E quando a gente achava que a questão de cookies já era complicada, surge mais uma pergunta: é necessário realizar um RIPD antes de implementar cookies em sites?
Para a Autoridade de Proteção de Dados da Letônia a resposta é sim – o controlador deve realizar um relatório de impacto à proteção de dados (RIPD) prévio à implementação de cookies em um site.
No dia 1 de abril a Autoridade de Proteção de Dados da Letônia (DVI) publicou sua orientação referente a cookies com base no Regulamento Geral sobre a Proteção de Dados (RGPD). O documento tem 24 páginas e inclui ao final um modelo de aviso de cookies para os usuários.
De maneira geral, o documento segue as mesmas ideias já (supostamente) conhecidas por todos. Ele explica as funções dos cookies, as categorias de cookies (estritamente necessários, de personalização, analíticos etc.), a forma de armazenamento de cada cookie e outras informações deste tipo. São ainda apresentadas ideias a respeito dos seguintes aspectos referentes às condições de uso de cookies em um site:
- Informações claras e abrangentes
- Consentimento para cookies
- Ferramentas de consentimento
- Configurações do navegador do usuário como um método para obter o consentimento
- Consentimento obtido de menores de idade
- Consentimento demonstrável
- Consentimento revogável
- Renovação do consentimento e alterações no uso de cookies
- Exceções à condição de consentimento
Mais importante do que isto – e o que realmente é “inovador” nestas orientações –, o interessante é ver que a DVI sugere a realização de um RIPD antes da implementação de cookies em um site. O argumento se sustenta no fato de que o uso de cookies corresponde a um monitoramento sistemático dos titulares, permitindo a análise do seu comportamento, sendo ainda realizado em alta escala – contendo, portanto, todos os elementos que, conforme o RGPD, levam à obrigatoriedade da realização de um RIPD.
Do ponto de vista prático, podemos fazer uma associação com os impactos aos direitos e liberdades dos titulares, como já comentamos de forma prática nesta postagem.
Ainda que a orientação seja aplicável ao contexto europeu, é interessante analisar o racional da DVI e obter insights para “boas práticas” no caso brasileiro. A pergunta é simples: será necessário realizar um RIPD antes de implementar cookies em sites com base na LGPD? Por isso, para entender o racional da DVI, traduzi a parte específica sobre o RIPD de letão para português, disponibilizando-a a seguir. O documento original pode ser lido (em letão) neste link.
Avaliação de impacto sobre o uso de cookies
Antes de tratar os dados, o controlador deve em todos os casos levar em conta a natureza, o escopo, o contexto e a finalidade do tratamento e se o tratamento é susceptível de resultar em alto risco para os direitos e liberdades das pessoas físicas, de acordo com o artigo 35(1) do Regulamento Geral sobre a Proteção de Dados, e realizar uma avaliação de impacto à proteção de dados se o controlador considerar que o tratamento é susceptível de resultar em alto risco para as liberdades e direitos das pessoas físicas.
A Autoridade de Proteção de Dados publicou uma lista de atividades de tratamento para as quais é obrigatória uma avaliação do impacto à proteção de dados. A lista contém atividades de tratamento que envolvem monitoramento sistemático, rastreamento ou vigilância da localização ou comportamento de indivíduos, bem como a caracterização de indivíduos em larga escala.
Também inclui tratamento envolvendo a agregação, vinculação ou referência cruzada de conjuntos de dados separados, onde tal vinculação contribui significativamente para a criação de perfis ou análise comportamental de indivíduos. Isto se aplica especialmente quando os conjuntos de dados são agregados a partir de diferentes fontes e onde o tratamento foi/é realizado por diferentes controladores para diferentes propósitos.
Deve-se notar que a lista da Autoridade de Proteção de Dados não é exaustiva e a principal consideração para avaliar a necessidade de uma avaliação do impacto à proteção de dados são precisamente os riscos para os direitos e liberdades das pessoas físicas.
Pode-se notar que os riscos para os direitos e liberdades das pessoas físicas também são proporcionalmente menores ao utilizar cookies técnicos e, em menor grau, cookies personalizados. Da mesma forma, nestes casos, os riscos podem, na maioria dos casos, ser efetivamente mitigados pela implementação de medidas técnicas e organizacionais adequadas de proteção de dados para proteger as informações coletadas.
O uso de cookies analíticos, em particular cookies analíticos de terceiros, é considerável ao aumentar os riscos para o indivíduo, pois reduz a capacidade de controlar quem e como acessa e utiliza os dados agregados coletados sobre um determinado usuário do website.
Outros fatores a serem considerados ao avaliar os riscos potenciais aos direitos e liberdades das pessoas físicas incluem o conteúdo oferecido pelo site, o nível de anonimato que um visitante do site pode razoavelmente esperar, o conteúdo das informações coletadas nos cookies e a medida em que as informações sobre o titular dos dados já podem estar na posse do terceiro cujos cookies são utilizados para coletar as informações.
Portanto, a Autoridade de Proteção de Dados encoraja a consideração cuidadosa de realizar uma avaliação de impacto à proteção de dados quando o website oferece conteúdo que poderia ser atribuído a uma categoria especial de dados pessoais (por exemplo, um website de encontros ou um website que fornece informações sobre serviços de saúde), ou que poderia ser considerado como particularmente sensível pelo cliente (por exemplo, o negócio principal do website está relacionado a um serviço financeiro), bem como em outros casos em que uma análise feita pelo controlador poderia levar à conclusão de que o tratamento pode resultar em altos riscos para os direitos e liberdades do titular.
O que você acha? É necessário realizar um RIPD antes de implementar cookies em sites? Deixe abaixo seus comentários!
