Como as regras de cookies se relacionam com a LGPD?

A LGPD não possui uma classificação específica para cookies, porém podemos classificar os identificadores de cookies como um tipo de 'identificador online', em determinadas circunstâncias, poderão ser considerados como dados pessoais. Por exemplo, um cookie de autenticação de usuário envolve o processamento de dados pessoais, pois este é usado para permitir que o usuário faça login em sua conta através de um serviço online.

Desse modo, o artigo 5.º, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), define os dados pessoais como informação relacionada a pessoa natural identificada ou identificável, assim, é importante notar que os cookies nem sempre podem ser classificados como dados pessoais. No entanto, independentemente de armazenamento ou acesso às informações nos dispositivos do usuário envolver o processamento de dados pessoais, os ‘Identificadores online' também podem incluir dados como:

• Endereços MAC;
• IDs de Publicidade ;
• Pixel Tags;
• Social Media Handles; e
• impressões digitais do dispositivo (device fingerprints).

A utilização destes pode deixar vestígios que, quando combinados com identificadores únicos e outras informações, podem ser utilizados para criar perfis de indivíduos e identificá-los.

Ao avaliar se um indivíduo é identificável, você deve considerar se identificadores on-line, sozinhos ou em combinação com outras informações que possam estar disponíveis para aqueles que processam os dados, podem ser usados para distinguir um usuário de outro.

Por exemplo, é provável que esse seja o caso quando os identificadores são usados ou combinados para criar perfis de usuários, mesmo quando esses não são identificados. Isso pode ser como usuários nomeados ou simplesmente como um usuário único de comunicação com os outros serviços.

Você deve estar ciente de que, embora um único elemento de informação possa não ser dados pessoais por si só, a combinação de vários elementos torna mais provável que as informações constituam dados pessoais. Este é particularmente o caso quando as informações permitem que você destaque, faça inferências ou execute ações específicas em relação aos usuários (como identificá-los ao longo do tempo ou em vários dispositivos e sites, mesmo que você não saiba o nome desses usuários ).

Ao considerar alternativas aos cookies, também é importante observar o contexto de privacidade mais amplo. Mesmo quando as regras de cookies não se aplicam, pode ser necessário cumprir a LGDP. Por exemplo, se forem coletadas informações que construam uma imagem que permita a identificação de um indivíduo, esses indivíduos precisam ser informados sobre quais informações estão sendo coletadas, bem como como e por quê.