundo nível pode incluir botões de
"Aceitar todos" e “Rejeitar não-necessários”,
além de permitir ao usuário selecionar os
tipos de cookies que deseja utilizar.

Em seu Guia Orientativo sobre cookies é bem claro sobre a importância de usar
banners dos dois níveis, de modo a garantir a efetiva obtenção do consentimento
específico de acordo com as categorias identificadas. Esse entendimento é
reforçado pelo OFÍCIO Nº 6/2022/CGTP/ANPD/PR de 13 de maio de 2022, onde a
ANP recomenda a adoção de uma série de medidas para os banners de primeiro e de
segundo nível (trata-se de um ofício direcionado à Secretaria de Governo Digital, mas
que reforça o entendimento da ANPD em relação aos banners de cookies).

7
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Principais “falhas” na
construção de banners de Cookies
O Guia Orientativo sobre cookies da ANPD apresenta uma lista de práticas
desaconselhadas quando da elaboração de banners de cookies - muitas
delas ainda observadas em diversos sites.

Utilizar um único botão no banner de primeiro nível, sem opção de gerenciamento no

caso de utilizar a hipótese legal do consentimento (“concordo”, “aceito”, “ciente” etc.);

Dificultar a visualização ou compreensão dos botões de rejeitar cookies ou de

configurar cookies, e conferir maior destaque apenas ao botão de aceite;

Impossibilitar ou dificultar a rejeição de todos os cookies não-necessários;

Apresentar cookies não-necessários ativados por padrão, exigindo a desativação

manual pelo titular;

Não disponibilizar banner de segundo nível;

Não disponibilizar informações e mecanismo direto, simplificado e próprio para o

exercício dos direitos de revogação do consentimento e de oposição ao tratamento
pelo titular (além das configurações de bloqueio do navegador);

Dificultar o gerenciamento de cookies (exemplo: não disponibilizar opções

específicas de gerenciamento para cookies que possuem finalidades distintas);

Apresentar informações sobre a política de cookies apenas em idioma estrangeiro;

Apresentar lista de cookies demasiadamente granularizada, gerando uma

quantidade excessiva de informações, o que dificulta a compreensão e pode levar ao
efeito de fadiga, não permitindo a manifestação de vontade clara e positiva do titular;

Ao utilizar o consentimento como hipótese legal, vincular a sua obtenção ao aceite

integral das condições de uso de cookies, sem o fornecimento de opções efetivas ao
titular.

8
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Política de Cookies

Política de cookies é um documento que descreve como

um site usa cookies e outras tecnologias de rastreamento
para coletar e processar informações pessoais dos
usuários. A política de cookies deve fornecer informações
claras e detalhadas sobre quais dados são coletados,
como são coletados, para que fins são usados e com
quem são compartilhados. Além disso, a política deve
incluir informações sobre como os usuários podem
controlar suas preferências de consentimento e como
podem excluir ou bloquear cookies.

Em conformidade com os princípios do livre acesso e da

transparência, a Política de Cookies deve apresentar
informações sobre as finalidades específicas que justificam
a coleta de dados pessoais por meio de cookies, o período
de retenção e se há compartilhamento com terceiros, entre
outros aspectos indicados no art. 9º da LGPD.

As empresas e organizações que operam sites devem ter uma política de cookies clara e fácil
de encontrar em seu site, de forma que os usuários possam estar cientes de como seus
dados pessoais estão sendo usados e tomem decisões informadas sobre seu uso. A Política
de Cookies costuma ser disponibilizada em uma página específica dedicada ao assunto, mas
ela também pode estar integrada ao Aviso de Privacidade (ou “Política de Privacidade”) -
desde que de forma destacada e de fácil acesso - ou, ainda, diluída no banner de cookies. Em
todos os casos,o importante é que sejam disponibilizadas informações claras, precisas e
facilmente acessíveis sobre o uso de cookies e a coleta de dados pessoais quando o titular
acessa uma determinada página eletrônica, serviço ou aplicativo.

9
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Granularidade das informações

do banner de cookies e da política
de cookies
Embora seja tentador incluir no banner e na política o máximo de informações possível a
respeito dos cookies, nem sempre investir no grande volume de informações é uma boa
estratégia. Um dos efeitos colaterais de um volume excessivo de informações é a
dificuldade no entendimento por parte do usuário. Como já vimos, a própria ANPD
menciona tal questão em seu Guia Orientativo sobre cookies, onde recomenda evitar
“Apresentar lista de cookies demasiadamente granularizada, gerando uma quantidade
excessiva de informações, o que dificulta a compreensão e pode levar ao efeito de fadiga,
não permitindo a manifestação de vontade clara e positiva do titular”. No mesmo
documento, a definição de “política de cookies” caracteriza um documento simples, com
foco na divulgação das “finalidades” que justificam a coleta de dados pessoais por meio de
cookies - mas, em momento algum, o Guia prescreve um nível de granularidade, por
exemplo, a nível de enumeração de cookies utilizados.
Um outro efeito colateral do excesso de granulosidade na apresentação de informações
sobre cookies no banner de cookies e na política de cookies é a necessidade de manter
tais informações atualizadas. Afinal, um site ou aplicação web tende a ser dinâmico, e o
uso de cookies muda continuamente - em geral, banners e políticas de cookies muito
detalhadas levam a um esforço elevado de manutenção e a riscos de desatualização.
De todo modo, cada organização tem a
liberdade para definir o estilo mais adequado
A Squad de Privacidade e Proteção de
para estes mecanismos. Sites e aplicações
Dados do time de Governança, Risco e
simples podem se permitir enumerar e
Conformidade da Clavis atua com foco
descrever todos os cookies utilizados. Já em
entendimento sobre a realidade do cliente,
aplicações mais complexas, pode ser
para construir um arcabouço documental -
interessante não apresentar uma enumeração
incluindo banners e política de cookies -
explícita dos cookies, mas explicar as
compatível com a realidade de cada um
finalidades para as quais eles são utilizados.
dos seus clientes. Nossa visão é a de que
Em todo o caso, o mais importante é atender
para cada tipo de organização existe uma
aos princípios da LGPD, sempre observando as
abordagem própria que permite atender
boas práticas recomendadas pela ANPD.
aos requisitos da LGPD com eficiência e
segurança.

10
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Cookies e a questão da
Segurança da Informação
Em toda a discussão atual a respeito do uso e reporte de cookies, um aspecto ao qual,
infelizmente, tem se dados pouca atenção, é a questão da segurança. Cookies são parte
de um complexo fluxo de informações entre usuários e aplicações, dentro do qual não
apenas dados pessoais são trafegados, mas também, dados de relevância para segurança
da informação. Falhas no gerenciamento desses dados podem viabilizar ataques de
grande impacto. Pouca discussão tem sido realizada neste aspecto, o que viabiliza a
propagação de práticas não recomendáveis do ponto de vista de segurança - inclusive, o
próprio Guia Orientativo sobre cookies da ANPD, talvez a principal orientação técnica sobre
o assunto disponível hoje no Brasil, menciona “senhas” como um dos tipos de dados que
poderiam ser armazenados em cookies (uma prática não-recomendada e que pode
viabilizar uma série de ataques).

A Squad de Segurança de Aplicações Web da Clavis

atua junto aos nossos parceiros para que eles
possam entender, não apenas, se o uso de cookies
está conforme aos preceitos da LGPD, mas se eles
não representam riscos aos seus usuários em termos É importante sempre lembrar
de ataques cibernéticos. que Privacidade e Proteção de
Dados não podem existir sem
Segurança.

11
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Autores
Raphael Machado
Sócio - Fundador da Clavis

Líder de Pesquisa e Desenvolvimento e co-fundador da

Clavis, possui mais de duas décadas de atuação na
área de Segurança. Possui doutorado em Engenharia
de Sistemas e Computação pela COPPE/UFRJ.
Coordenou dezenas de projetos de P&D que deram
origem, não-apenas, a mais de uma centena de artigos
científicos, mas também, a ferramentas e métodos
aplicados na prática em centenas de organizações.

Ygor Buitrago
Gerente de Governança, Riscos e Compliance da Clavis

Pós-graduado em Governança e Melhores Práticas da TI

pelo Instituto INFNET como também em Computação
Forense pelo Instituto de Pós-Graduação e Graduação
(IPOG). Membro do comitê de segurança da Associação
Nacional dos Profissionais de Privacidade de Dados
(ANPPD), da International Association of Privacy
Professionals (IAPP), bem como dos comitês de estudo
da ABNT tanto para Gestão de Riscos quanto para
Segurança da Informação, Segurança Cibernética e
Proteção da Privacidade.
Possui as principais certificações de mercado como a
DPO, a SFPC, a DEPC, a CEH, a LGPDF, entre outras.

Agradecimentos
Os autores gostariam de agradecer a Oscar Maciel, Gerente de Segurança Cibernética da
empresa G4 Educação, parceira estratégica da Clavis. Foi uma provocação do Oscar a
respeito da "granularidade" necessária em políticas de cookies que fomentou os estudos
que deram origem ao presente documento. Agradecemos pela parceria e pelas
discussões esclarecedoras sobre temas diversos em Segurança e Privacidade.

12
 COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies

Uma visão ágil, abrangente e

acessível de Segurança e Privacidade

A Clavis atua com uma equipe técnica dos mais diversos perfis, incluindo pessoal com perfil
defensivo (blue team), ofensivo (red team), inteligência, desenvolvimento seguro, de
governança, risco e conformidade, entre outros. A interação entre esses times e a análise
das particularidades de cada cliente - incluindo seus objetivos estratégicos e apetite a risco -
é o que permite a construção de soluções personalizadas, ágeis, abrangentes e efetivas para
Segurança e Privacidade.

ACESSE NOSSAS REDES SOCIAIS E CONHEÇA MAIS

Entre em contato conosco

21 98375-0375