Implementação na prática.

A ANPD (Autoridade Nacional de Proteção de Dados) publicou essa semana um guia orientativo sobre como deve se dar o tratamento de dados pessoais realizado por meio dos cookies. A publicação vem em momento oportuno já que a maioria das empresas possuem ao menos um site, no qual com certeza rodam algum exemplar desses, tendo em vista a natureza essencial em algumas ocasiões.

Como o objetivo do presente newsletter é trazer temas que ajudem os leitores a implementar e gerir programas de privacidade em suas organizações, optei por tratar na edição de hoje sobre as principais orientações trazidas no guia da ANPD.

Inicialmente, cabe destacar que a natureza do guia é orientativa, como o próprio nome diz, tendo como objetivo "identificar práticas positivas e negativas na elaboração de políticas de cookies, mais precisamente quanto aos banners de cookies" inseridos nos sites. Os banners possuem especial destaque no guia devido serem o primeiro e principal contato do titular de dados com os cookies, quem nunca viu um banner de cookies por aí, com certeza não está inserido no meio digital.

A Autoridade foi clara ao estabelecer que as organizações devem disponibilizar aos titulares de dados a opção de gerenciar os cookies, não devendo mais serem praticados avisos nos quais o titular somente pode "aceitar todos", quando o site não utiliza unicamente os cookies essenciais ao seu funcionamento. Abaixo segue um exemplo de como não fazer:

Esse banner foi retirado do site da Americanas no dia da publicação desse artigo, no entanto deverá ser atualizado pela organização tendo em vista o desacordo com o guia da ANPD.

Agora que já sabemos como não devemos fazer, vamos ao que deve ser feito!

Inicialmente a ANPD nos orienta a escolher o formato correto do banner, disponibilizando ao titular de dados a opção de gerenciar os cookies e aceitar somente aquilo que lhe convier. Um exemplo do banner de gerenciamento está na capa deste artigo, mas no caso de a organização não possuir capital para desenvolvê-lo no momento, aconselho a utilização da plataforma adopt que é gratuita para até 1 domínio.

Após, a organização deve fazer o mapeamento dos cookies utilizados no site separando-os por categoria e escolhendo a base legal adequada para o tratamento dos dados coletados. A recomendação da Autoridade é que se utilize o legítimo interesse para os cookies necessários ao funcionamento do site e consentimento para os demais, incluindo os de terceiros (google analytics).

Lembre-se: os dados coletados devem obedecer a uma finalidade legítima e não podem ser utilizados para outro propósito, que não seja especificado ao titular, que também deve ter acesso a hipótese de tratamento escolhida pela organização. Tais especificidades devem constar da política de cookies - inserida no aviso de privacidade ou publicada de forma individual - ou podem constar do banner, o importante é que essas informações sejam passadas ao titular e que esse possa ter controle sobre os dados coletados, para que a operação esteja de acordo com a LGPD.

Por fim, mas não menos importante, deve ser concedido ao titular a opção de revogar o consentimento (caso seja essa a hipótese escolhida) de maneira gratuita e facilitada, ou na hipótese do tratamento se dar com base no legítimo interesse, o direito de oposição deve ser garantido.

Agora me conta, sua organização já realizava o tratamento dos dados coletados pelos cookies de acordo com as boas práticas da LGPD?


Escrito por Mayara Pastor, especialista em Lei Geral de Proteção de Dados (ESMAFE-PR), Lead Implementer da Gestão da Privacidade da Informação (Baseado na ABNT NBR ISO/IEC 27701), Especialista em Sistema Financeiro e Mercado de Capitais (CESUMAR), Membro do Comitê Brasileiro de Segurança da Informação, Segurança Cibernética e Proteção da Privacidade (ABNT), Sócia e Coordenadora de Projetos da Égide Pro - Proteção de Dados e Compliance.