Este artigo publicado pela AdOpt trás uma bela introdução ao tema, bem como várias outras variações que orbitam o assuntos: Cookies e LGPD. Uma lista com conceitos e exemplos dos tipos de Cookies, como classificá-los em suas documentações, Política de Privacidade, Bases Legais da LGPD, etc.
Em vigor desde de agosto de 2020, a Lei Geral de Proteção de Dados fará necessária uma mudança brusca nas operações de empresas que utilizam dados de seus clientes e usuários. A partir de agosto, os dados só poderão ser utilizados se obedecerem aos princípios da LGPD – as chamadas Bases Legais da LGPD, sendo consentidos de forma transparente e objetiva.
Isso fará com que inúmeros sites mudem não apenas as suas políticas de privacidade e quais informações seus cookies armazenam, mas diversos processos e maneiras de lidarem com os dados das pessoas. Neste artigo, veremos como a utilização dos cookies será afetada e como sua empresa poderá continuar os utilizando de uma forma que respeite à lei.
O que são cookies?
Cookies são pequenos arquivos de texto que armazenam por um período o que o usuário está fazendo. Cookies armazenam seu histórico de navegação, bem como logins e senhas. É por causa deles que você pode acessar sua conta no Facebook sem precisar sempre digitar seu e-mail, pois o navegador (utilizando os cookies) faz isso por você.
Além de vários aspectos funcionais, os cookies também cumprem um excelente serviço em sistemas bastantes conhecidos como o Google Drive, por exemplo. É graças à capacidade do cookie de armazenar informações, que nós conseguimos trabalhar nossos textos, e planilhas, apresentações até mesmo de maneira Off-Line e, assim que re-conectamos, o nosso trabalho não é perdido.
Existem dois tipos de cookies?
Cookies de First e Third Party, termos em inglês para Cookies de Primeira ou Terceira Pessoa.
Cookies First Party são aqueles gerados pelo próprio domínio. Ou seja, na perspectiva do dono do site, são as informações que os visitantes geram durante a sua navegação. – Quais abas você visitou; – Se procurou algum produto, adicionou a alguma lista e “esqueceu ele no carrinho”; – Se preencheu algum formulário, etc.
Muitos serviços construtores de site ou e-commerces utilizam de cookies para disponibilizar essas funcionalidades aos seus clientes. Então, não se assuste se ao pesquisar ver que o seu site dispara cookies de 1st Party, sem te avisar. Eles praticamente se tornaram um “padrão de mercado”.
Voltando à capacidade de armazenamento do cookie, estas informações são de fato “geradas” pela nossa navegação, e os cookies são uma das maneiras de armazenarmos isso. Como?
Quando o sistema gera um cookie, este tem um identificador que grava as informações no banco de dados da empresa, bem como no navegador do visitante. Um exemplo bastante simples é de quando acessamos um portal de notícias e nos deparamos com o famoso Pay Wall, “você já atingiu o número de notícias lidas por dia, assine nossos serviços”.
Como ele sabe que você já leu tal matéria? Simples, pelos cookies que ele grava em seu navegador a cada artigo lido. (Quer dizer que se eu limpar os cookies, ou navegar anonimamente eu vou poder ler à vontade?… Calma, calma… será que eles já não pensaram nisso também? 😉)
Os Cookies de Third Party, por outro lado, são cookies de terceiros, de qualquer fonte externa ao domínio. Ou seja, empresas terceiras ao dono do site que também disparam seus cookies para registro das informações dos seus visitantes.
Na maioria das vezes estes cookies de terceiros devem (ou ao menos deveriam) ser todos autorizados para ali estarem, caso contrário o dono do site pode tomar um susto com a quantidade de gente “sugando”os dados dos seus(s) site(s).
Alguns exemplos comuns de serviços que disparam Cookies: – Facebook Ads – Google Ads – Google Analytics – Hotjar – Cloudfare – Mixpanel – Zendesk …
Como a LGPD afeta o uso de cookies?
O artigo 5º da Lei Geral de Proteção de Dados dá definições legais de termos que você lerá bastante pesquisando sobre o regulamento. Entre essas definições, está a de dado pessoal:
“dado pessoal: informação relacionada a pessoa natural identificada ou identificável.”
Colocamos em itálico as últimas duas palavras porque são as mais importante para o assunto em questão. Nem todos os dados que os cookies carregam são pessoais. Por exemplo, sua visita ao nosso site não é um dado pessoal. Mas, a partir do momento em que você cadastrar seu e-mail em um site como Facebook, você estará se identificando. Portanto, este é um dado pessoal que poderá ser carregado por um cookie. E é a partir daí que a LGPD passa a afetar a forma como seus dados são usados por sites e como seu site trata dados de usuários. O problema com o uso de cookies se inicia quando não se sabe quais os dados, para quais finalidades e por quem estão sendo utilizados. É uma questão de privacidade e transparência, valores que são o alicerce da LGPD.
A utilização de cookies que violar a LGPD será penalizada, e entre as penalidades estão multas.
Quem precisa da política de cookies?
Todos os sites que tratam dados, mais especificamente que disparam Cookies de First ou Third Party. Se o seu site processa dados pessoais ou dados que, cruzados, podem identificar uma pessoa individualmente, ele precisa ainda mais de uma revisão na forma como essas informações são processadas.
Mas, isso deve ser listado na Política de Cookies ou na Política de Privacidade?
Isso vai da opção da empresa em diferenciar as coisas, pois, pode ser uma tratativa diferente do seu modelo de negócios. Algumas empresas tratam as normativas para os seus dados “digitais” na empresa na política de Cookies, e as “off-line” na política de privacidade. Mas, de novo, varia muito então recomendamos que você consulte um especialista que analise o seu modelo de negócios, e todos os fluxos e mapeamentos de dados da sua empresa para entender a necessidade desta diferenciação.
Como manter seu site adequado à LGPD?
Para um site estar adequado à LGPD utilizando cookies, existem alguns princípios aos quais deverá se atentar. Principalmente se você tem um bom “motivo”, ou Base Legal, que ampare o uso dos dados e cookies no seu site. Para muitos, o “Consentimento”.
Como assim? Para que as empresas possam tratar os dados dos titulares (pessoas físicas, eu e você) elas agora precisam estar bem amparadas pela Lei (LGPD). E essa “permissão” são as chamadas: Bases Legais da LGPD. Logo, apesar do consentimento não ser a única Base Legal que ampare o uso de dados pelas empresas, ele tem um papel muito importante nestas etapas envolvendo cookies. Justamente por isso que os avisos de cookies cumprem um papel essencial: Notificar e Comunicar os visitantes, bem como coletar e armazenar corretamente os consentimentos individualmente.
Portanto, independentemente da informação que um cookie carregar, ela deverá ter sido consentida pelo usuário. Mas o que torna o consentimento válido? E o que deve ser comunicado ao usuário? O usuário deve ser informado de forma clara e objetiva com qual finalidade os dados dele serão coletados. Além disso, ele deve afirmar que aceita que seus dados sejam tratados, por meio de um clique em um aviso, dando o chamado Consentimento ou Opt-in.
Para tornar esse processo automático, são usados os Aviso de Cookies ou Cookie Banners. Eles servem para acatar o sexto princípio da lei: a transparência.
Cookie Banner ou Aviso de Cookies?
O Aviso de Cookies é aquela janelinha que você pode observar na maior parte dos sites atualmente, inclusive quando entrou aqui no nosso blog. Esse banner comunica que o site utiliza cookies. O nosso diz o seguinte:
“Controle sua privacidade. Nosso site usa cookies para melhorar a navegação.” Em seguida, dois links: Política de Privacidade e Termos de Uso. Logo após, um botão para que você veja suas opções de privacidade e um botão de “aceito”, que mostra que você concorda com a utilização dos seus dados.
O cookie banner, ou aviso de cookies, que é uma função da Plataforma de Gestão de Consentimento, serve para explicitar a prática (utilização de cookies), a finalidade (melhorar a navegação) e oferecer a possibilidade dos usuários concordarem integral ou parcialmente com o tratamento dos dados.
É isso que a LGPD exige: transparência e objetividade, sem complicação. Dessa forma, o uso de cookies está permitido e pode ajudar muito nas operações do seu negócio.
Qual é o período de expiração de um cookie?
A GDPR, regulamento de proteção de dados europeu, tem um limite de doze meses para o uso de um cookie. A LGPD, no entanto, não estabelece uma prazo de “expiração”.
Mas um dos princípios para o tratamento de dados é o da necessidade. Segundo o regulamento, um dado só pode ser mantido pelo tempo necessário para cumprir a finalidade dele. Se o cookie carrega uma informação que não precisa mais ser utilizada, ele se torna inválido perante a lei.
Além disso, existem várias iniciativas por conta dos navegadores – principalmente o Safari da Apple, que bloqueia automaticamente os cookies de terceiros. Esta “tendência” como é conhecida no mercado, é amplamente discutida desde 2015, ou até mesmo antes da GDPR, mas, sempre acaba sendo re-pensada ou adaptada, pois, todo o mercado de publicidade e analytics, está amparado no amplo uso de cookies.
Assim, qualquer alteração neste sentido será de fato revolucionária e trará muitas mudanças para o ecossistema como um todo.
Cookies e LGPD na política de privacidade
É importante que em sua política de privacidade conste de forma detalhada e específica como seu site utiliza cookies.
Como já foi descrito anteriormente, muitas empresas fazem separações entre a política de cookies e a política de privacidade. Isso não é algo obrigatório, mas, o modelo de negócios pode pedir essas adaptações. Então, não se apegue a modelos, mas fortaleça a transparência e acessibilidade para com as informações ali listadas.
Cookie Pixel e Tag, qual a diferença?
É importante que não haja confusões nesta hora, pois, muitos acabam confundindo estes conceitos. Vou deixar uma explicação simples abaixo, mas, pelo menos assim saberemos a ordem das coisas, facilitando a compreensão como um todo.
Lembre-se: Tags e Pixels disparam Cookies. – Tag & Pixel: Código que vai no HTML do seu site, para chamar algum serviço. São Scripts (códigos de programação), que chamam um servidor e executam funções específicas a partir destas requisições.
– Cookies: Arquivos de Texto, lidos e disparados pelas Tags & Pixels, que armazenam dados e servem para identificar se aquele navegador é novo (se não tem o cookie a tag dispara) ou já conhecido (já tenho o cookie nele, vou sobreescrevê-lo).
Precisa de uma visão mais detalhada sobre a LGPD? Neste artigo – Tudo sobre a LGPD, compilamos o que estamos estudando há anos! Histórico, contexto, princípios, conceitos, etc. Ah, e sem “advoguês“!
Qual é a forma correta de utilizar cookies na LGPD?
Para manter suas operações em conformidade com a lei, é necessário que se atente aos princípios da LGPD e tenha conhecimento do regulamento como um todo.
Além disso, uma vez decidido que a empresa de fato usará cookies de first ou third party em sua operações, a chamada categorização ou organização destes, é a base da comunicação para com os visitantes na sua política e aviso de cookies.
Em geral, o mercado usa de cinco grandes grupos para classificar suas tags e consequentemente os cookies disparados por elas: • – Necessárias: Sem elas o seu modelo de negócio não funciona, ou você tem que usá-las por força de lei/sua legislação. (Ex. Cookies de 1st party, autentificação de gateways, etc) • – Propaganda: Com elas você dispara seu remarketing, popula os pixel de anúncios, cadências de e-mails, etc. (Ex. Pixel do Facebook e Google Ads) • – Analytics: Com elas você tem uma análise do que os visitantes fazem, de onde vem, como se comportam no seu site. (Google Analytics, Hotjar, etc) • – Performance: Tags que mantém as funcionalidades do site garantindo seu funcionamento ex. previnem ataques ao DDos. (Ex. Cloudfare) • – Funcionais: Tags que operam aspectos de funcionalidade, como lembrar as preferências ou reconhecer que você já está logado no sistema. (Ex. Chatbots, Helpcenters).
Como gerenciar os cookies e o consentimento dos meus visitantes na LGPD?
Justamente para facilitar a coleta de dados e registrar o consentimento dos usuários existem as chamadas Plataformas de Gestão de Consentimento (CMPs), como a AdOpt.
Neste link, você poderá conhecer mais sobre o serviço da AdOpt: Em suma, um Aviso de Cookies que coloca o seu site no padrão da LGPD, sendo também uma ferramenta completa para a gestão dos consentimentos e comunicação com os visitantes.
Fonte: AdOpt.