Cookies no site da sua startup e a LGPD

Você, com certeza, já ouviu a palavra cookies enquanto navega pela internet. Provavelmente também já ouviu o termo LGPD. E, se a sua startup possui um site que oferece produtos ou serviço, uma plataforma online, ou um site institucional você provavelmente coleta cookies dos seus usuários em algum momento da interação e precisará estar adequado a LGPD.

E o que são os cookies?

Cookie é um termo utilizado para descrever arquivos de texto que são armazenados no seu computador ou smartphone, com um identificador específico.

Quando o cookie é trocado entre seu computador e o servidor web, este identifica o usuário e entrega no site as configurações corretas para o acesso.

O principal objetivo de um cookie é identificar o usuário, mas também é utilizado para melhorar a experiência de navegação, segurança, dentre outros, conforme explicaremos melhor ao longo desse artigo.

Importante dizer que os cookies são necessários para o correto funcionamento da internet nos dias de hoje. São os cookies que permitem que os sites se lembrem de você, dos seus logins, carrinhos de compras e vários outros detalhes. Além disso eles são importantes para estatísticas de acessos, segurança, otimização do site, dentre outros.

Embora a maior parte dos cookies sejam utilizados para melhorar a experiência do usuário durante a navegação, alguns podem ser utilizados para rastreamento do usuário, seja para fins de marketing e vendas de produtos ou para outros fins, sem que o usuário saiba disso.

Esse tipo de cookies pode inclusive compartilhar informações com terceiros ou coletar dados em serviços de terceiros.

Podemos citar como exemplo um e-commerce que utiliza cookies para lembrar os itens deixados em um carrinho, seja mantendo os itens na página de compra ou enviando um e-mail para o usuário para que ele volte e finalize a compra.

E por que os cookies no site da sua startup e a LGPD são importantes?

Porque toda startup utiliza a internet e o meio digital para entregar ou oferecer seus produtos e serviços, além disso, utilizam o marketing digital de forma intensa, coletando e tratando dados, que são regulamentados pela LGPD.

Portanto, esse tipo de informação é largamente coletada e utilizada por startups em suas operações, mas, comumente, há a falta de conhecimento dentre os empreendedores sobre como lidar adequadamente com os cookies.

Para melhor compreensão sobre o uso dos cookies, especialmente sob a ótica da Lei Geral de Proteção de Dados Pessoais (LGPD), leia este artigo até o final.

Quais os principais tipos de cookies coletados na internet?

Apesar de parecer simples pela definição, os cookies são divididos entre tipos, sendo alguns totalmente necessários para funcionamento do site e outros que são utilizados para fins de análise e estatística ou para fins de marketing.

Os principais tipos de cookies são:

Estritamente necessários

São necessários para que o usuário possa navegar e utilizar as funcionalidades do site, como preenchimento de formulário, iniciar sessão ou definir preferências de privacidade, acessar ambiente seguro, dentre outros.

Sem eles o site ficaria com desempenho muito ruim e apresentaria falhas nas funcionalidades, além disso, em um ambiente logado, o usuário teria que realizar o login sempre que alternar entre páginas dentro do site.

De desempenho

São cookies que coletam informações sobre como os usuários utilizam o site. Esse tipo de cookie coleta informações como a parte da página clicada, número de páginas visitadas, tempo de sessão, erros, dentre outros. Esses cookies são essenciais para a utilização de serviços terceiros como Google Analytics. Normalmente esses cookies ficam configurados para mascarar o endereço IP e outras informações que possam identificar diretamente o usuário.

Funcionalidade

São cookies que permitem ao site fornecer funcionalidades e personalização de acordo com o histórico de utilização do usuário, como tamanho do texto, cores, layout, registro de resposta de caixa de perguntas e registro de chats ao vivo para suporte para usar as informações e oferecer produto ou serviço, podendo compartilhar com terceiros, ou não.

Direcionamento e Publicidade

São cookies que rastreiam o usuário, podendo utilizar as preferências e comportamento deste dentro do próprio site ou sites de terceiros, para que seja possível o oferecimento de anúncios segmentados. Ou seja, os anúncios que aparecem no site ou em sites de terceiros, serão exibidos conforme o comportamento e preferências do usuário. Também são responsáveis por delimitar o número de vezes que o usuário vê um anúncio, bem como medir o engajamento do usuário com os anúncios exibidos.

Esse tipo de cookie normalmente acumula muitas informações de comportamento e preferências dos usuários e com isso, os usuários acabam sendo facilmente identificados pelo sistema ou pela empresa, podendo inclusive, conter dados sensíveis nesses cookies.

A título de exemplo, o site AmlUnique, disponibiliza uma ferramenta que calcula o quão único você é na internet com base nos cookies armazenados.

Ou seja, a proporção de usuários da internet que poderiam ter informações idênticas as suas sobre navegação, fuso horário, localização, equipamentos, configurações, dentre outros identificados pelos cookies.

A LGPD afeta o uso de cookies?

Como já abordado em outros posts a LGPD, é a legislação brasileira que regulamenta o tratamento de dados pessoais. E, para chegarmos a uma resposta para essa pergunta, é necessário compreender alguns conceitos principais.

O primeiro ponto é o conceito de dado pessoal, que está no artigo 5° da LGPD, sendo toda informação relacionada à pessoa identificada ou identificável – ou seja, toda informação relacionada ao usuário que o identifique.

Nesse contexto, a ideia de pessoa identificada é simples: seria todo e qualquer dado que identifica o usuário de forma direta, como o nome ou um número de um documento.

Já o conceito de identificável se refere ao “que se consegue identificar”; ou seja, mesmo não constando dados específicos e completos da pessoa natural, se a informação permitir identificá-la, essa informação será pessoal.

Por exemplo, o gênero de um usuário não o identifica diretamente, mas se esse usuário for o único com determinado gênero, este tipo de dado será identificável.

Desta forma, desde que seja possível, por um dado ou por um conjunto de dados, identificar um usuário, esses dados serão considerados pessoais.

Neste sentido é que entra a necessidade do cuidado com os Cookies utilizados pelo site, já que a partir da definição de dado pessoal citado, é possível concluir que muitas informações presentes nos cookies são identificadas ou podem identificar um usuário.

Visando garantir a privacidade, muitos sites conseguem criptografar o usuário ID, que é a principal informação ligada a um usuário, isso reduz a possibilidade de identificação.

Os cookies de desempenho são bons exemplos dessa técnica, praticamente todas as ferramentas de análise desse tipo de cookie utiliza criptografia no usuário ID.

Após a explicação aqui exposta, questiona-se: a LGPD proíbe o uso de cookies que coletam dados pessoais dos usuários? E a resposta é: não!

a LGPD proíbe o uso de cookies que coletam dados pessoais dos usuários? E a resposta é: não!

O objetivo da LGPD não é proibir o uso de cookies, mas, resguardar a privacidade e proteção dos dados do usuário, impondo alguns requisitos e obrigações para as empresas que coletam dados pessoais.

Para a coleta e tratamento de dados pessoais, a LGPD elenca 10 possibilidades, incluindo o consentimento. Além disso, temos o chamado legítimo interesse, instituto que, conforme o cumprimento de requisitos autoriza a coleta e tratamento de dados pessoais sem a necessidade de consentimento do usuário.

Na União Europeia as definições são mais objetivas e especificas em relação ao tratamento dos cookies. Quem está sujeito à legislação europeia, precisa obrigatoriamente informar o usuário e coletar o seu consentimento para o tratamento, além disso, os cookies devem ser desativados por padrão e o usuário ativa apenas se desejar. Contudo, no Brasil ainda não temos definição específica.

Mas ainda assim, a LGPD deverá ser cumprida sempre que dados pessoais estiverem sendo tratados. Desta forma, o melhor caminho a seguir é o das boas práticas sempre se preocupando com a privacidade de forma preventiva.,

E é neste ponto que entra a importância do cookie banner!

O cookie banner é aquela janela flutuante existente em praticamente todos os sites que possuem atuação global e que tem sido cada vez mais utilizada no Brasil.

Ela tem o objetivo de informar ao visitante/usuário que o site usa cookies, e de forma transparente aborda os detalhes da coleta dos cookies, como os tipos e as finalidades de utilização deles.

É por meio do cookie banner que ocorre o cumprimento dos requisitos exigidos pela LGPD para proteção do usuário, sendo ela a ferramenta de comunicação com o usuário, seja para informar ou para coletar o seu consentimento, quando for o caso.

Além disso, é de suma importância que o site tenha uma Política de Privacidade e que esta seja de fácil compreensão para que o usuário saiba quais dados estão sendo coletados incluindo os cookies.

Quanto mais enxuto e visual o documento for, melhor o usuário irá entender.

Alguns sites optam por ter também uma política específica para tratar dos cookies, não é necessário separar os documentos, mas pode ajudar a deixar as informações mais claras e visuais.

Uma boa dica para o usuário saber quais cookies estão sendo usados pelo site é clicar no cadeado ao lado do link no navegador Chrome . Ele informa a quantidade de cookies usadas por aquele site e os tipos.

De forma resumida, o ideal é sempre ser o mais transparente possível com o usuário em relação à coleta de dados pessoais, incluindo a coleta de cookies no site da sua startup.

Assim, a utilização de cookies na sua startup poderá ser realizada com maior tranquilidade e em compliance com a LGPD.

Por fim, sempre consulte um profissional de confiança e especializado no tema, para avaliar o contexto e as necessidades específicas em relação a seu site e sua empresa.

Se ainda restaram dúvidas, entre em contato com a equipe L&O e saiba mais sobre o processo completo de conformidade à LGPD!

Leia também

9. Propriedade Intelectual e Industrial

Não é autorizada a utilização das Marcas e de qualquer propriedade intelectual e/ou industrial do L&O pelos USUÁRIOS do SITE sem a prévia e expressa autorização e aprovação do L&O, ficando resguardados todos os direitos acerca destas.

Ao acessar o SITE, você concorda que respeitará a existência e a extensão dos direitos de Propriedade Intelectual do L&O, bem como de todos os direitos de terceiros que sejam usados, a qualquer título, no SITE, ou que venham a ser disponibilizados de outras formas.

O acesso ao SITE não lhe dá direito ou prerrogativa ao uso de qualquer Propriedade Intelectual, Marca ou outro conteúdo nele inserido.

Se você violar as proibições contidas na legislação pátria vigente sobre propriedade intelectual e/ou neste Contrato, você poderá ter a sua Conta de Acesso bloqueada ou excluída definitivamente, se tiver uma, além de ser responsabilizado, civil e criminalmente, pelas infrações cometidas.

4. Conta de Acesso ao OFFICE

Apenas clientes do L&O, que tenham contratado plano de Assessoria Jurídica, poderão ter acesso à área restrita do SITE, denominada OFFICE. Se for o seu caso, continue a leitura. Caso contrário, pule este tópico e vá para o próximo!

Para que seja possível o acesso ao OFFICE, é indispensável a criação de uma Conta de Acesso. Esta Conta será criada pelo próprio L&O que, na oportunidade, solicitará os dados necessários a você. Você declara que as informações fornecidas são completas,
verdadeiras, atuais e precisas, sendo de sua total responsabilidade informar ao L&O
sempre que houver modificação/atualização de informação relevante.
Além disso, no momento de criação da Conta de Acesso, o L&O determinará o nome de usuário (login) e uma senha provisória para que você consiga acessar o OFFICE.

Após a criação da Conta de Acesso, o L&O enviará a você, via e-mail previamente
informado, seus dados para acesso ao OFFICE (login e senha), sendo que, para maior
proteção e segurança, você deverá alterar a sua senha no primeiro acesso.
É de sua exclusiva responsabilidade a manutenção do sigilo do nome de usuário e da
senha de acesso relativos à sua Conta de Acesso, devendo comunicar imediatamente ao L&O em caso de perda, divulgação ou roubo destes dados ou, ainda, de uso não
autorizado de sua Conta de Acesso.

Após a criação da Conta de Acesso pelo L&O e recebimento das credenciais, você
declara aceitar de forma expressa este Termo ao efetivar o seu primeiro acesso. Haverá, portanto, o consentimento expresso para a coleta, uso, armazenamento e tratamento de dados pessoais pelo L&O e/ou por terceiros contratados pelo escritório para finalidades legítimas e diretamente atreladas ao SITE e ao próprio L&O.

O L&O poderá recusar, suspender ou cancelar a Conta de Acesso de um USUÁRIO sem prévio aviso sempre que suspeitar que as informações fornecidas são falsas,
incompletas, desatualizadas ou imprecisas, com a finalização da relação entre L&O e o USUÁRIO Cliente ou ainda nos casos indicados nas leis e regulamentos vigentes
aplicáveis, nesse documento, mesmo que anteriormente aceito.

Cancelamento da Conta de Acesso ao OFFICE

A sua Conta de Acesso ao OFFICE será encerrada a partir do momento em que a sua relação com o L&O chegar ao fim – e ficaremos bem tristes se isso ocorrer – estando ativa apenas enquanto estiver vigente o Contrato de Prestação de Serviços de Assessoria Jurídica para a adequada prestação dos serviços.

É importante que você compreenda que o encerramento da Conta somente ocorrerá a partir do momento em que o L&O e você conferirem mútua quitação, isto é, a partir do momento que ambos concordarem que não há mais nada para reclamarem um do outro, não havendo qualquer pendência relativa a pagamentos, dentre outras. O encerramento será realizado pelo próprio L&O.

Entretanto, caso você pretenda eliminar definitivamente todos os seus dados do OFFICE, poderá solicitar a qualquer momento ao L&O, que analisará a melhor forma de seguir disponibilizando as informações necessárias, realizando a exclusão em seguida.