Escolar Documentos
Profissional Documentos
Cultura Documentos
na LGPD:
Como usá-los e como reportá-los por meio de
Banner de Cookies e Política de Cookies
Por
Raphael Machado
Ygor Buitrago
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Apresentação
2
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Introdução
Cookies são pequenos arquivos de texto armazenados no computador do
usuário por um site, e que permitem ao site lembrar informações específicas
sobre o usuário, tais como suas preferências e histórico de navegação. Eles
são amplamente utilizados em páginas web para melhorar a experiência do
usuário, permitindo que os sites personalizem a apresentação com base no
histórico de navegação e nas preferências do usuário, além de manter o
usuário conectado em sua conta. Adicionalmente, os cookies são usados para
coletar dados sobre o comportamento do usuário, como informações de
navegação e preferências de compras, que podem ser usados por empresas
para personalizar anúncios e oferecer ofertas relevantes.
3
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Categorias de Cookies
Cookies podem ser classificados quanto a Por fim, quanto ao período de retenção das
entidade responsável pela sua gestão, quanto informações, temos os cookies de sessão (ou
à necessidade, quanto à finalidade, e quanto temporários) e os cookies persistentes. Os
ao período de retenção das informações. cookies de sessão são temporários e são
excluídos automaticamente assim que o
Em relação à entidade responsável pela sua usuário fecha o navegador. Já os cookies
gestão, temos os cookies de primeira e de persistentes permanecem no dispositivo do
terceira parte. Os cookies de primeira parte usuário por um período determinado, mesmo
(cookies próprios ou primários) são criados e após o encerramento da sessão, para que o
gerenciados pelo próprio site que o usuário site possa se lembrar das preferências do
está visitando, enquanto os de terceira parte usuário em visitas futuras.
(cookies de terceiros) são criados e
gerenciados por terceiros, como anunciantes
ou plataformas de análise.
4
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Cookies e as Regulações
de Privacidade e Proteção de Dados
5
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
O Cenário Brasileiro:
Cookies e a LGPD
Voltando-se especificamente ao cenário
brasileiro, como comentamos, a LGPD não é
prescritiva em relação ao uso e reporte de
cookies. Ainda assim, a LGPD possui
disposições aplicáveis a coleta de dados por
meio de cookies e de outras tecnologias de
rastreamento online, tais como os princípios
I, II, III, IV e VI do artigo 6º (finalidade,
necessidade, adequação, livre acesso e
transparência), artigos 7º e 11 (Hipóteses
para tratamento de dados pessoais e dados
pessoais sensíveis), artigo 16 (Término do
tratamento e eliminação de dados pessoais)
e artigo 18 (Direitos do titular).
De todo modo, coube à ANPD emanar orientações mais
detalhadas quanto ao uso de cookies e quanto ao reporte ao
usuário. Neste sentido, dois mecanismos são fundamentais
para garantir o direito à privacidade e proteção dos dados
pessoais. Uma delas é o já mencionado “Banner de Cookie”,
um recurso visual usado no design de aplicativos ou sites na
Internet que utiliza barras de leitura destacadas para
informar ao titular de dados, de forma resumida, simples e
direta, sobre a utilização de cookies naquele ambiente”. O
outro mecanismo é a Política de Cookies, “que contém
informações mais detalhadas sobre o assunto”.
6
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Banner de Cookies
Como já discutimos, banner de cookie é uma mensagem que aparece em um site
para informar aos usuários que o site usa cookies e solicitar o consentimento do
usuário para coletar seus dados pessoais. O banner de cookie deve incluir
informações claras e simples sobre o tipo de cookies usados pelo site e para que
finalidade eles são usados. Além disso, o usuário deve ser capaz de escolher se
aceita ou não o uso de cookies antes de continuar a navegar no site.
Em seu Guia Orientativo sobre cookies é bem claro sobre a importância de usar
banners dos dois níveis, de modo a garantir a efetiva obtenção do consentimento
específico de acordo com as categorias identificadas. Esse entendimento é
reforçado pelo OFÍCIO Nº 6/2022/CGTP/ANPD/PR de 13 de maio de 2022, onde a
ANP recomenda a adoção de uma série de medidas para os banners de primeiro e de
segundo nível (trata-se de um ofício direcionado à Secretaria de Governo Digital, mas
que reforça o entendimento da ANPD em relação aos banners de cookies).
7
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Principais “falhas” na
construção de banners de Cookies
O Guia Orientativo sobre cookies da ANPD apresenta uma lista de práticas
desaconselhadas quando da elaboração de banners de cookies - muitas
delas ainda observadas em diversos sites.
8
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Política de Cookies
As empresas e organizações que operam sites devem ter uma política de cookies clara e fácil
de encontrar em seu site, de forma que os usuários possam estar cientes de como seus
dados pessoais estão sendo usados e tomem decisões informadas sobre seu uso. A Política
de Cookies costuma ser disponibilizada em uma página específica dedicada ao assunto, mas
ela também pode estar integrada ao Aviso de Privacidade (ou “Política de Privacidade”) -
desde que de forma destacada e de fácil acesso - ou, ainda, diluída no banner de cookies. Em
todos os casos,o importante é que sejam disponibilizadas informações claras, precisas e
facilmente acessíveis sobre o uso de cookies e a coleta de dados pessoais quando o titular
acessa uma determinada página eletrônica, serviço ou aplicativo.
9
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
10
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Cookies e a questão da
Segurança da Informação
Em toda a discussão atual a respeito do uso e reporte de cookies, um aspecto ao qual,
infelizmente, tem se dados pouca atenção, é a questão da segurança. Cookies são parte
de um complexo fluxo de informações entre usuários e aplicações, dentro do qual não
apenas dados pessoais são trafegados, mas também, dados de relevância para segurança
da informação. Falhas no gerenciamento desses dados podem viabilizar ataques de
grande impacto. Pouca discussão tem sido realizada neste aspecto, o que viabiliza a
propagação de práticas não recomendáveis do ponto de vista de segurança - inclusive, o
próprio Guia Orientativo sobre cookies da ANPD, talvez a principal orientação técnica sobre
o assunto disponível hoje no Brasil, menciona “senhas” como um dos tipos de dados que
poderiam ser armazenados em cookies (uma prática não-recomendada e que pode
viabilizar uma série de ataques).
11
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
Autores
Raphael Machado
Sócio - Fundador da Clavis
Ygor Buitrago
Gerente de Governança, Riscos e Compliance da Clavis
Agradecimentos
Os autores gostariam de agradecer a Oscar Maciel, Gerente de Segurança Cibernética da
empresa G4 Educação, parceira estratégica da Clavis. Foi uma provocação do Oscar a
respeito da "granularidade" necessária em políticas de cookies que fomentou os estudos
que deram origem ao presente documento. Agradecemos pela parceria e pelas
discussões esclarecedoras sobre temas diversos em Segurança e Privacidade.
12
COOKIES NA LGPD: Como usá-los e como reportá-los por meio de Banner de Cookies e Política de Cookies
A Clavis atua com uma equipe técnica dos mais diversos perfis, incluindo pessoal com perfil
defensivo (blue team), ofensivo (red team), inteligência, desenvolvimento seguro, de
governança, risco e conformidade, entre outros. A interação entre esses times e a análise
das particularidades de cada cliente - incluindo seus objetivos estratégicos e apetite a risco -
é o que permite a construção de soluções personalizadas, ágeis, abrangentes e efetivas para
Segurança e Privacidade.