Skip to main content

Regulamentação de Cookies e Privacidade: Uma Visão Global

A conformidade em matéria de cookies não é regida por uma única lei. É moldada por um mosaico de regulamentos nacionais e regionais que variam significativamente no seu âmbito, requisitos e aplicação. Para qualquer site com um público internacional — o que, na internet aberta, corresponde a quase todos os sites — é essencial compreender que leis se aplicam e em que aspetos diferem.

Este guia mapeia o panorama regulamentar global relativo a cookies e ao rastreio online, desde o modelo europeu assente no consentimento até à abordagem norte-americana de notificação e escolha, passando pelos enquadramentos emergentes noutras regiões.

O Mosaico Global

Não existe uma única "lei dos cookies". A conformidade em matéria de cookies situa-se antes na intersecção entre regulamentos de privacidade, diretivas sobre comunicações eletrónicas e legislação de proteção do consumidor. O resultado é um panorama complexo, por vezes contraditório, em que o mesmo site pode estar sujeito a regras diferentes consoante a localização dos seus visitantes.

Surgiram dois grandes modelos:

  • O modelo europeu (consentimento em primeiro lugar): Os cookies não essenciais só podem ser colocados depois de o utilizador ter dado um consentimento informado, específico e livremente concedido. Por defeito, não há rastreio. O utilizador tem de dar o seu acordo.
  • O modelo norte-americano (notificação e escolha): As empresas têm de divulgar as suas práticas de recolha de dados e dar aos utilizadores a possibilidade de recusarem determinadas utilizações (em especial a venda ou partilha de informações pessoais). Por defeito, existe rastreio, podendo o utilizador optar por recusá-lo.

A maioria dos novos regulamentos de privacidade em todo o mundo tende a convergir para o modelo europeu, embora com variações locais. Compreender ambos os modelos — e as leis específicas de cada um — é indispensável para qualquer site que opere além-fronteiras.

O Enquadramento da UE: Diretiva ePrivacy + RGPD

A abordagem da União Europeia à regulamentação dos cookies assenta em dois instrumentos jurídicos que funcionam em conjunto:

A Diretiva ePrivacy (2002/58/CE)

A Diretiva ePrivacy — muitas vezes designada "Diretiva Cookies" — é a principal lei da UE que regula a utilização de cookies e tecnologias de rastreio semelhantes. A sua disposição fundamental, o Artigo 5.º, n.º 3, estabelece:

Os Estados-Membros garantirão que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos na condição de que o assinante ou utilizador em causa tenha dado o seu consentimento, com base em informações claras e completas.

A única exceção diz respeito aos cookies "estritamente necessários" para a prestação de um serviço explicitamente solicitado pelo utilizador — por exemplo, cookies de sessão para um carrinho de compras ou para manter a sessão iniciada.

Importante: a Diretiva ePrivacy é uma diretiva, e não um regulamento. Isto significa que cada Estado-Membro da UE a transpôs para o direito nacional com variações locais. O princípio central (consentimento obrigatório para cookies não essenciais) é coerente, mas os pormenores de aplicação diferem. Por exemplo:

  • França (CNIL): Publicou orientações detalhadas sobre cookies, incluindo uma isenção limitada para determinadas ferramentas de medição de audiências que cumpram condições rigorosas (anonimização, ausência de rastreio entre sites, retenção limitada).
  • Alemanha: Aplicada através da TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), que entrou em vigor em dezembro de 2021 e consagrou explicitamente a exigência de consentimento.
  • Itália (Garante): Publicou orientações detalhadas sobre cookies em 2021, exigindo um botão de recusa na primeira camada e proibindo as barreiras de cookies (cookie walls).
  • Países Baixos (AP): Adotou uma posição algo mais permissiva quanto às barreiras de cookies, sugerindo que podem ser aceitáveis se o utilizador dispuser de uma forma alternativa genuína de aceder ao conteúdo.

O RGPD (Regulamento (UE) 2016/679)

O Regulamento Geral sobre a Proteção de Dados não menciona especificamente os cookies, mas regula o tratamento de dados pessoais — e os cookies envolvem frequentemente dados pessoais. O RGPD é relevante para a conformidade em matéria de cookies em vários aspetos:

  • Padrão de consentimento (Artigo 4.º, n.º 11, e Artigo 7.º): O RGPD define o que constitui um consentimento válido: livremente concedido, específico, informado, inequívoco e dado através de um ato positivo claro. Este padrão aplica-se ao consentimento para cookies obtido ao abrigo da Diretiva ePrivacy.
  • Transparência (Artigos 12.º a 14.º): Quando os cookies tratam dados pessoais, aplicam-se os requisitos de transparência do RGPD. Isto significa que a sua política de cookies deve fornecer informações específicas sobre o tratamento de dados envolvido.
  • Fundamento jurídico (Artigo 6.º): O tratamento de dados pessoais através de cookies exige um fundamento jurídico. Para os cookies não essenciais, esse fundamento é o consentimento. Alguns responsáveis pelo tratamento tentam invocar o interesse legítimo (Artigo 6.º, n.º 1, alínea f)), mas as autoridades de proteção de dados têm rejeitado cada vez mais o interesse legítimo como fundamento para o rastreio publicitário e analítico.
  • Direitos dos titulares dos dados (Artigos 15.º a 22.º): Os utilizadores têm direitos de acesso, retificação, apagamento e portabilidade dos seus dados — incluindo os dados recolhidos através de cookies.
  • Alcance extraterritorial (Artigo 3.º): O RGPD aplica-se a qualquer organização que trate dados pessoais de pessoas que se encontrem na UE, independentemente do local onde a organização esteja estabelecida. Uma empresa norte-americana que se dirija a clientes da UE tem de o cumprir.

O Futuro Regulamento ePrivacy

A Comissão Europeia propôs, em 2017, um Regulamento ePrivacy destinado a substituir a Diretiva ePrivacy, harmonizar as regras entre os Estados-Membros e atualizá-las face às tecnologias modernas. No início de 2026, o regulamento ainda não estava finalizado. As negociações prolongaram-se, com divergências em torno das exceções de interesse legítimo, das disposições sobre barreiras de cookies e dos mecanismos de consentimento ao nível do navegador.

Quando for finalmente adotado, o Regulamento ePrivacy aplicar-se-á diretamente em todos os Estados-Membros (ao contrário da atual diretiva, que exige transposição nacional). Até lá, a Diretiva ePrivacy existente e as respetivas transposições nacionais mantêm-se como a lei em vigor.

O Enquadramento dos EUA: Leis de Privacidade Estaduais

Os Estados Unidos não dispõem de uma lei federal sobre cookies nem de uma lei federal abrangente de privacidade (no início de 2026). Em vez disso, a regulamentação da privacidade surgiu a nível estadual, criando um mosaico de requisitos.

Califórnia: CCPA e CPRA

A California Consumer Privacy Act (CCPA), alterada pela California Privacy Rights Act (CPRA), é a lei estadual de privacidade mais abrangente dos EUA. Disposições fundamentais relevantes para os cookies:

  • Direito de recusar a venda/partilha. Os consumidores têm o direito de recusar a "venda" ou "partilha" das suas informações pessoais. Ao abrigo da CPRA, a "partilha" inclui a partilha de dados com terceiros para publicidade comportamental entre contextos — precisamente aquilo que a maioria dos cookies publicitários faz.
  • Sem exigência de consentimento prévio. Ao contrário do modelo europeu, a CCPA/CPRA não exige consentimento prévio para cookies. Por defeito, o rastreio é permitido, cabendo aos utilizadores recusá-lo ativamente.
  • Link "Do Not Sell or Share". As empresas têm de disponibilizar no seu site um link bem visível "Do Not Sell or Share My Personal Information".
  • Global Privacy Control (GPC). As empresas têm de respeitar o sinal GPC do navegador como um pedido válido de recusa. Se o navegador de um utilizador enviar um sinal GPC, a empresa tem de tratá-lo como se o utilizador tivesse clicado em "Do Not Sell or Share".
  • Aviso no momento da recolha. As empresas têm de divulgar, no momento da recolha ou antes dele, as categorias de informações pessoais recolhidas e as finalidades a que se destinam.

Outras Leis Estaduais dos EUA

Seguindo o exemplo da Califórnia, numerosos estados dos EUA promulgaram leis de privacidade abrangentes. No início de 2026, os estados com leis de privacidade em vigor incluem:

Estado Lei Data de Entrada em Vigor Características Relevantes para Cookies
Virgínia VCDPA Janeiro de 2023 Recusa de publicidade direcionada e da venda de dados
Colorado CPA Julho de 2023 Recusa de publicidade direcionada e da venda de dados; obrigatoriedade de respeitar sinais universais de recusa
Connecticut CTDPA Julho de 2023 Recusa de publicidade direcionada e da venda de dados; obrigatoriedade de respeitar sinais universais de recusa
Utah UCPA Dezembro de 2023 Recusa de publicidade direcionada e da venda de dados
Texas TDPSA Julho de 2024 Recusa de publicidade direcionada e da venda de dados; obrigatoriedade de respeitar sinais universais de recusa
Oregon OCPA Julho de 2024 Recusa de publicidade direcionada e da venda de dados; obrigatoriedade de respeitar sinais universais de recusa
Montana MCDPA Outubro de 2024 Recusa de publicidade direcionada e da venda de dados; obrigatoriedade de respeitar sinais universais de recusa

Outros estados promulgaram leis com datas de entrada em vigor em 2025 e 2026. A tendência é clara: a regulamentação da privacidade a nível estadual está a expandir-se, e a maioria das novas leis inclui direitos de recusa da publicidade direcionada que afetam diretamente as práticas relativas a cookies.

Outros Regulamentos de Relevo

Reino Unido: UK GDPR e PECR

Após o Brexit, o Reino Unido manteve o RGPD sob a designação "UK GDPR" e continua a aplicar as Privacy and Electronic Communications Regulations (PECR), que transpõem a Diretiva ePrivacy. Os requisitos para os cookies são essencialmente idênticos aos da UE: é exigido consentimento prévio para cookies não essenciais, com uma exceção restrita para os cookies estritamente necessários. O Information Commissioner's Office (ICO) aplica estas regras e publicou orientações pormenorizadas sobre cookies.

Brasil: LGPD

A Lei Geral de Proteção de Dados (LGPD) do Brasil, em vigor desde 2020, é fortemente inspirada no RGPD. Exige um fundamento jurídico para o tratamento de dados pessoais, incluindo os dados recolhidos através de cookies. Embora a LGPD não tenha um equivalente direto à disposição específica sobre cookies da Diretiva ePrivacy, é necessário estabelecer o consentimento ou o interesse legítimo para o tratamento de dados com base em cookies. A ANPD (autoridade nacional de proteção de dados) tem vindo a publicar gradualmente orientações sobre cookies e consentimento.

Canadá: PIPEDA e Projeto de Lei C-27

A Personal Information Protection and Electronic Documents Act (PIPEDA) do Canadá exige um "consentimento significativo" para a recolha, utilização e divulgação de informações pessoais. No caso dos cookies que recolhem informações pessoais, as organizações têm de obter consentimento e prestar informações claras sobre as suas práticas. O Projeto de Lei C-27, a proposta de Consumer Privacy Protection Act, modernizaria o enquadramento canadiano com requisitos de consentimento mais rigorosos, mas a sua aprovação tem sido adiada.

Japão: APPI

A Act on the Protection of Personal Information (APPI) do Japão, alterada em 2022, introduziu o conceito de "informação suscetível de referência pessoal", que pode incluir identificadores de cookies em determinados contextos. Quando os dados de cookies são combinados com outras informações para identificar uma pessoa, aplicam-se os requisitos de consentimento.

Coreia do Sul: PIPA

A Personal Information Protection Act (PIPA) da Coreia do Sul, alterada em 2023, exige consentimento para a recolha e utilização de informações pessoais, o que pode incluir dados de cookies quando estes identificam ou permitem identificar uma pessoa.

Tendência de Convergência

Apesar do atual mosaico, uma tendência clara está a emergir: a maioria das novas leis de privacidade segue o modelo europeu de regulamentação assente no consentimento e na capacitação do utilizador. Mesmo as leis estaduais dos EUA, embora tecnicamente baseadas na recusa e não na adesão, estão a evoluir no sentido de requisitos mais rigorosos, com sinais universais de recusa (GPC), princípios de minimização de dados e definições alargadas de "informação pessoal" que abrangem os identificadores de cookies.

Na prática, esta convergência significa que os sites que implementam a conformidade em matéria de cookies ao nível europeu (consentimento prévio, aceitação/recusa claras, categorias granulares, políticas transparentes) estão bem posicionados para cumprir a legislação da maioria das outras jurisdições. O padrão europeu é o denominador comum mais elevado.

Avaliação de Risco: Que Leis se Aplicam ao Seu Site?

A questão fundamental para qualquer operador de site é: que leis se me aplicam? A resposta depende de dois fatores:

  1. Onde está estabelecida a sua organização. Está sujeito às leis de privacidade das jurisdições onde a sua organização tem um estabelecimento (escritório, filial, sucursal).
  2. Onde se encontram os seus utilizadores. Ao abrigo do alcance extraterritorial do RGPD (Artigo 3.º, n.º 2), está sujeito à legislação de privacidade da UE se oferecer bens ou serviços a pessoas na UE, ou se monitorizar o comportamento de pessoas na UE. Existem disposições extraterritoriais semelhantes no UK GDPR, na LGPD do Brasil e noutras leis.

Na prática, se o seu site estiver acessível a utilizadores na UE — e se tiver qualquer tráfego proveniente da UE, o que acontece com praticamente todos os sites — deve cumprir a Diretiva ePrivacy e o RGPD. Se tiver tráfego dos EUA, deve dar resposta à CCPA/CPRA (Califórnia) e a outras leis estaduais aplicáveis.

Uma abordagem pragmática:

  • Implemente o consentimento ao padrão europeu para todos os visitantes da UE/EEE/Reino Unido (consentimento prévio, por adesão, para cookies não essenciais).
  • Implemente mecanismos de recusa para os visitantes dos EUA (link Do Not Sell/Share, suporte a GPC).
  • Aplique por defeito o padrão mais elevado caso a deteção geográfica seja impraticável. O consentimento ao nível europeu satisfaz praticamente todas as jurisdições.

Alcance Extraterritorial

Um dos aspetos mais significativos da regulamentação moderna da privacidade é o seu alcance extraterritorial. O RGPD (Artigo 3.º, n.º 2) aplica-se a organizações fora da UE que:

  • Ofereçam bens ou serviços a pessoas na UE (mesmo que gratuitos — um site acessível na UE que se dirija a utilizadores da UE qualifica-se), ou
  • Monitorizem o comportamento de pessoas na UE (o rastreio analítico e publicitário constitui monitorização).

Isto significa que uma empresa norte-americana que utilize o Google Analytics num site que recebe tráfego da UE está, tecnicamente, sujeita ao RGPD e aos requisitos da Diretiva ePrivacy relativos a cookies. A aplicação da lei contra organizações não pertencentes à UE tem sido historicamente limitada, mas está a aumentar, sobretudo no caso das grandes empresas. O risco prático para organizações mais pequenas depende da visibilidade e do volume de reclamações, mas a obrigação jurídica existe independentemente da dimensão.

Panorama da Aplicação da Lei

A aplicação da conformidade em matéria de cookies intensificou-se drasticamente desde 2020. Tendências principais:

Quem Aplica a Lei

Na UE, as autoridades nacionais de proteção de dados (APD) aplicam tanto a Diretiva ePrivacy como o RGPD. Entre as entidades mais ativas incluem-se a CNIL (França), o Garante (Itália), a Datatilsynet (Dinamarca e Noruega), o BfDI (Alemanha, a nível federal) e a APD (Bélgica). O CEPD coordena a aplicação transfronteiriça.

Nos EUA, o Procurador-Geral da Califórnia e a California Privacy Protection Agency aplicam a CCPA/CPRA. Os procuradores-gerais estaduais aplicam as restantes leis estaduais.

Como Aplicam a Lei

  • Investigações motivadas por reclamações. A maior parte da aplicação da lei tem início numa reclamação de um utilizador junto de uma APD. A reclamação desencadeia uma investigação às práticas do site relativas a cookies.
  • Investigações por varrimento. As APD realizam periodicamente varrimentos setoriais, analisando centenas de sites em busca de conformidade em matéria de cookies. A CNIL, o Garante italiano e a Datatilsynet dinamarquesa realizaram todos varrimentos divulgados publicamente.
  • Reclamações de ONG. Organizações de defesa da privacidade, como a noyb (liderada por Max Schrems), apresentaram reclamações em massa contra centenas de sites, gerando um volume significativo de casos. Só as reclamações da noyb sobre banners de cookies conduziram a dezenas de ações de aplicação da lei em toda a UE.

Sanções

As coimas do RGPD por violações relativas a cookies podem ascender a 20 milhões de euros ou 4% do volume de negócios anual à escala mundial, consoante o que for mais elevado. Na prática, as coimas por violações relativas a cookies têm variado entre advertências (para pequenas organizações com infrações menores) e 150 milhões de euros (Google, CNIL, 2022). A tendência aponta para coimas mais elevadas e uma aplicação mais frequente.

Além das coimas, o incumprimento acarreta risco reputacional, danos à confiança dos consumidores e o custo operacional de correções de emergência ao abrigo de uma ordem regulamentar.

A Passiro ajuda-o a navegar nesta complexidade regulamentar com conformidade automatizada que se adapta às leis aplicáveis aos seus visitantes. Saiba como a Passiro simplifica a conformidade em matéria de cookies em várias jurisdições.

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente