巴西目前正在完善其监管饼干的方法，并在这方面提供更广泛的指导。来自Rennó、Penteado、Sampaio Advogados的Celina Bottino、Vinicius Padrão和Flávia Parra Cano讨论了这一领域的当前发展以及欧盟在这一问题上采取的方法的相关性。

介绍

2018年8月14日的第13.709号法律《一般个人数据保护法》（经2019年7月8日第13.853号法律修订）（“LGPD”）未对Cookie做出任何具体规定。cookie可以定义为可以存储在计算机或移动设备上的小文本文件，通常包含与某个人访问的网站相关的数据。存储在这些Cookie中的信息可能包括非个人数据，如语言偏好设置，但也可能包括个人数据，例如IP地址或用户名。与《一般数据保护条例》（第（欧盟）2016/679号条例）（“GDPR”）类似，LGPD采用了个人数据的广义定义，被理解为关于已识别或可识别自然人的任何信息（《LGPD》第5条第1款）。因此，由于某些Cookie可能包含能够识别自然人的信息，因此它们将被视为个人数据，受LGPD要求的约束。

在巴西法律框架下，LGPD是关于数据保护的主要立法，没有关于Cookie的具体规定或法律，而欧盟的其他部门立法也适用于这一问题，如《隐私和电子通信指令》（2002/58/EC）（经修订）（“电子隐私指令”）。然而，最近，在2022年5月13日，巴西数据保护局（“ANPD”）发布了巴西数字政府秘书处（“SGD”）要求的关于数字政府门户（“Gov.br门户”）与LGPD合规性的建议（“建议”）。因此，本文的主要目的是简要描述ANPD关于Cookie的立场，并对基于GDPR和ePrivacy指令的Cookie建议和指南（“指南”）进行比较分析。ANPD的第一个解释不是强制性的，专门针对SGD，但它可以表明ANPD将来将如何处理其cookie法规。

建议

ANPD仍然没有关于Cookie的官方指南。尽管如此，这些建议对于理解ANPD如何在未来的文档中正式管理Cookie是相关的。

由于SGD要求遵守LGPD，ANPD分析了Gov.br门户，该门户允许巴西公民使用一系列在线政府服务，例如发布与联邦行政机构和实体相关的文件和咨询信息，以及其他可用功能。Gov.br门户是过去几年在巴西实施的最相关的数字政府政策之一，其对LGPD的充分性是相关的，因为该门户重新整合了针对巴西公民的近5000项服务。门户网站还负责托管ANPD网站，这突出了其遵守LGPD的相关性，因为ANPD被视为数据保护良好做法的参数。

从这个意义上说，由于ANPD是负责解释LGPD的政府机构（《LGPD》第55（k）条），ANPD本身表示，其行为受到社会的强烈观察，因此，受监管的加工代理可以在其自身业务中反映ANPD实践，特别是因为如上所述，Gov.br门户网站是ANPD官方网站的主机。由于这些原因，ANPD强调，SGD需要尽快实施针对Gov.br门户的建议，以确保其符合LGPD。尽管ANPD的一般分析基于整个网站，但ANPD发布的文件的主要焦点是与收集和使用Gov.br门户中的Cookie相关的数据处理实践，如建议所示。因此，ANPD已公开了针对Gov.br门户网站初始合规性提出的建议，以指导其他处理代理处理因收集Cookie而产生的个人数据的相关做法以及如何正确使用Cookie。

ANPD的分析确定了需要SGD进行全面检查的两点。第一个涉及cookie横幅，当用户访问由Gov.br Portal托管的网站时，该横幅会显示给用户。因此，ANPD理解，横幅包含的信息非常有限，仅授予用户一个选项，即接受网站上使用的所有Cookie，这种做法将违反LGPD关于同意的规定。这是因为LGPD第5（XII）条规定，为了有效，数据主体的同意必须是自由、知情和明确的表示。

第二点涉及cookie策略，只有在用户单击cookie横幅上可用的链接时，该策略才对用户可用。ANPD认为cookie策略中提供的信息以非特定方式呈现，这使得用户难以理解。同样，在整个cookie政策中，数据处理的目的是以无组织的方式呈现的，因此很难识别所有这些目的。强调的唯一目的是与基本Cookie相关的目的，例如与安全、网络管理和可访问性相关的目的。此外，ANPD指出，尽管存在分类，但这是不正确的，例如，分析Cookie作为第三方Cookie呈现。建议表明，ANPD可能会遵守基本和非基本cookie之间的一般划分，以便在其未来关于该事项的官方指南中为该数据处理活动建立最充分的法律基础，同时考虑到在欧盟根据GDPR和ePrivacy指令进行cookie定位时通常采用的观点。

此外，ANPD还指出，Gov.br门户cookie政策提供了关于通过浏览器禁用cookie的可能性的信息。ANPD建议保持这种做法，但认为浏览器禁用cookie只是一种补充功能，因为用户应该能够通过cookie横幅上的明确选项，从一开始就拒绝收集非必要的cookie。因此，仍有必要为数据主体管理Cookie提供直接和适当的机制，包括不提供同意或撤销先前获得的同意的可能性。

如ANPD所述，为了遵守LGPD，Gov.br门户应采用以下良好做法：

• 在cookie横幅中：SGD必须（i）提供一个可访问且清晰的按钮，允许用户拒绝所有不必要的cookie；以及（ii）还默认禁用基于同意的Cookie（非必要Cookie）（因此，需要收集用户的选择加入）；和
• 在cookie政策中：SGD必须（i）根据cookie的每个目的/类别确定所依赖的法律依据（严格必要的cookie可能基于合法利益，非必要的Cooki则基于同意）；（ii）在政策中将Cookie分类；（iii）允许根据确定的类别获得具体同意；以及（iv）提供可访问的清除按钮，允许用户拒绝所有不必要的cookie。

此外，ANPD告知，其团队正在制定关于Cookie的指南，目前还没有估计的发布日期。本文件将阐述cookie的类别和用途、LGPD使用和收集cookie时可能采用的法律基础，以及处理代理收集cookies的良好做法等。如果ANPD遵守其向SGD提供的建议，ANPD对Cookie的看法可能会考虑到欧盟已经实施的基于GDPR和ePrivacy指令的实践。

在SGD组织的讨论数据保护问题的活动1中，管理局技术和研究总协调员有机会讨论ANPD关于Cookie的第一个观点，并将Cookie分为以下类别：（i）第一方或第三方；（ii）必要或非必要；和（iii）会话或持久cookie。受到更多关注的Cookie分类将其分为基本Cookie和非基本cookies，因为基本和非基本cookie之间的差异对于理解处理代理的应用程序的基本操作和其他实际问题至关重要，例如实施Cookie的最充分的法律基础。

考虑到Cookie的类型，强调其使用和收集必须符合适用的LGPD要求，如LGPD第6条规定的目的、透明度、必要性和适用性原则。从这个意义上讲，建立适当的cookie横幅将是一种良好的做法，并且是默认情况下和设计上与隐私相关的问题。因此，cookie横幅无法自动编程以默认收集所有cookie，例如非必要的cookie。用户必须选择是否接受Cookie，以明确和可访问的方式。因此，在这种情况下，ANPD代表加强了先前向SGD提供的关于Cookie的解释。

此外，关于收集的可能法律依据，提到同意是非必要cookie（例如与营销活动有关的cookie）的充分法律依据，因为在不影响服务或网站使用的情况下，应存在接受或不接受其收集的有效可能性。另一方面，合法利益将是严格必要的cookie的更充分的法律基础，因为向用户提供不接受cookie的可能性可能会影响网站上的用户体验并妨碍其正常运行。

ANPD建议与GDPR/ePrivacy指令方法的比较

ePrivacy指令在其序言25中规定了Cookie的主题，确定Cookie可以是合法和有用的工具。它还规定，如果这些cookie用于合法目的，则应允许使用这些cookie，例如，考虑到用户接收到清晰准确的信息，以确保他们知道存储在他们使用的设备上的cookie。此外，ePrivacy指令规定，用户应有权拒绝在其设备上存储非必要cookie或类似设备，并且必须向用户提供拒绝存储cookie的信息和权利。此外，ePrivacy指令规定，提供有关Cookie信息的方法、拒绝存储Cookie的权利以及请求同意的方法应便于用户使用。

最后，根据GDPR和ePrivacy指令，使用非必要cookie应获得同意，合法利益可作为使用必要cookie的理由。非必要Cookie的示例包括旨在分析用户特定行为或针对广告的Cookie（例如，分析Cookie和广告Cookie）。另一方面，基本Cookie通常与网站或应用程序的良好运行相关。如前所述，基本Cookie和非基本cookies之间的差异在欧盟已经争论了很长一段时间，ANPD似乎与这些概念保持一致，因为它们在其向SGD提交的建议中已经考虑到了这些概念。

此外，使用必要和非必要cookie的理由主题也符合GDPR和ePrivacy指令指南，考虑到ANPD提到同意是必要cookie适当的法律基础，合法利益是使用非必要cookies的充分法律基础。总的来说，ANPD遵循了欧盟对Cookie的理解，提请注意GDPR对ANPD的解释以及LGPD本身的影响。这意味着，如果公司在其cookie政策中符合欧盟标准，则它们也可能符合LGPD。尽管如此，仍然需要强调的是，LGPD或任何其他巴西法律没有规定收集或使用Cookie和源自Cookie的数据的适当法律基础，这一问题仍由ANPD监管。

结论

根据SGD的明确要求，ANPD提供了上述建议。因此，重要的是要理解，到目前为止，它们仅对SGD有效，不一定代表ANPD将在其针对一般数据处理代理的Cookie指南中采用的解释。这些建议与ANPD关于该主题的第一种方法相关，但这些建议不是强制性的，也不确定ANPD是否会在其官方指南中重复上述解释，该指南仍在起草中。

在任何情况下，ANPD的建议表明，他们不断考虑基于GDPR的解释，以建立自己的指南，未来的方向和指南可能会遵循这一趋势。

本文：https://cioctocdo.com/brazil-anpds-first-approach-cookies-under-lgpd