Bom Dia LGPD

Cookies: Make it Simple!

#bomdialgpd


Uma vez escutei alguém falar que no início da conformidade com a LGPD só se falava em cookies e consentimento. Leitura simples e pontual, realmente era o caminho mais fácil e confortável para tratar o tema.


Vamos falar sobre cookies, é um assunto fácil de resolver na grande maioria das vezes (a exceção é quando seu site é de alta complexidade com várias integrações, tecnologias heterogêneas e muitas coletas de dados pessoais).


Eu acho os avisos de cookie muito chatos, mas é necessário mantê-los.


Recentemente a Agência Espanhola de Proteção de Dados (AEPD) identificou falhas na política de cookies do site da SEAT, S.A. (relatório no link), são elas:


  1. Uso de cookies sem consentimento prévio: Cookies não essenciais (funcionalidade, preferências, e segmentação), foram ativados no dispositivo dos usuários antes que o consentimento fosse fornecido;
  2. Retirada de consentimento ineficaz: Embora o site ofereça a gestão do consentimento mesmo após a revogação do consentimento, os cookies previamente instalados permaneceram ativos;
  3. Inconsistências na categorização de cookies: Cookies descritos como técnicos, por exemplo "CMP_SEAT_CUPRA," não tiveram sua finalidade devidamente identificada;
  4. Banner de cookies inadequado: Apesar de permitir configurações, o banner inicial não cumpria plenamente com as obrigações de consentimento explícito para cookies não essenciais.


Entendo que a eficácia das barras de cookie em si é muito baixa, porém a sua existência evita abusos e gera uma segurança orgânica. Algumas dicas:


  • Resolva logo o problema: Os cookies ficam em sua vitrine e têm solução é de baixo custo. Organize uma política de cookies e implemente uma barra de cookies. Lembre que a solução é fácil mas não é plug-and-play, é necessário avaliar e alinhar com os objetivos de negócio;
  • Padronize: Se a sua organização possui diversos sites e hotsites, padronize uma barra de cookies e uma política para todos e torne isso inegociável - se possível;
  • Engaje os prestadores de serviço: Muitas empresas contratam agências para desenvolver seu site, estas devem seguir as políticas da organização e adotar os scripts padronizados;
  • Minimize: A maior parte dos cookies são inúteis ou não trazem nenhum benefício para sua organização, nem para os usuários/titulares/consumidores. Elimine-os na origem. Faça uma varredura nos cookies e peça explicação sobre a função, os dados coletados e a finalidade de cada um;
  • Não caia em argumento barato: Na grande maioria dos casos resolver a questão dos cookies é bem simples, muitos fornecedores fazem discursos herméticos sobre o assunto, mas que pouco agregam ao negócio e só fazem você perder tempo e dinheiro;
  • Cookies não estão sozinhos: Os cookies são os armazenamentos mais populares, mas existem outras formas de os sites armazenarem dados. Uma ferramenta de scanner pode ajudar, mas vale conversar com a equipe de desenvolvimento para entender possíveis armazenamentos de dados pessoais durante o uso do site como local storage, tracking beacons, pixels e outras ferramentas de rastreamento e armazenamento.


Vale ver o relatório da AEPD no caso SEAT no link, note que o controlador foi multado mas por não ter tomado providências simples. Também coloquei no comentário o link do Guia de Cookies da ANPD.


Seja simples!


Ilustração gerada por IA. Prompt GPT4o. Favor desenhar um robô comendo cookies sentado em uma cadeira de praia, embaixo de um guarda sol.


Bom fim de semana,


Obrigado,


Aquele abraço,


FNery.


Comentários:


Sanção AEPD sobre cookies - https://www.aepd.es/documento/ps-00284-2024.pdf


Guia Cookies ANPD - https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-orientativo-cookies-e-protecao-de-dados-pessoais.pdf

Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato