Para processar dados pessoais, é necessário ter uma base legal. A GDPR tem seis bases legais, uma das quais é o consentimento. Mas e os cookies?
Se for necessário o consentimento ao abrigo da Lei de Cookies, não pode confiar em toda a gama de possíveis fundamentos legais fornecidos pela GDPR, uma vez que os requisitos da Lei de Cookies são separados e diferentes dos da GDPR.
O consentimento é a única base legal possível?
Se você estiver definindo cookies, você precisa olhar primeiro para a Lei de Cookies e cumprir suas regras específicas, antes de considerar qualquer uma das regras gerais da GDPR.
Vale a pena observar que nas seguintes circunstâncias, o uso de cookies não está sujeito à exigência de consentimento do usuário:
- para qualquer armazenamento técnico ou acesso, cuja única finalidade é transmitir uma comunicação através de uma rede de comunicações eletrônicas, ou
- se estritamente necessário, a fim de fornecer um serviço da sociedade da informação explicitamente solicitado pelo assinante ou usuário.
Dito isto, de acordo com a ICO, Autoridade de Proteção de Dados do Reino Unido, certos cookies “estritamente necessários” (essenciais para fornecer um serviço on-line a pedido de alguém) dificilmente exigirão consentimento. Entretanto, ainda é uma boa prática fornecer aos usuários informações sobre esses cookies, mesmo que você não precise de consentimento.
O interesse legítimo se aplica aos cookies?
Se seus cookies não atenderem a uma das isenções, então você só poderá usar o consentimento – e este deve ser do padrão GDPR. Se você obteve consentimento em conformidade com a Lei de Cookies, então o consentimento também é a base legal mais apropriada sob a GDPR. Tentar aplicar outra base legal (como interesses legítimos) quando você já tem o consentimento em conformidade com a GDPR seria completamente desnecessário.
Se seus cookies atendem a uma das isenções, então o requisito de ter consentimento para defini-lo não se aplica.
É necessário o consentimento de cookies para análise?
Para alguns países (isto é, Alemanha), os cookies analíticos poderia ser baseado em um interesse legítimo, mas, em geral, eles são não isentos e – de acordo com a ICO – sempre requerem consentimento.
Quanto tempo pode durar o consentimento do usuário para os cookies?
As diretrizes para o armazenamento autorizado de cookies variam de apenas alguns meses a 12 meses. É importante verificar a diretriz específica para o país EU que se aplica a você.
De qualquer forma, de acordo com a ICO, depende da finalidade do cookie. Você precisa garantir que seu uso do cookie seja:
- proporcional em relação a seu resultado pretendido; e
- limitado ao que é necessário para atingir seu objetivo.
