LGPD e Cookies: o que você precisa saber para se adequar à lei

No mundo digital de hoje, a proteção de dados pessoais nunca foi tão crucial. A Lei Geral de Proteção de Dados (LGPD), sancionada no Brasil em agosto de 2018 (Lei nº 13.709/2018) e em vigor desde setembro de 2020, é um marco na legislação brasileira. Ela estabelece regras detalhadas para a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, colocando o indivíduo no centro do controle de suas informações pessoais. A LGPD afeta não apenas empresas brasileiras, mas qualquer entidade que processe dados de indivíduos no Brasil, independentemente de sua localização geográfica.

LGPD e Seu Contexto Histórico

A jornada da LGPD começou como uma resposta à crescente preocupação global com a privacidade de dados. Inspirada em regulamentações internacionais, como o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, a LGPD foi criada para estabelecer um equilíbrio entre a livre circulação de dados e a proteção da privacidade e liberdade dos cidadãos. Este movimento reflete uma tendência global de fortalecer as leis de proteção de dados, dando aos indivíduos mais controle sobre suas informações pessoais.

A LGPD tem como base o artigo 5º da Constituição Federal, que garante a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, bem como o direito à indenização pelo dano material ou moral decorrente de sua violação. A LGPD também se fundamenta no Marco Civil da Internet (Lei nº 12.965/2014), que estabelece os princípios, as garantias, os direitos e os deveres para o uso da internet no Brasil, incluindo a proteção da privacidade e dos dados pessoais dos usuários.

Comparação com GDPR

Embora a LGPD tenha sido fortemente influenciada pelo GDPR, existem diferenças notáveis. Por exemplo, a LGPD é mais flexível em relação ao consentimento para o processamento de dados e oferece uma abordagem mais ampla em relação às bases legais para o processamento de dados. Além disso, enquanto o GDPR se concentra em entidades dentro da União Europeia, a LGPD tem um alcance mais amplo, afetando qualquer empresa que processe dados de indivíduos no Brasil.

ANPD

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar, interpretar e aplicar as leis da LGPD no Brasil. A ANPD atua como um órgão regulador, oferecendo diretrizes para organizações, tratando reclamações e infrações, e garantindo que os direitos dos titulares dos dados sejam respeitados. A criação da ANPD é um passo fundamental para a efetiva implementação da LGPD, assegurando que as normas sejam aplicadas de forma consistente e justa.

Conceitos, Princípios e Fundamentos

A LGPD define alguns conceitos importantes para a compreensão e a aplicação da lei, tais como:

  • Dado pessoal: é qualquer informação relacionada a uma pessoa natural identificada ou identificável, como nome, CPF, endereço, e-mail, telefone, entre outros.
  • Dado pessoal sensível: é aquele que se refere a aspectos íntimos ou discriminatórios de uma pessoa, como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, e outros.
  • Dado anonimizado: é aquele que não permite a identificação do titular, seja por meio de técnicas de anonimização, que são irreversíveis, ou de pseudonimização, que são reversíveis.
  • Tratamento de dados: é toda operação realizada com dados pessoais, como coleta, armazenamento, uso, transmissão, eliminação, entre outros.
  • Titular dos dados: é a pessoa natural a quem se referem os dados pessoais.
  • Controlador dos dados: é a pessoa natural ou jurídica, pública ou privada, que toma as decisões sobre o tratamento dos dados pessoais.
  • Operador dos dados: é a pessoa natural ou jurídica, pública ou privada, que realiza o tratamento dos dados pessoais em nome do controlador.
  • Encarregado dos dados: é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

A LGPD também estabelece alguns princípios que devem orientar o tratamento dos dados pessoais, tais como:

  • Finalidade: o tratamento dos dados deve ter propósitos legítimos, específicos, explícitos e informados ao titular.
  • Adequação: o tratamento dos dados deve ser compatível com as finalidades informadas ao titular.
  • Necessidade: o tratamento dos dados deve ser limitado ao mínimo necessário para a realização das finalidades.
  • Livre acesso: o titular deve ter acesso facilitado e gratuito aos seus dados, bem como à forma e à duração do tratamento.
  • Qualidade dos dados: o controlador deve garantir a exatidão, a clareza, a relevância e a atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento.
  • Transparência: o titular deve ter informações claras, precisas e facilmente acessíveis sobre o tratamento dos seus dados, bem como sobre os respectivos agentes de tratamento.
  • Segurança: o controlador e o operador devem adotar medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
  • Prevenção: o controlador e o operador devem adotar medidas para prevenir a ocorrência de danos em virtude do tratamento dos dados.
  • Não discriminação: o tratamento dos dados não deve ser realizado para fins ilícitos ou abusivos, que violem os direitos humanos, a dignidade e o exercício da cidadania.
  • Responsabilização e prestação de contas: o controlador e o operador devem demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados.

A LGPD também se fundamenta em alguns valores e objetivos, que justificam a sua existência e a sua aplicação, tais como:

  • Respeito à privacidade: a privacidade é um direito fundamental que assegura a autonomia, a liberdade e a intimidade das pessoas, bem como a proteção dos seus dados pessoais.
  • Autodeterminação informativa: a autodeterminação informativa é o poder que as pessoas têm de controlar os seus dados pessoais, podendo decidir sobre a sua coleta, o seu uso, o seu compartilhamento e a sua exclusão.
  • Livre desenvolvimento da personalidade, da identidade e da dignidade da pessoa humana: a dignidade da pessoa humana é um valor supremo que reconhece a importância e o respeito que cada pessoa merece, independentemente de suas características ou condições pessoais, sociais, econômicas ou culturais.
  • Livre iniciativa, livre concorrência e defesa do consumidor: a LGPD também visa promover o desenvolvimento econômico e tecnológico, estimulando a inovação e a competitividade das empresas, bem como protegendo os direitos e os interesses dos consumidores, que são os titulares dos dados pessoais.

Consentimento, Direitos do Titular e Obrigações

Um dos aspectos mais significativos da LGPD é a ênfase no consentimento claro e inequívoco do titular dos dados. As empresas devem informar os titulares sobre a coleta e uso de seus dados e obter seu consentimento explícito. Além disso, a LGPD fortalece os direitos dos titulares, incluindo o direito de acesso, correção, exclusão, portabilidade dos dados, e a possibilidade de revogar o consentimento a qualquer momento.

As obrigações das empresas sob a LGPD são extensas. Elas devem garantir a segurança dos dados, reportar violações de dados em um prazo determinado, e manter registros detalhados de atividades de processamento de dados. A nomeação de um Encarregado de Proteção de Dados (DPO) é obrigatória para certas empresas, servindo como um ponto de contato entre a empresa, os titulares dos dados e a ANPD.

LGPD e Cookies

LGPD e Tecnologia

Papel da Tecnologia na Conformidade com a LGPD

A tecnologia desempenha um papel crucial na conformidade com a LGPD. Ferramentas e soluções tecnológicas, como criptografia e anonimização de dados, são essenciais para proteger dados pessoais e garantir a segurança da informação. Além disso, sistemas de TI devem ser projetados e operados com a privacidade em mente, um conceito conhecido como “privacy by design”. Isso significa que a proteção de dados deve ser uma consideração integrada no desenvolvimento de produtos e serviços, e não apenas um adendo.

Entre as tecnologias que podem auxiliar na conformidade com a LGPD, destacam-se:

  • A criptografia: é a técnica que transforma os dados em códigos, de forma a impedir ou dificultar o seu acesso, o seu uso ou o seu compartilhamento por pessoas não autorizadas. A criptografia pode ser aplicada tanto aos dados em trânsito, quanto aos dados em repouso, aumentando a sua segurança e a sua confidencialidade.
  • A anonimização: é a técnica que modifica ou elimina os dados de forma que não seja possível identificar o titular, seja por meio de técnicas irreversíveis, como a substituição, a eliminação ou a agregação dos dados, seja por meio de técnicas reversíveis, como a pseudonimização, que utiliza identificadores substitutos, que podem ser revertidos mediante o uso de uma chave. A anonimização pode ser aplicada tanto aos dados em trânsito, quanto aos dados em repouso, reduzindo o seu escopo de aplicação da LGPD e os riscos de violação da privacidade.
  • A auditoria: é a técnica que verifica e avalia o cumprimento das normas e das boas práticas de proteção de dados, por meio de testes, análises, relatórios, recomendações, etc. A auditoria pode ser realizada tanto internamente, quanto externamente, por profissionais, serviços ou entidades especializados, aumentando a confiança e a transparência do tratamento dos dados.

Cookies e Adequação à LGPD

Os cookies são pequenos arquivos que armazenam informações sobre o comportamento dos usuários na internet, como as páginas visitadas, os produtos pesquisados ou os anúncios clicados, por exemplo. Os cookies são enviados pelos sites para os navegadores dos usuários, que os armazenam nos seus dispositivos, como computadores, celulares e tablets. Os cookies permitem que os sites reconheçam os usuários, personalizem o conteúdo, ofereçam funcionalidades, melhorem a experiência, otimizem o desempenho, e muito mais. Os cookies podem ser classificados de acordo com a sua origem, a sua finalidade e a sua necessidade.

De acordo com a sua origem, os cookies podem ser:

  • Cookies Próprios ou Primários: são criados e gerenciados diretamente pelo site que o usuário está visitando. Eles são essenciais para muitas funções básicas dos sites, como manter os usuários logados e lembrar preferências de navegação. Sob a LGPD, é importante que os sites informem os usuários sobre o uso desses cookies e obtenham consentimento quando necessário, especialmente se os cookies forem usados para finalidades além das funcionalidades básicas do site.
  • Cookies de Terceiros: são configurados por um domínio diferente daquele que o usuário está visitando. Eles são frequentemente usados para publicidade e rastreamento. A LGPD exige uma atenção especial para esses cookies, pois eles coletam dados que podem ser usados para perfilar o comportamento do usuário. Os sites devem garantir que os usuários estejam cientes desses cookies e obtenham seu consentimento explícito antes de utilizá-los.

De acordo com a sua finalidade, os cookies podem ser:

  • Cookies de sessão: são aqueles que são temporários, e que são apagados quando o usuário fecha o navegador ou o site.
  • Cookies persistentes: são aqueles que são permanentes, e que permanecem no dispositivo do usuário até que sejam apagados manualmente ou automaticamente, após um determinado período de tempo.
  • Cookies de preferências: são aqueles que armazenam as preferências do usuário, como o idioma, o tema e o layout.
  • Cookies de segurança: são aqueles que protegem o usuário e o site de atividades maliciosas, como ataques, fraudes e invasões.
  • Cookies de autenticação: são aqueles que identificam o usuário e permitem o seu acesso a áreas restritas ou personalizadas do site, como contas, perfis e carrinhos.
  • Cookies de desempenho: são aqueles que medem o desempenho do site, como o tempo de carregamento, o número de visitas e a taxa de rejeição.
  • Cookies de análise: são aqueles que analisam o comportamento do usuário no site, como as páginas visitadas, os produtos pesquisados e os anúncios clicados.
  • Cookies de publicidade: são aqueles que exibem anúncios personalizados para o usuário, de acordo com os seus interesses, hábitos, preferências etc.

De acordo com a sua necessidade, os cookies podem ser:

  • Cookies necessários: são aqueles que são essenciais para o funcionamento do site, como os cookies de segurança, de autenticação e de sessão. Esses cookies não requerem o consentimento do usuário para serem instalados ou utilizados.
  • Cookies não necessários: são aqueles que não são essenciais para o funcionamento do site, mas que podem melhorar a experiência, a funcionalidade, o desempenho, a análise, a publicidade etc. Esses cookies requerem o consentimento do usuário para serem instalados ou utilizados.

A LGPD considera os cookies como dados pessoais, quando eles permitem a identificação ou a identificabilidade do usuário, seja de forma direta ou indireta, seja de forma isolada ou combinada com outras informações. Portanto, os cookies estão sujeitos às normas e às boas práticas de proteção de dados, e devem respeitar os direitos e os interesses dos titulares dos dados.

A adequação de sites à LGPD é necessária e deve ser feita de forma responsável. Para ilustrar com exemplos muito populares, ferramentas como o Pixel do Facebook e o Google Analytics usam cookies para rastrear e analisar o comportamento do usuário. Sob a LGPD, os sites que utilizam essas ferramentas devem garantir que estão em conformidade, o que geralmente significa ajustar as configurações de privacidade e fornecer informações claras e opções de consentimento aos usuários.

Para facilitar a conformidade com a LGPD no que diz respeito ao uso de cookies, o nosso próximo artigo se concentrará em plugins e ferramentas para WordPress que ajudam na gestão de cookies e adequação à LGPD. Essas ferramentas podem simplificar significativamente o processo de tornar um site compatível com as exigências da lei.

Sanções e Penalidades

O não cumprimento da LGPD pode resultar em uma série de sanções e penalidades. Estas podem variar desde advertências até multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Além das multas, as empresas também podem enfrentar a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. Essas penalidades destacam a seriedade com que a LGPD trata a proteção de dados pessoais e a importância de estar em conformidade.

Perguntas Frequentes

O que é a LGPD?

A Lei Geral de Proteção de Dados, sancionada no Brasil em 2018, é uma legislação que estabelece regras detalhadas para a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, visando proteger as informações pessoais dos indivíduos.

A LGPD é similar ao GDPR da União Europeia?

Sim, a LGPD foi influenciada pelo GDPR, mas existem diferenças, como a LGPD sendo mais flexível em relação ao consentimento para processamento de dados.

Quem fiscaliza a aplicação da LGPD?

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar, interpretar e aplicar as leis da LGPD no Brasil.

Quais são os princípios fundamentais da LGPD?

A LGPD estabelece princípios como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

O que são dados pessoais segundo a LGPD?

Dados pessoais são quaisquer informações relacionadas a uma pessoa natural identificada ou identificável, como nome, CPF, endereço, e-mail, telefone, etc.

Como a LGPD trata os cookies?

A LGPD considera cookies como dados pessoais quando permitem identificar o usuário. Os sites devem informar sobre o uso de cookies e obter consentimento explícito, especialmente para cookies de terceiros ou para finalidades de rastreamento.

Quais são as penalidades por não cumprir a LGPD?

As penalidades incluem advertências, multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, e até proibição parcial ou total de atividades relacionadas ao tratamento de dados.

O consentimento é sempre necessário para o tratamento de dados?

A LGPD exige consentimento claro e inequívoco do titular dos dados para a coleta e uso de seus dados, com direitos fortalecidos para os titulares, incluindo acesso, correção, exclusão e portabilidade dos dados.

Como a tecnologia auxilia na conformidade com a LGPD?

Tecnologias como criptografia, anonimização de dados e sistemas projetados com privacidade integrada (“privacy by design”) são essenciais para proteger dados pessoais e garantir conformidade com a LGPD.

Conclusão

A LGPD representa um avanço significativo na proteção de dados pessoais no Brasil, alinhando o país com as tendências globais de privacidade e segurança da informação. Para empresas e indivíduos, entender e se adaptar à LGPD não é apenas uma questão de conformidade legal, mas também uma oportunidade de fortalecer a confiança com clientes e usuários, demonstrando compromisso com a proteção de suas informações pessoais.