Símbolo do Jus.com.br Jus.com.br

Capa da publicação LGPD e cookies: coerência na regulação
Artigo Destaque dos editores

LGPD e cookies: fundamentos técnicos e regulatórios para uma abordagem coerente no Brasil

Exibindo página 1 de 3
18/06/2022 às 12:00

Qual o tratamento jurídico correto aos cookies e aos banners de consentimento?

1. Introdução

Desde a publicação da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), um dos grandes pontos de controvérsia tem sido a delimitação do tratamento técnico e jurídico a ser dado aos cookies nos sites da Internet, incluindo a necessidade ou não dos banners de consentimento.

Trata-se de tema árduo, cujo debate é dificultado pela ausência de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) e pela tendência doutrinária de soluções baseadas na transposição de padrões europeus que, embora possam refletir boas práticas, não decorrem de normas cogentes no Brasil.

O silêncio da ANPD em relação à matéria cessou em 13.05.2022, quando foi expedido e publicizado o Ofício nº 6/2022/CGTP/ANPD/PR, dirigido ao Secretário de Governo Digital, contendo recomendações para a adequação do Portal Gov.br às disposições da LGPD[2].

No caso concreto, a ANPD recomendou que, na adequação do portal Gov.br à LGPD, fossem adotadas, pelo menos, as seguintes medidas:

a) No banner de primeiro nível:

(i) disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não necessários; e

(ii) desativar cookies baseados no consentimento por padrão (opt-in);

b) No banner de segundo nível (Política de Cookies):

(i) identificar as bases legais utilizadas, de acordo com cada finalidade / categoria de cookie, utilizando o consentimento como principal base legal, exceção feita aos cookies estritamente necessários, que podem se basear no legítimo interesse;

(ii) classificar os cookies em categorias no banner de segundo nível;

(iii) permitir a obtenção do consentimento específico de acordo com as categorias identificadas; e

(iv) disponibilizar botão de fácil visualização, que permita rejeitar todos os cookies não necessários.

O referido Ofício gerou diversos debates na comunidade de proteção de dados pessoais (incluindo uma versão preliminar deste artigo[3]) questionando a juridicidade da limitação de cookies a apenas duas bases legais consentimento e legítimo interesse, este último apenas para os cookies estritamente necessários , dada a ausência, no Brasil, de normas semelhantes à Privacy Directive europeia.

Em 01.06.2022, durante a 1ª Semana de Proteção de Dados Pessoais Gov.br, com participação oficial de representantes da ANPD, a visão externalizada na palestra Estudo de Caso Política de Cookies[4] apresentou significativos avanços. Manteve-se a orientação de legítimo interesse para cookies estritamente necessários, o consentimento para os não necessários, mas com duas ressalvas relevantes originalmente não previstas no Ofício: a possibilidade do legítimo interesse para cookies de estatísticas em contextos específicos, observados os requisitos previstos na LGPD, e a sinalização expressa de que as bases legais do consentimento e do legítimo interesse, embora as mais usuais e relevantes no contexto, não configurariam rol exaustivo e nem limitariam o uso das demais bases legais para cookies.

Considerando que o referido Ofício ao Secretário de Governo Digital afirma que a equipe técnica da ANPD está elaborando um guia a respeito do tema, é relevante a promoção de um amplo debate acerca dos aspectos técnicos, jurídicos, sociais e econômicos envolvidos na regulação de cookies, já que as posições da ANPD até o momento, embora importem significativo avanço, ainda carecem de detalhamento mais profundo.

Nesse sentido, o objetivo deste artigo é o de fomentar esse debate a partir de uma análise dos cookies na perspectiva tecnológica e da análise da evolução regulatória da matéria no Direito Comparado, de forma a propor possíveis caminhos regulatórios para a realidade brasileira.

2. Cookies: uma análise na perspectiva tecnológica

Os cookies, assim como diversos outros instrumentos e protocolos utilizados nas principais atividades na Internet, têm seus padrões definidos pela Internet Engineering Task Force (IETF) por intermédio de documentos denominados Request for Comments (RFC).

Os cookies são tratados pela IETF de forma detalhada no RFC 6265[5], que regula como devem ser implementados em servidores e agentes de usuário (user agents), categoria na qual se incluem navegadores (como Chrome, Safari ou Brave), softwares que promovem requisição e processamento automático de conteúdo web (como indexadores automáticos) etc[6].

A análise do RFC 6265 permite extrair características técnicas dos cookies extremamente relevantes para o debate no campo da proteção de dados pessoais. A primeira característica é que cookies são pares de nome/valor enviados pelo servidor (ou por scripts egressos desse servidor) e gravados pelo agente de usuário com os respectivos metadados. Um exemplo do próprio RFC 6265 é o do registro de identificadores de sessão, como no par SID=31d4d96e407aad42, em que o nome do cookie é SID (nome atribuído ao identificador da sessão) e o valor é 31d4d96e407aad42 (valor exemplificativo de um identificador da sessão do usuário).

Esse par SID=31d4d96e407aad42, uma vez gravado no agente do usuário a pedido do servidor, passará ser enviado no caminho inverso, do agente de usuário para o servidor, nas requisições seguintes. E isso permitirá ao servidor saber que esta nova requisição está sendo feita pelo mesmo usuário daquela determinada requisição anterior.

Isso é fundamental por características do próprio protocolo HTTP detalhado no RFC 2616 para o HTTP/ 1.1 e no RFC 7540 para o HTTP/2 , que é considerado um protocolo sem estado (stateless). Sem ferramentas assegurando a persistência dos dados, como cookies, seria inviável ao servidor identificar, entre diferentes requisições HTTP, que o cliente do banco que solicitou o extrato agora é aquele que fez o login na requisição anterior; ou que o consumidor fechando a compra agora é o que adicionou determinado livro à sua cesta de compras na requisição anterior.

A análise do IP da requisição não é suficiente, porque múltiplos usuários em uma rede local podem fazer requisições a um servidor externo a partir de um mesmo IP público. É o caso de vários indivíduos em uma rede doméstica, vários empregados em uma rede corporativa ou vários estudantes na rede de uma escola ou universidade, o que geraria falso positivo. Além disso, a maior parte dos usuários possui conexões com IP dinâmico, que mudam no decorrer do tempo, o que geraria falso negativo.

Cookies, portanto, são ferramentas necessárias para diversas atividades básicas e legítimas que demandam dados persistentes mediante uso do protocolo HTTP. Com efeito, o título do RFC 6265 é precisamente HTTP State Management Mechanism.

E esses dados persistentes não necessariamente são dados pessoais: apenas como exemplo, uma das utilidades dos cookies é para o balanceamento de carga em servidores, em que requisições são agrupadas e vinculadas a determinado servidor no back-end, e a otimização de cache e outros elementos é favorecida quando a requisição seguinte recai sobre o mesmo servidor específico que respondeu a requisição anterior. Trata-se de uma operação estritamente técnica de operação das redes, em que questões e dados pertinentes à pessoa natural são absolutamente irrelevantes[7].

Cookies não são diretamente editáveis pelo servidor: para alterar um cookie, é necessário que o servidor solicite a gravação de outro cookie com mesmo nome, mas valor ou metadados distintos, de modo a sobrescrever o anterior. Cookies também não são apagáveis diretamente pelo servidor: para excluir um cookie, o servidor deve solicitar a gravação de um novo cookie, de mesmo nome, mas com data de validade já expirada, de modo que o próprio navegador o remova pela expiração.

Ou seja, cookies não realizam qualquer ação e não há interação entre servidor e cookies que não seja mediada pelo agente de usuário (navegador, em sentido amplo). Cookies não rastreiam, não monitoram, não analisam comportamento, não estabelecem perfis, não disparam por si mesmos qualquer ação local ou remota. Cookies não violam diretamente a privacidade de qualquer indivíduo, já que são dados estáticos localmente armazenados.

Além disso, cookies configurados por um domínio não podem ser lidos em requisições associadas a outros domínios, de modo que dados inseridos por determinada requisição não estão disponíveis a outros servidores para monitoramento.

A visão negativa atribuída aos cookies não decorre, na perspectiva técnica, do que os cookies são ou fazem, mas do fato de que sistemas com potencial de violação da privacidade dos usuários terem adotado cookies como mecanismo de configuração de identificadores únicos. E esse problema é possível por características técnicas relacionadas ao protocolo HTTP e às páginas web, não aos cookies em si.

Adotemos, por exemplo, o site da ANPD. Quando um cidadão acessa o site da ANPD https://www.gov.br/anpd/pt-br , espera que o conteúdo servido seja egresso do domínio www.gov.br. Entretanto, embora a requisição inicial seja, de fato, ao domínio www.gov.br, cujo endereço ficará exibido na barra de endereço do navegador, o conteúdo do site é composto por inúmeros arquivos complementares de imagens, vídeos, folhas de estilo (css), e scripts que podem estar em servidores e domínios distintos.

Uma análise do código-fonte do site da ANPD em 27.05.2022 revelou requisições a diversos ativos externos. Dentre eles, há requisições para uso do Google Tag Manager:

Em cenários como o acima, embora o endereço no navegador permaneça https://www.gov.br/anpd/pt-br, o navegador está efetivamente fazendo requisições também ao endereço https://www.googletagmanager.com/gtag/js?id=UA-80181585-36, que adota um domínio do Google (www.googletagmanager.com). O documento carregado na requisição anterior, por sua vez, é um script que faz novas requisições a outros endereços em outros servidores da rede do Google, como ao script https://www.google-analytics.com/analytics.js. E, em cada uma dessas novas requisições que ocorrem ao fundo, cookies poderão ser gravados pelos servidores com base em seus próprios domínios, ou seja, os da rede do Google. Em suma: o cidadão acessou o site da ANPD, cujos cookies não podem ser lidos pelo Google, mas o próprio site da ANPD faz com que o agente do usuário realize requisições em background a dois domínios vinculados ao Google, cujos cookies, portanto, poderão ser gravados e lidos pelo Google.

Se o cidadão, após visitar o site da ANPD, visitar uma livraria online que também utilize as ferramentas do Google o que implica requisições, ao fundo, aos mesmos domínios do Google demandados durante a visita ao site da ANPD , o identificador único presente do cookie gravado durante a visita ao site da ANPD poderá ser utilizado para associar ambas as visitas a um mesmo usuário, permitindo ao Google estabelecer o perfil do visitante e oferecer, de forma personalizada, anúncios de livros no campo da proteção de dados pessoais.

Esses cookies que são gerados por requisições a outros domínios que não representam o domínio listado no endereço do navegador são chamados cookies de terceiros, e mereceram um item especial no RFC 6265. Segue a transcrição na íntegra, em tradução livre:

7.1. Cookies de Terceiros

Particularmente preocupantes são os denominados cookies de terceiros. Ao renderizar um documento HTML, um agente de usuário por vezes requisita recursos de outros servidores (como as redes de anúncios). Esses servidores de terceiros podem utilizar cookies para rastrear o usuário mesmo que o usuário nunca visite o servidor diretamente. Por exemplo, se o usuário visita um site que possui conteúdo de um terceiro e depois visita outro site que possui conteúdo do mesmo terceiro, esse terceiro pode rastrear o usuário entre os dois sites.

Alguns agentes restringem como os cookies de terceiros se comportam. Por exemplo, alguns desses agentes de usuário recusam o envio do cabeçalho Cookie em requisições de terceiros. Outros recusam o processamento do cabeçalho Set-Cookie em resposta a requisições de terceiros. Agentes de usuário variam amplamente em suas políticas de cookies de terceiros. Este documento assegura aos agentes de usuário larga amplitude para experimentar políticas de cookies de terceiros que equilibrem a privacidade e a necessidade de compatibilidade que seus usuários necessitam. Entretanto, este documento não endossa qualquer política de cookies de terceiros em particular.

Políticas de bloqueio de cookies de terceiros são muitas vezes inefetivas em atingir seus objetivos de privacidade se os servidores tentarem driblar suas restrições para rastrear usuários. Em particular, dois servidores em colaboração podem muitas vezes rastrear usuários sem o uso de qualquer cookie pela injeção de identificadores em URL dinâmicas. (grifei)

O trecho acima do RFC 6265 traz diversas informações relevantes. Uma é que o padrão estabelecido autoriza que navegadores tenham ferramentas ativas de restrição de cookies de terceiros sem violação ao protocolo. Significa dizer que plugins de bloqueio ou navegadores como o Brave que possuem políticas ativas de bloqueio por padrão não violam o RFC 6265.

Outra questão relevante é que o combate aos cookies não resolve isoladamente o problema da privacidade, porque há mecanismos alternativos para que os mesmos sistemas continuem operando. O RFC 6265 menciona o caso das URL dinâmicas. O RFC 7540, ao tratar do protocolo HTTP/2, aborda o problema do fingerprinting. Há diversos mecanismos alternativos de rastreamento, de modo que o objetivo regulatório deve estar relacionado ao tratamento de dados promovido por esses sistemas, não aos cookies em si.

Em suma, se considerarmos o exemplo do site da ANPD, todo o cruzamento, identificação e perfilamento é feito pelos sistemas nos servidores do Google, não pelos cookies. Os cookies, sem os sistemas, não fazem nada. Os sistemas, com outros identificadores distintos dos cookies, continuarão operando normalmente. Os cookies, portanto, são o alvo errado dos reguladores.

Não é sem razão que empresas como o Google estão atualizando seus produtos para não depender dos cookies: não se trata de uma mudança do modelo de negócio, apenas das ferramentas associadas. E os reguladores precisam estar atentos a isso para que o peso regulatório em atividades de baixo risco não seja desproporcionalmente elevado para soluções sem impacto relevante nas atividades de alto risco.

Infelizmente, não é o que tem sido observado na prática dos reguladores.


3. Cookies: uma análise na perspectiva da evolução regulatória

Os cookies ganharam especial atenção no contexto regulatório internacional com a ePrivacy Directive (2002/58/EC) europeia doravante denominada ePD. Com o objetivo de ampliar a proteção de dados em comunicações eletrônicas, a ePD trouxe diversas regras, como as relacionadas às mensagens de marketing não solicitadas por e-mail ou SMS, mas seu maior impacto foi na regulação dos cookies, a ponto de ser apelidada de Cookie Law.

A ePD declara no Considerando 25 que cookies são uma ferramenta legítima. Entretanto, usuários devem receber informações claras e precisas em conformidade com a Diretiva 95/46/EC (que foi sucedida pelo RGPD) acerca dos propósitos dos cookies. Além disso, usuários devem ter a oportunidade de recusar ter um cookie armazenado em seu equipamento. A informação e o direito de recusa podem ser oferecidos uma vez para uso de vários cookies durante a mesma conexão e em conexões subsequentes, e o método de solicitação de consentimento deve ser o mais amigável possível.

Em sua redação original, o Artigo 5º(3) da ePD, em linha com o Considerando 25, impunha a necessidade de informação ao usuário de forma clara e compreensiva acerca dos cookies, devendo ser oferecido ao usuário o direito de recusa. A redação original, portanto, isoladamente considerada, admitia um regime de opt-out.

O Artigo 5º(3) da ePD também indicava expressamente que a regra não impedia o armazenamento técnico ou acesso que tivesse como finalidade exclusiva efetuar ou facilitar a transmissão de uma comunicação através de uma rede de comunicações eletrônicas, ou que fosse estritamente necessário para fornecer um serviço no âmbito da sociedade de informação que tenha sido explicitamente solicitado pelo assinante ou pelo utilizador.

Em 2009, a ePD foi alterada pela Diretiva 2009/136/EC. A nova redação do Artigo 5º(3) tornou expressa a necessidade de consentimento para quaisquer cookies que não sejam os estritamente necessários. A alteração na ePD, entretanto, ocorreu em meio a divergências. Treze Estados-membros Alemanha, Áustria, Bélgica, Eslováquia, Espanha, Estônia, Finlândia, Irlanda, Letônia, Malta, Polônia, Reino Unido e Romênia se manifestaram formalmente indicando sua posição de que a alteração do Artigo 5º(3) não objetivava alterar o requisito então vigente de que o consentimento seria exercido como um direito de recusa ao uso de cookies (legitimando o regime de opt-out), amparando-se no Considerando 66 da Diretiva 2009/136/EC, que, com base na redação original da ePD, fazia referência ao direito de recusa.

Apesar das expressas divergências entre os Estados-membros, o fato é que a nova redação da ePD gerou uma nova onda de ajustes para que os sites adotassem o regime de opt-in com o consentimento manifestado antes da gravação dos cookies e não mais de opt-out como muitas vezes adotado em função da redação original da ePD e ainda admitido por diversos Estados-membros. Em todos os casos foi mantida, entretanto, a exceção aos cookies estritamente necessários, que possuem autorização legal direta.

Vê-se, portanto, que a distinção binária entre cookies estritamente necessários e demais cookies para efeitos de exigência de consentimento não decorre da Diretiva de Proteção de Dados Pessoais (95/46/CE) vigente quando da publicação da ePD e nem do superveniente Regulamento Geral sobre a Proteção de Dados 2016/679 (RGPD). A distinção binária que exige consentimento para todos os cookies que não sejam estritamente necessários decorre diretamente da ePD, norma que não possui qualquer correspondente no ordenamento jurídico brasileiro.

Foi a adequação dos sites à ePD e não às normas gerais de proteção de dados que gerou a profusão dos denominados banners de cookies. E a conjugação das exigências da ePD quanto à exigência de consentimento para cookies, as exigências das normas de proteção de dados pessoais notadamente a Diretiva 95/46/EC, e, posteriormente, o RGPD acerca dos requisitos para a coleta e gestão de consentimento, e o alcance da expressão estritamente necessários para o acionamento da excludente geraram inúmeras dificuldades regulatórias e tratamento heterogêneo dentre as autoridades de proteção de dados europeias que, até hoje, não estão superados.

Ainda em 2012, o Grupo de Trabalho sobre a Proteção de Dados do Artigo 29 (sucedido pelo Comitê Europeu para a Proteção de Dados CEPD) expediu o Parecer 4/2012 sobre a isenção de consentimento para a utilização de cookies[8], em tentativa de esclarecer, dentre outros pontos obscuros, quais seriam os cenários de cookies estritamente necessários para fins de dispensa de consentimento.

O Parecer 4/2012 registrou uma curiosa interpretação para os cookies de estatísticas (analytics): por um lado, afirmou expressamente que cookies de estatísticas não são estritamente necessários já que, se forem desativados, não há qualquer comprometimento das funcionalidades para os usuários de modo que, pela ePD, dependeriam de consentimento. Por outro lado, afirma expressamente que os cookies próprios de estatísticas não são suscetíveis de criar um risco para a privacidade sempre que se limitem estritamente a fins próprios de estatísticas agregadas e quando são utilizados por sites que já fornecem informações claras sobre os cookies em seus avisos de privacidade, bem como garantias adequadas de proteção da privacidade. E foi além: o Parecer 4/2012 afirma expressamente que caso o artigo 5º(3) da ePD venha a ser revisto no futuro, o legislador europeu poderia aditar justamente um terceiro critério de isenção do consentimento para os testemunhos [cookies] que tenham por finalidade estrita obter estatísticas agregadas e anónimas de origem (Parecer 4/2012, item 4.3, 4º parágrafo).

Ao fim, o Parecer 4/2012 propôs a dispensa de consentimento para cookies das seguintes naturezas: 1) cookies alimentados pelo usuário (session-id), pela duração da sessão ou cookies persistentes limitados a algumas horas em determinados casos; 2) Cookies de autenticação, usados para serviços autenticados, pela duração da sessão; 3) Cookies de segurança centrados no usuário, usados para detectar abusos de autenticação, e por uma duração persistente limitada; 4) Cookies de sessão de players de conteúdo multimídia, como cookies do flash player, pela duração da sessão; 5) Cookies de sessão de balanceamento de carga, pela duração da sessão. 6) Cookies persistentes de customização da interface do usuário, pela duração da sessão (ou um pouco mais). 7) Cookies de terceiros para compartilhamento de conteúdo para membros logados em uma rede social.

Conforme se observa, embora o Parecer 4/2012 tenha reconhecido o problema relacionado aos cookies de estatísticas, foi mantida a exigência de consentimento por força do teor literal da ePD. O que se observava, entretanto, era a profusão de banners que davam transparência à presença de cookies, mas cujo consentimento era manifestado pela navegação continuada. Entretanto, diversos cookies de aplicação técnica, ainda que não fossem necessários na perspectiva do titular de dados como os cookies de players multimidia ou os cookies de balanceamento de carga foram incluídos pelo regulador em uma lista mais abrangente de cookies estritamente necessários para fins de dispensa do consentimento.

Em 2013, foi expedido o Documento de Trabalho 02/2013 pelo Grupo de Trabalho sobre a Proteção de Dados do Artigo 29, provendo orientação na obtenção de consentimento para cookies. O documento reconhece, expressamente, (i) que as implementações práticas para os requisitos legais de obtenção de consentimento para cookies variavam de acordo com o Estado-membro; e que (ii) diferentes noções de consentimento existem nos diferentes Estados-membros[9].

De forma a gerar uma orientação que assegurasse conformidade em todos os Estados-membros, o Documento de Trabalho 02/2013 estabeleceu que o consentimento deveria ser obtido mediante comportamento ativo do usuário, divergindo da posição dos treze Estados-membros que sustentavam a possibilidade do regime de opt-out e que ferramentas para a obtenção de consentimento poderiam incluir splash screens (telas de abertura de aplicativos), banners, caixas de diálogo modais, configurações de navegadores etc.

Quanto às configurações de navegadores, o documento registra que o Considerando 66 da Diretiva 2009/136/CE (que alterara o ePD em 2009) já estabelecia essa previsão. De fato, a parte final do referido Considerando dispõe que:

Sempre que tecnicamente possível e eficaz, e em conformidade com as disposições aplicáveis da Diretiva 95/46/CE, o consentimento do utilizador relativamente ao tratamento de dados pode ser manifestado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação. O cumprimento destes requisitos deverá ser tornado mais eficaz através do reforço dos poderes concedidos às autoridades nacionais competentes.

Com o advento do RGPD, o consentimento da ePD foi novamente atrelado ao consentimento para os tratamentos de dados pessoais em geral. Essa matéria foi objeto do Parecer 5/2019 do CEPD sobre a interação entre a ePD e o RGPD, particularmente em matéria de competência, atribuições e poderes das autoridades de proteção de dados[10].

O Parecer 5/2019 concluiu que existem vários exemplos de atividades de tratamento que acionam o âmbito de aplicação material da ePD e do RGPD conjuntamente, e [U]m exemplo evidente é a utilização de cookies (Parecer 5/2019, item 29). Um dos efeitos práticos era a exigência de que o consentimento para cookies previsto na ePD cumprisse os requisitos do RGPD.

A matéria também foi submetida ao Tribunal de Justiça da União Europeia, que, em 2019, ao avaliar a interação entre a ePD e o RGPD, trouxe duas conclusões relevantes para este estudo. A primeira é que a exigência de consentimento para cookies da ePD se aplica mesmo que os cookies não contenham dados pessoais. Ou seja, a regra da ePD possui incidência independente. A segunda é que o consentimento a que essas disposições se referem não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento do usuário de um site, por intermédio de cookies, são autorizados mediante uma opção pré-validada que esse utilizador deve desmarcar para recusar o seu consentimento[11]. Ou seja: foi reafirmada a ideia de que o consentimento para cookies depende de uma ação expressa afirmativa, com a negativa sendo o padrão.

A maior parte do peso regulatório do tratamento dado aos cookies emana da conjunção da obrigatoriedade de consentimento da ePD que, reitere-se, incide ainda que o cookie não contenha dados pessoais com a obrigatoriedade de ação expressa afirmativa para a manifestação desse consentimento, dadas as restrições tecnológicas.

Entretanto, ficou claro, a partir das manifestações dos reguladores e tribunais europeus, que o relevante é a ação expressa afirmativa, e o uso de banners é apenas uma dentre diversas formas aceitáveis de se obter essa ação expressa afirmativa.

Com a predominância do uso prático dos banners, e com a posição binária da ePD que impunha o consentimento para quaisquer cookies que não fossem estritamente necessários, requerendo ação expressa afirmativa, uma série de consequências práticas foram observadas no plano econômico e regulatório.

Assuntos relacionados
Sobre o autor
Rodrigo da Silva Ferreira

Advogado e DPO na Casa da Moeda do Brasil. Sócio e professor na DecisionLab. Especialista em gestão pública e mestre em administração pública pela FGV/EBAPE, com formação executiva em gestão estratégica de órgãos regulatórios e de enforcement pela Harvard Kennedy School.

Como citar este texto (NBR 6023:2018 ABNT)

FERREIRA, Rodrigo da Silva . LGPD e cookies: fundamentos técnicos e regulatórios para uma abordagem coerente no Brasil. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 27 , n. 6926, 18 jun. 2022 . Disponível em: https://jus.com.br/artigos/98459. Acesso em: 30 jun. 2022.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!