Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

Cookies e GDPR: o que é realmente necessário?

Atualização em maio de 2020: O Conselho Europeu de Proteção de Dados (EDPB) revisou suas diretrizes sobre mecanismos de coleta de consentimento. Leia mais aqui.

Quando falamos sobre legislação de proteção de dados, pensamos automaticamente em cookies, pois os dois tópicos estão diretamente relacionados. Isso pode levar ao pensamento equivocado de que a Diretiva de Privacidade Eletrônica (ou Lei de Cookies) foi revogada pelo Regulamento Geral de Proteção de Dados (ou GDPR), o que não é verdade. Pelo contrário, você pode pensar que a Diretiva de Privacidade Eletrônica e o GDPR se aplicam em conjunto e complementam-se.

Em resumo
  • A Lei dos Cookies não foi substituída pelo GDPR e ainda é aplicável.
  • A Lei dos Cookies se aplica não apenas aos cookies, mas de forma mais ampla a qualquer outro tipo de tecnologia que armazena ou acessa informações no dispositivo de um usuário (por exemplo, marcas de pixels, impressão digital do dispositivo, identificadores exclusivos etc.). Para simplificar, todas essas tecnologias, incluindo cookies, são comumente definidas como rastreadores. Neste guia, porém, os termos cookie(s) e tracker(s) serão usados da mesma forma.
  • A Lei dos Cookies exige o consentimento informado dos usuários antes de armazenar ou acessar informações sobre dispositivos do usuário.
  • O consentimento aos cookies deve ser específico, informado, dado livremente e baseado em uma ação afirmativa explícita; muitas autoridades de proteção de dados da UE lançaram orientações sobre cookies e tecnologias similares que incluem conselhos e recomendações sobre métodos válidos para obter consentimento.
  • Embora a Lei dos Cookies não exija explicitamente que os registros de consentimento sejam mantidos, na maioria dos casos os cookies tratam dados pessoais, razão pela qual os requisitos de registro decorrentes do GDPR se aplicam. Assim, a grande maioria das Autoridades de Proteção de Dados (também referidas como APDs) em toda a UE alinharam suas regras de cookies às exigências do GDPR.
  • A Lei dos Cookies não exige que você liste cookies um a um, apenas que você diga seu tipo, uso e finalidade.
  • Se você usa cookies de terceiros, ambos são responsáveis por garantir que os usuários sejam claramente informados e obtenham consentimento. Como parte dessa obrigação, você deve sempre se certificar de fornecer informações sobre qualquer terceiro e vincular as mesmas às suas respectivas políticas de privacidade e/ou cookies.

A Diretiva de ePrivacy 2002/58/CE (ou Lei dos Cookies) foi criada para estabelecer diretrizes para a proteção da privacidade eletrônica, incluindo e-mail marketing e uso de cookies, que se aplica até hoje. Como mencionado acima, você pode imaginar a Diretiva Privacidade Eletrônica como uma legislação que “complementa” o GDPR, e que não é substituída por este último.

Estritamente falando, se você usar cookies, você precisa considerar a conformidade com a Lei dos Cookies antes de focar no GDPR. Isso porque a Lei dos Cookies também é chamada “lex specialis“, o que significa que ela tem precedência sobre o GDPR.

Em geral, as diretivas estabelecem certas metas e diretrizes acordadas em vigor, com os Estados-Membros sendo obrigados a implementar essas diretivas na legislação nacional. Por outro lado, os regulamentos são juridicamente vinculativos em todos os Estados-Membros desde o momento da sua entrada em vigor sendo aplicados conforme as regras estabelecidas ao nível comunitário.

💡Para entender melhor quais regras de consentimento de cookies se aplicam em cada país, veja nossa tabela de comparação de regras na UE aqui.

Dito isto, a Diretiva de Privacidade Eletrônica será, de fato, em breve revogada pelo Regulamento de Privacidade Eletrônica (ePrivacy Regulation). O Regulamento de privacidade eletrônica deve ser finalizado em breve e se aplicará em conjunto com o GDPR para regulamentar os requisitos para o uso de cookies, comunicações eletrônicas e tópicos relacionados à proteção de dados e privacidade.

O que mais está incluso na Lei dos Cookies, além dos cookies?

A Lei dos Cookies se aplica não apenas aos cookies, mas a qualquer outro tipo de tecnologia que armazena ou acessa informações no dispositivo de um usuário (por exemplo, marcas de píxeis, impressão digital do dispositivo, identificadores exclusivos, etc.). Para simplificar, todas essas tecnologias, incluindo cookies, são comumente definidas como rastreadores*.

Além disso, a Lei dos Cookies é neutra em tecnologia, o que significa que abrange não apenas o ambiente de sites e navegadores, mas também outros tipos de tecnologia, incluindo aplicativos em smartphones, tablets, smart TVs ou outros dispositivos.

*No entanto, neste guia, os termos cookie(s) e rastreadores(s) serão usados da mesma forma.

A Lei dos Cookies exige o consentimento informado dos usuários antes de armazenar ou acessar informações sobre dispositivos do usuário.

Isso significa que, se você usar cookies, você deve:

  • informar seus usuários que seu site/app (ou qualquer outro serviço de terceiros utilizadas pelo seu site/app) está usando cookies;
  • explicar, de forma clara e abrangente, como os cookies funcionam e para o que você os usa;
  • obter consentimento informado antes do armazenamento desses cookies no dispositivo do usuário.

Na prática, você precisará mostrar um cookie banner (também chamado aviso de cookies) após a primeira visita do usuário, implementar uma política de cookies e permitir que o usuário forneça consentimento – a menos que seu site use somente cookies isentos, o que é improvável. Antes do consentimento, nenhum cookie — exceto os isentos — deve ser executado ou instalado.

Mostrar um banner de cookies na primeira visita do usuário

O aviso de cookies deve:

  • informar seus usuários que seu site/app (ou qualquer outro serviço de terceiros utilizadas pelo seu site/app) está usando cookies;
  • estabelecer claramente quais ações indicarão consentimento;
  • ser suficientemente visível durante a navegação do site;
  • ser vinculado a uma política de cookies ou disponibilizar detalhes das finalidades, uso e atividades de terceiros relacionadas aos cookies.

Tenha em mente que os detalhes mencionados acima são requisitos mínimos básicos. Os requisitos de conteúdo de banner de cookies podem variar de país para país, dependendo das opiniões da respectiva APD.

requisitos básicos do banner de cookies sob o gdpr e eprivacy

Implementação de uma política de cookies

A Política de Cookies deve:

  • indicar os tipo de cookies instalados [seus cookies (de primeira) versus cookies de terceiros*];
  • indicar todos os terceiros que instalam, gerenciam ou acessam cookies através do seu site/aplicativo, com um link para suas respectivas políticas de cookie, e qualquer formulário de cancelamento (quando disponível);
  • descrever – em detalhes – as finalidades para os quais os cookies são utilizados;
  • estar disponível em todos os idiomas em que o serviço é prestado.
💡 Qual é a diferença entre cookies “de primeira” e “de terceiros”?

Os cookies de primeira são aqueles gerenciados diretamente por você, o proprietário do site/aplicativo, e os cookies de terceiros são gerenciados por terceiros e permitem serviços fornecidos por eles. Normalmente, cookies de terceiros estão presentes quando seu site/aplicativo usa serviços de terceiros para incorporar, por exemplo, imagens, plugins de mídia social ou publicidade.

Bloqueio preventivo de cookies antes do consentimento

Em conformidade com os princípios gerais da legislação de privacidade, que impedem o tratamento antes do consentimento, a Lei dos Cookies não permite o armazenamento de informações ou o acesso às informações armazenadas em dispositivos de usuário antes de obter o consentimento do usuário. Isso implica a necessidade de bloquear os códigos que instalam cookies antes de obter o consentimento do usuário.

Consentimento para cookies

Consentimento para cookies livremente dado, específico, informado e explícito, o que significa que ele deve ser fornecido através de uma ação afirmativa (opt-in) clara. Portanto, se você utiliza mecanismos como caixas de seleção, elas não podem estar pré-selecionadas.

O documento do Grupo de Trabalho na Lei dos Cookies estabelece que:

Para garantir que os mecanismos de consentimento para cookies estejam em conformidade com as condições de cada Estado-Membro, o mecanismo de consentimento deverá incluir cada um dos principais elementos informação específica, consentimento prévio, indicação das preferências definidas pelo comportamento ativo do usuário e possibilidade de livre escolha.”

Muitas autoridades de proteção de dados da UE lançaram orientações sobre cookies e tecnologias similares que incluem conselhos e recomendações sobre métodos válidos para obter consentimento.

É importante notar que a Autoridade de Proteção de Dados da Itália (Garante Privacy) reconhece especificamente que “rolar a página” (scrolling) e “clicar em um dos links internos da página” são indicações válidas de consentimento por meio de comportamento ativo. No entanto, como a privacidade eletrônica é uma diretiva, as especificações de como os requisitos devem ser cumpridos dependem da legislação de cada Estado-Membro. Deve-se notar, no entanto, que a APD italiana propôs recentemente diretrizes atualizadas sobre o uso de cookies e outros rastreadores que agora estão abertos para um período de comentários públicos antes de serem adotados. Você pode ler o resumo aqui.

Atenção

O Conselho Europeu de Proteção de Dados (EDPB) atualizou suas diretrizes de consentimento: Instruções 05/2020 sobre consentimento sob o Regulamento 2016/679. Esta atualização é importante porque visa eliminar qualquer ambiguidade em relação aos cookies. Essas últimas diretrizes afirmam claramente que as Cookie Walls (ou “paredes de cookies) são proibidas e que o EDPB não considera o consentimento via rolagem ou navegação contínua como válido.

📌Para saber mais sobre quais regras de consentimento de cookies da UE se aplicam por país,confira aqui nossa cheatsheet de consentimento de cookies.

Já que é impossível saber qual circunstância específica se aplica ao seu caso, nós oferecemos a opção de habilitar ou desativar facilmente os recursos “Consentimento por navegação continuada” da Cookie Solution conforme necessário:

consentimento por navegação contínua cookie solution iubenda

A respeito da opção de recusar o consentimento ou à revogação do mesmo após o ter dado (opt-out), a lei estabelece que deve ser “dada ao usuário a possibilidade” de negar ou retirar o consentimento. O documento do Grupo de Trabalho aborda esse ponto especificando que, em relação à revogação ou recusa do consentimento expresso, é necessário fornecer as seguintes informações:

  • como os usuários podem retirar o consentimento e as ações necessárias para isso;
  • como o usuário pode optar por aceitar ou negar a instalação de cookies.

Isso significa que esses métodos não podem ser fornecidos diretamente pelo operador do site. Em alguns casos, segundo a legislação dos Estados-Membros, as configurações do navegador por si só já são consideradas um meio aceitável para retirar o consentimento.

Os mecanismos de obtenção de consentimento válido podem variar de um Estado-Membro para outro.

Listar cookies um a um (é realmente necessário?)

Em geral, a diretiva não exige especificamente que você liste cookies um a um. Invés disso, você é explicitamente obrigado a declarar claramente o tipo, finalidade e se eles são cookies de terceiros; você também deve indicar o terceiro que está gerenciando-os e vincular à política de privacidade/cookies relevante de terceiros.

Essa decisão da Autoridade é provavelmente deliberada, pois, exigir a listagem de cookies um a um significaria que os proprietários individuais de sites/aplicativos suportariam a responsabilidade de vigiar constantemente cada cookie de terceiros, procurando por mudanças que estão fora de seu controle; isso seria em grande parte irracional, ineficiente e provavelmente inútil para os usuários.

Para entender mais este ponto, veja esse trecho do Guia para Cookies do ICO que explica o seguinte:

Existe a opção de fornecer listas longas de todos os cookies instalados, mas para a maioria dos usuários uma explicação mais ampla de como os cookies funcionam e as categorias usadas ​​é mais que suficiente. Uma descrição dos tipos de cookies usados ​​no site terá mais probabilidade de atender aos requisitos de informação, em vez de apenas listar cada um dos cookies usados, com referências básicas à sua função.”

Esta orientação é desenvolvida pela Autoridade Italiana de Proteção de Dados (o “Garante Privacy”), que afirma expressamente o seguinte:

Muitas são as razões pelas quais não é possível impor ao anunciante a obrigação de fornecer as informações e obter o consentimento para a instalação de cookies no seu site, mesmo para aqueles instalados por “terceiros”.

Em primeiro lugar, a editora deve ter sempre os instrumentos e a capacidade econômico-jurídica para assumir as obrigações de terceiros, portanto, também deve poder verificar eventualmente que o que é declarado por terceiros corresponde às finalidades para quais eles realmente usam os cookies. Isso é muito difícil pelo fato de que a editora muitas vezes não possui contato direto com todos os terceiros que instalam cookies através de seu site e, nem mesmo conhece a lógica do tratamento relacionado.

Além disso, não é incomum os casos em que há um terceiro no meio da relação da editora com estes terceiros fornecedores, tornando muito complexo para a editora controlar as atividades de todos os envolvidos.

Ainda, os cookies de terceiros podem então ser modificados ao longo do tempo, sendo impraticável exigir que os editores monitorem essas alterações subsequentes também.

Também deve ser considerado que os editores, que também incluem pessoas físicas e pequenas empresas, costumam ser a parte “mais fraca” desta relação. Por outro lado, os terceiros são geralmente grandes empresas caracterizadas com influência econômica considerável e que, normalmente atendem a várias editoras da mesma forma, por isso a editora pode frequentemente ter que trabalhar com vários terceiros.

Pela razões descritas acima, segundo a Autoridade de Proteção de Dados (APD), as editoras não podem ser obrigadas a incluir na página inicial do seu site, os avisos legais referentes aos cookies por instalados por terceiros.

Você pode ler mais sobre isso aqui.

Consentimento “livremente dado” e a proibição de cookie walls

A lei estabelece que o consentimento coletado deve ser dado livremente pelo usuário para ser considerado válido. O uso de métodos coercitivos para obter consentimento pode, portanto, invalidar o consentimento coletado com esses mecanismos. A lei realiza algumas concessões quando o funcionamento do site é afetado pelo consentimento ou falta do mesmo.

O documento do Grupo de Trabalho estabelece que:

Websites não devem fazer o acesso geral ao site sujeito à aceitação de todos os cookies, mas só podem limitar determinados conteúdos se o usuário não consentir com os cookies.

Portanto, embora alguns conteúdos (por motivos legítimos) possam ser limitados com base nas preferências do usuário em relação aos cookies, a capacidade de acessar seu site não deve ser forçada ou condicionada ao consentimento deles.

A este respeito, tenha em mente que, em suas diretrizes e recomendações, o EDPB, entre outras APDs da UE, proibiu explicitamente o uso das chamadas “cookie walls” com base em uma abordagem “pegar ou largar” que exija que os usuários necessariamente forneçam seu consentimento para acessar o conteúdo de um serviço online. As paredes de cookies são consideradas inválidas, pois o usuário não teve uma opção genuína.

Isenções do requisito de consentimento

A Lei dos Cookies prevê duas isenções ao requisito de consentimento, em específico:

  • a isenção de comunicação que se aplica a cookies e outros rastreadores cuja única finalidade é realizar a transmissão de uma comunicação através de uma rede (por exemplo, identificar os pontos finais de comunicação; permitir que os itens de dados sejam trocados em sua ordem pretendida; detectar erros de transmissão ou perda de dados);

Exemplo: você usa um cookie de balanceamento de carga para distribuir tráfego de rede em diferentes servidores. O único propósito do cookie é identificar um dos servidores (ou seja, um ponto final de comunicação), portanto, ele se enquadra na isenção de comunicação.

  • a isenção estritamente necessária que se aplica a cookies e outros rastreadores essenciais para fornecer um “serviço de sociedade da informação” (ou seja, um serviço entregue pela internet, como um site ou um aplicativo) solicitado pelo usuário.

Exemplo: seu site de e-commerce usa um cookie de sessão que permite que os usuários “segurem” itens em seu carrinho enquanto estão usando o site ou durante a duração de uma sessão. Neste caso, os cookies técnicos, necessários ao processo de compra, são solicitados explicitamente pelo usuário quando este adiciona um artigo ao carrinho. Da mesma forma, os cookies usados para lembrar as preferências de linguagem de um usuário podem estar na isenção necessária.

É fundamental notar que mesmo quando essas exceções ao requisito de consentimento se aplicam, você ainda precisará informar o usuário sobre o uso de cookies e tecnologias similares através de uma política de cookies. O banner não é necessário nessas instâncias específicas se a política de cookies for facilmente acessível e visível em todas as páginas do site.

Os cookies e outros rastreadores são usados para fins de análise susceptivelmente para atender a uma isenção?

Não há uma resposta direta. De fato, as autoridades de proteção de dados da UE têm interpretações diferentes sobre isso. Por exemplo, de acordo com as diretrizes da ICO do Reino Unido, os cookies de análise não se enquadram na isenção estritamente necessária e, consequentemente, sempre requerem consentimento. As APDs belgas e irlandesas têm opiniões semelhantes. Por outro lado, nas opiniões das APDs francesas, alemãs, holandesas e italianas, os cookies de análise de APDs podem se enquadrar na isenção estritamente necessária na medida em que circunstâncias específicas são atendidas (por exemplo, são cookies de primeira parte, o opt-out é anonimizado, o cross-tracking não é habilitado). Para concluir, você deve verificar cuidadosamente quais regras se aplicam aos cookies para fins de estatística em seu país de referência.

Com que frequência o consentimento pode ser coletado e o banner re-exibido?

Após ter mostrado o banner de cookies na primeira visita do usuário, você não precisa continuar mostrando o banner em cada visita desse usuário. No entanto, você deve considerar recapeamento do banner em intervalos adequados.

Você também deve considerar que há uma série de razões e circunstâncias que podem desencadear a necessidade de pedir aos visitantes para “reconsentir” e, consequentemente, ressurgir o banner.
Um exemplo prático é quando você está usando um novo cookie de terceiro não isento. Nesse caso, você precisará obter um novo consentimento, dado que o consentimento previamente coletado do usuário se aplicaria apenas àqueles terceiros que você declarou no momento original da coleta.

Para ajudá-lo com essa exigência, oferecemos a possibilidade de atualizar facilmente a coleta de consentimento em cada atualização da política de cookies.

solicitar novo consentimento quando a política de cookies atualizada - cookie solution iubenda

Note que algumas APDs da UE especificaram o que pode ser considerado um período razoável de tempo para a validade do consentimento dos cookies (por exemplo, de acordo com a APD francesa, 6 meses é considerado um período razoável de tempo). Nossa Cookie Solution permite que você defina facilmente esse período de tempo. Para saber mais sobre os cronogramas de validade do consentimento do cookie, consulte nossa Cookie Consent Cheatsheet.

definir prazo de validade de cookies na cookie solution da iubenda

Registros de consentimento

Embora a Lei dos Cookies não exija explicitamente que os registros de consentimento sejam mantidos (apenas a prova) na maioria dos casos, os cookies tratam dados pessoais, e é por isso que os requisitos de registro decorrentes do GDPR podem ser aplicados. Muitas Autoridades de Proteção de Dados em toda a UE se alinharam, portanto, suas regras de cookies e rastreadores aos requisitos do GDPR.

Caso precise desse recurso, nossa Cookie Solution se integra perfeitamente à nossa Consent Solution para simplificar o processo de manutenção de registros válidos. Você pode nos enviar um e-mail para obter as instruções.

Como a iubenda pode ajudar a gerenciar o consentimento de cookies

Nossa solução de gerenciamento de cookies simplifica o cumprimento das disposições da Lei dos Cookies da UE. Como uma Plataforma de Gerenciamento de Consentimento (CMP) certificada pelo IAB, a Cookie Solution ajuda você a cumprir os padrões exigidos pela indústria e a compartilhar preferências de consentimento com elas de maneira compatível.

Ela permite que você:

  • informe facilmente os usuários através do banner de cookies e uma página dedicada de política de cookies (que está automaticamente vinculada à sua política de privacidade e integra o que é necessário para a conformidade com a Lei dos Cookies);
  • obtenha e salve suas preferências de consentimento;
  • colete consentimento granular (por categoria);
  • bloqueie preventivamente os códigos antes do consentimento;
  • habilite o suporte da Estrutura de Transparência e Consentimento do IAB com um único clique;
  • mantenha um registro de consentimento por meio da integração com a Consent Solution (integração disponível mediante solicitação).

Nossa Cookie Solution informa o usuário sobre:

  • os cookies instalados, suas finalidades e como são usados;
  • cookies de terceiros, sua finalidade (e vincula diretamente às políticas de cookies de terceiros relevantes);
  • as diferentes opções disponíveis para o usuário aceitar (dar consentimento) e recusar (retirar consentimento);
  • quais ações devem ser entendidas como uma declaração de consentimento;
  • como o usuário pode gerenciar suas preferências na instalação de cookies.

Nossa solução permite a coleta do consentimento explícito do usuário por meio de:

  • navegação continuada;
  • rolagem de página (“scrolling”);
  • clique em links específicos.

A Cookie Solution também oferece uma série de opções para:

  • Escolher entre a opção “com consentimento prévio” (ou seja, bloquear os códigos antes de obter o consentimento do usuário e reativar apenas após o consentimento) ou “sem consentimento prévio” (ou seja, sem qualquer bloqueio prévio de cookies); ao utilizar a opção “com consentimento prévio” você garante que antes do consentimento, o usuário pode abrir a política de cookies e cancelar quaisquer dos scripts de rastreamento ​​usando as ferramentas de retirada de consentimento fornecidas por terceiros. Lembre-se de que bloquear os cookies antes do consentimento é uma exigência em algumas regiões, incluindo a UE.
  • Adicione os botões “Aceitar” e “Rejeitar”, conforme exigido pela regulamentação de alguns estados.
  • Personalize a posição e imagem do seu cookie banner, ex.: você pode alterar as cores para se adequar ao seu site ou personalizar o cabeçalho com o logotipo e as cores da sua empresa.
  • Acompanhar o consentimento e salvar as configurações de consentimento para cada usuário por no máximo 12 meses a partir da última visita ao site, conforme exigido por lei.
  • Integração fácil com o seu website. Escolha entre colar diretamente o código de integração na seção head da sua página no site, ou usar um de nossos plugins (atualmente temos plugins disponíveis para WordPress, Joomla!, PrestaShop e Magento).

Gerencie os consentimentos para cookies com a Cookie Solution

Fácil, rápido e personalizável

Crie um cookie banner

Veja também