Leis sobre Cookies por País: Um Guia para a UE e o EEE
Embora a Diretiva ePrivacy e o RGPD estabeleçam um enquadramento comum em toda a União Europeia, cada Estado-Membro transpôs a Diretiva ePrivacy para a legislação nacional com as suas próprias particularidades. A intensidade da aplicação da lei, a interpretação das isenções e o valor das coimas variam significativamente de país para país. Este guia aborda as principais especificidades das leis sobre cookies em doze grandes mercados europeus.
Tabela de Referência Rápida
| País | Autoridade | Legislação Nacional | Nível de Aplicação | Aspetos Notáveis |
|---|---|---|---|---|
| Alemanha | APD estaduais + BfDI | TTDSG (2021) | Elevado | Aplicação descentralizada; enquadramento PIMS |
| França | CNIL | Loi Informatique et Libertés | Muito Elevado | Coimas recorde; diretrizes pormenorizadas sobre cookies |
| Itália | Garante | Código da Privacidade (D.Lgs. 196/2003) | Elevado | Diretrizes abrangentes sobre cookies de 2021 |
| Espanha | AEPD | LSSI-CE + LOPDGDD | Moderado | Histórico de debate sobre isenção para analítica |
| Países Baixos | AP | Telecommunicatiewet | Elevado | Proibição rigorosa de barreiras de cookies |
| Bélgica | APD/GBA | Lei ePrivacy (2012) | Moderado | Decisão sobre o IAB Europe TCF |
| Áustria | DSB | TKG 2021 | Moderado-Elevado | Decisões pioneiras sobre o Google Analytics |
| Dinamarca | Datatilsynet | Cookiebekendtgørelsen | Moderado | Aumento da aplicação desde 2022 |
| Suécia | IMY | LEK (2003:389) | Moderado-Elevado | Coimas avultadas em 2023-2024 |
| Irlanda | DPC | SI 336/2011 | Moderado | Polo das grandes tecnológicas; escrutinada pelo ritmo de aplicação |
| Polónia | UODO | Lei das Telecomunicações | Moderado | Atividade de aplicação crescente |
| Noruega | Datatilsynet | Ekomloven | Moderado | Membro do EEE; segue de perto as orientações do CEPD |
Alemanha
Autoridade de aplicação: Comissário Federal para a Proteção de Dados (BfDI) a nível federal, além das 16 Autoridades de Proteção de Dados estaduais (Landesdatenschutzbehörden).
Legislação nacional: A Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), que entrou em vigor a 1 de dezembro de 2021, consolidou as regras alemãs sobre cookies. O artigo 25.º da TTDSG transpõe o artigo 5.º, n.º 3, da Diretiva ePrivacy, exigindo consentimento para o armazenamento ou o acesso a informações nos dispositivos dos utilizadores finais, salvo quando o armazenamento seja estritamente necessário.
Requisitos essenciais: A TTDSG clarificou que o consentimento para cookies deve cumprir o padrão do RGPD. O Tribunal Federal de Justiça da Alemanha (BGH) já o tinha confirmado na aplicação da decisão Planet49 (maio de 2020), sustentando que as caixas pré-assinaladas são insuficientes. A TTDSG introduziu também disposições relativas a Sistemas de Gestão de Informações Pessoais (PIMS) reconhecidos, que permitiriam aos utilizadores gerir centralmente as suas preferências de consentimento em vez de o fazerem em cada website — embora a regulamentação de execução dos PIMS tenha tardado a concretizar-se.
Aplicação: A estrutura descentralizada da Alemanha significa que a aplicação da conformidade em matéria de cookies varia consoante o estado. As APD de Berlim, Hamburgo e Baden-Württemberg têm estado entre as mais ativas. A Conferência das Autoridades de Proteção de Dados (DSK) emite periodicamente posições conjuntas sobre os requisitos de consentimento para cookies.
Ações notáveis: Diversas investigações a banners de cookies que utilizavam padrões manipuladores, em particular designs de "nudging" em que o botão de aceitar era visualmente proeminente enquanto a opção de recusar era desvalorizada. As coimas têm sido geralmente mais baixas do que em França, mas a atividade de aplicação tem aumentado de forma constante desde a entrada em vigor da TTDSG.
França
Autoridade de aplicação: Commission Nationale de l'Informatique et des Libertés (CNIL).
Legislação nacional: Loi Informatique et Libertés (Lei n.º 78-17), alterada para transpor a Diretiva ePrivacy. A CNIL publicou diretrizes abrangentes sobre cookies em setembro de 2020, com um período de tolerância para conformidade que terminou a 31 de março de 2021.
Requisitos essenciais: A França é o mercado da UE mais rigoroso em matéria de conformidade sobre cookies. As diretrizes da CNIL exigem: consentimento antes de qualquer cookie não essencial ser colocado; uma opção de recusar no primeiro nível do banner que seja tão fácil de utilizar como a opção de aceitar; a inexistência de barreiras de cookies (com exceções limitadas confirmadas pelo Conseil d'État); e informação pormenorizada sobre cada finalidade dos cookies.
Isenção para medição de audiência: A CNIL prevê uma isenção limitada para cookies de medição de audiência que cumpram condições rigorosas: a ferramenta tem de estar configurada para produzir apenas dados estatísticos anónimos, os cookies têm de ficar limitados ao site do editor, o tempo de vida do cookie não pode exceder 13 meses e os dados não podem ser combinados com outros tratamentos. Ferramentas como o Matomo (com configuração específica) e o AT Internet foram reconhecidas ao abrigo desta isenção. O Google Analytics não se qualifica.
Coimas notáveis: A França aplicou as maiores coimas relacionadas com cookies na Europa. A Google LLC foi multada em 150 milhões de euros em dezembro de 2021 por tornar a recusa de cookies mais difícil do que a sua aceitação. O Facebook foi multado em 60 milhões de euros na mesma ação. A Microsoft foi multada em 60 milhões de euros em dezembro de 2022. O TikTok foi multado em 5 milhões de euros em dezembro de 2022. A Criteo foi multada em 40 milhões de euros em junho de 2023. No total, a CNIL impôs mais de 400 milhões de euros em coimas específicas sobre cookies.
Itália
Autoridade de aplicação: Garante per la protezione dei dati personali (Garante).
Legislação nacional: Código da Privacidade (Decreto Legislativo 196/2003), alterado para se alinhar com o RGPD. O Garante publicou diretrizes abrangentes sobre cookies a 10 de junho de 2021, com conformidade obrigatória até 10 de janeiro de 2022.
Requisitos essenciais: As diretrizes de 2021 do Garante estão entre as mais pormenorizadas da Europa. Exigem: um banner de primeiro nível com um botão de aceitar e um botão de recusar exibido de forma proeminente (assinalado com um "X" ou "Continuar sem aceitar"); um segundo nível acessível a partir do primeiro banner com controlos granulares por categoria de cookies; que o scroll não constitui explicitamente consentimento; e que o consentimento para cookies tem de ser novamente solicitado no prazo máximo de 6 meses.
Aspetos notáveis: O Garante introduziu o conceito de exigir um botão específico de "fechar" nos banners de cookies, em vez de permitir que a continuação da navegação sirva de recusa. As diretrizes abordaram também a questão da analítica de cookies, exigindo consentimento para toda a analítica de terceiros e permitindo uma isenção limitada apenas para ferramentas de analítica próprias com dados devidamente anonimizados.
Espanha
Autoridade de aplicação: Agencia Española de Protección de Datos (AEPD).
Legislação nacional: Ley de Servicios de la Sociedad de la Información (LSSI-CE) e Ley Orgánica de Protección de Datos (LOPDGDD).
Requisitos essenciais: A Espanha adotou inicialmente uma abordagem mais permissiva em relação à conformidade sobre cookies, tendo o guia de cookies da AEPD de 2013 sugerido que determinados cookies de analítica poderiam ser utilizados ao abrigo do interesse legítimo. No entanto, a AEPD tem-se alinhado progressivamente com o consenso europeu mais rigoroso, na sequência das orientações do CEPD e da decisão Planet49. As orientações atuais da AEPD exigem consentimento prévio para cookies de analítica e de marketing.
Ações notáveis: A AEPD multou a Vueling Airlines em 30 000 euros em 2020 por um banner de cookies que apenas disponibilizava a opção de aceitar, sem qualquer forma de recusar cookies. O CaixaBank foi multado em 6 milhões de euros em 2021, em parte relacionado com práticas de tratamento de dados ligadas ao rastreamento baseado em cookies. Mais recentemente, a AEPD tem-se concentrado nas barreiras de cookies e nos padrões manipuladores nas interfaces de consentimento.
Países Baixos
Autoridade de aplicação: Autoriteit Persoonsgegevens (AP).
Legislação nacional: Telecommunicatiewet (Lei das Telecomunicações), artigo 11.7a.
Requisitos essenciais: Os Países Baixos adotaram uma das posições mais rigorosas da Europa sobre as barreiras de cookies. A AP afirmou claramente que condicionar o acesso a um website à aceitação de cookies não constitui consentimento válido, uma vez que o consentimento não é "dado livremente" se a alternativa for perder o acesso ao serviço. A AP exige também consentimento explícito antes de serem colocados quaisquer cookies de rastreamento e tem sido crítica das plataformas de gestão de consentimento que recorrem a design manipulador.
Ações notáveis: A AP investigou inúmeros websites por falhas de conformidade em matéria de cookies e emitiu orientações especificamente dirigidas aos padrões manipuladores nos banners de cookies. A autoridade participou também em varrimentos coordenados de websites governamentais para verificar a conformidade em matéria de cookies. Em 2024, a AP intensificou a sua atividade de aplicação contra organizações de menor dimensão, sinalizando que as expetativas de conformidade sobre cookies se aplicam independentemente da dimensão da empresa.
Bélgica
Autoridade de aplicação: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Legislação nacional: Lei de 13 de junho de 2005 sobre comunicações eletrónicas, alterada pela Lei de 10 de julho de 2012.
Requisitos essenciais: A Bélgica segue os requisitos-padrão da Diretiva ePrivacy. A APD belga ganhou relevância mundial na regulação de cookies quando se pronunciou sobre o Transparency and Consent Framework (TCF) do IAB Europe, em fevereiro de 2022, concluindo que a string de consentimento do TCF constituía dados pessoais e que o IAB Europe era responsável conjunto pelo tratamento. Esta decisão, parcialmente confirmada pelo TJUE em março de 2024, tem implicações para todos os websites que utilizam o TCF na gestão do consentimento para cookies.
Aspetos notáveis: A decisão sobre o IAB TCF abalou a indústria da publicidade online, uma vez que o TCF é o enquadramento de consentimento mais utilizado para publicidade programática na Europa. Embora o IAB Europe tenha implementado alterações para responder às preocupações da APD, o caso evidenciou os riscos de depender de enquadramentos de consentimento concebidos pela indústria que podem não cumprir plenamente os requisitos do RGPD.
Áustria
Autoridade de aplicação: Datenschutzbehörde (DSB).
Legislação nacional: Telekommunikationsgesetz 2021 (TKG 2021), artigo 165.º.
Requisitos essenciais: As regras da Áustria sobre cookies seguem o enquadramento-padrão da Diretiva ePrivacy. A DSB austríaca ganhou atenção internacional em janeiro de 2022, ao tornar-se a primeira APD europeia a decidir que a utilização do Google Analytics violava o RGPD, especificamente no que respeita às transferências de dados pessoais para os Estados Unidos na sequência da decisão Schrems II. Embora se tratasse essencialmente de uma questão de transferência de dados, teve implicações diretas na conformidade sobre cookies, uma vez que se concluiu que os cookies do Google Analytics constituíam dados pessoais transferidos para um país terceiro sem garantias adequadas.
Aspetos notáveis: A decisão sobre o Google Analytics desencadeou uma cascata de decisões semelhantes por toda a Europa (a França, a Itália e outros países seguiram-lhe o exemplo) e acelerou o desenvolvimento de alternativas de analítica que preservam a privacidade. A DSB tem continuado ativa em matéria de cookies e tecnologias de rastreamento.
Dinamarca
Autoridade de aplicação: Datatilsynet.
Legislação nacional: Cookiebekendtgørelsen (Portaria sobre a Informação e o Consentimento Exigidos para o Armazenamento ou o Acesso a Informações nos Equipamentos Terminais dos Utilizadores Finais), que transpõe as disposições da Diretiva ePrivacy.
Requisitos essenciais: A Dinamarca exige consentimento para todos os cookies, exceto os estritamente necessários a um serviço explicitamente solicitado pelo utilizador. A Datatilsynet emitiu orientações que confirmam que os cookies de analítica exigem consentimento e que a continuação da navegação não constitui consentimento válido. As orientações dinamarquesas têm-se alinhado cada vez mais com as posições mais rigorosas da CNIL e do CEPD.
Ações notáveis: A Datatilsynet intensificou a sua atividade de aplicação em matéria de cookies desde 2022, investigando websites tanto do setor público como do privado. Em 2023, a autoridade proferiu decisões contra vários websites dinamarqueses por mecanismos inadequados de consentimento para cookies, incluindo casos em que a opção de recusar não era suficientemente visível. A Datatilsynet abordou igualmente a utilização do Google Analytics e dos pixels de rastreamento da Meta em websites dinamarqueses, ordenando a várias organizações que cessassem a utilização dessas ferramentas sem o devido consentimento e garantias de transferência de dados.
Suécia
Autoridade de aplicação: Integritetsskyddsmyndigheten (IMY).
Legislação nacional: Lag om elektronisk kommunikation (LEK, 2003:389).
Requisitos essenciais: A Suécia passou de uma aplicação relativamente reduzida em matéria de cookies para uma atuação significativa nos últimos anos. A IMY aplicou as suas primeiras grandes coimas relacionadas com cookies em 2023, visando quatro empresas (incluindo a Tele2, a CDON, o Dagens Industri e a Coop) num total conjunto superior a 100 milhões de coroas suecas (cerca de 9 milhões de euros) por utilizarem o Google Analytics e partilharem dados pessoais com a Google sem consentimento válido nem garantias adequadas de transferência de dados.
Aspetos notáveis: As ações de aplicação de 2023 sinalizaram uma grande mudança na abordagem da Suécia. A IMY articulou-se com outras APD nórdicas e seguiu os precedentes estabelecidos pela DSB austríaca e pela CNIL francesa em relação ao Google Analytics. As coimas estiveram entre as maiores aplicadas por qualquer APD nórdica e demonstraram que a aplicação sueca está agora ao nível das autoridades europeias mais rigorosas.
Irlanda
Autoridade de aplicação: Data Protection Commission (DPC).
Legislação nacional: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Requisitos essenciais: A Irlanda segue o enquadramento-padrão da Diretiva ePrivacy. No entanto, o papel da DPC como autoridade de controlo principal de muitas grandes empresas tecnológicas com sede na Irlanda (incluindo a Meta, a Google, a Apple, a Microsoft e o TikTok) conferiu-lhe uma relevância desproporcionada na proteção de dados europeia. A DPC emitiu orientações sobre a conformidade em matéria de cookies e realizou auditorias a websites tanto do setor público como do privado.
Aspetos notáveis: A DPC tem enfrentado críticas de outras APD europeias e do Parlamento Europeu quanto ao ritmo percecionado da sua aplicação contra as grandes tecnológicas. Ainda assim, a DPC aplicou coimas significativas ao abrigo do RGPD, incluindo uma coima de 1,2 mil milhões de euros à Meta em 2023 por transferências de dados. Especificamente em matéria de cookies, a DPC realizou varrimentos de websites em 2020 e 2021, emitindo recomendações de conformidade a inúmeras organizações. As coimas específicas sobre cookies aplicadas pela DPC têm sido relativamente modestas em comparação com as da CNIL.
Polónia
Autoridade de aplicação: Urząd Ochrony Danych Osobowych (UODO).
Legislação nacional: Lei das Telecomunicações (Prawo telekomunikacyjne), artigo 173.º.
Requisitos essenciais: A Polónia exige consentimento para cookies em conformidade com a Diretiva ePrivacy. A UODO emitiu orientações que confirmam que as caixas pré-assinaladas e a continuação da navegação não constituem consentimento válido. A legislação polaca inclui disposições específicas sobre a informação que deve ser prestada aos utilizadores acerca dos cookies, incluindo as finalidades, a identidade do responsável pelo tratamento e as instruções para gerir as definições de cookies.
Aspetos notáveis: A atividade de aplicação da Polónia em matéria de cookies tem aumentado, investigando a UODO queixas sobre banners de cookies não conformes e trabalhando com o regulador das telecomunicações. A UODO participou em varrimentos de aplicação coordenados a nível da UE e alinhou as suas orientações com as recomendações do CEPD.
Noruega
Autoridade de aplicação: Datatilsynet (Autoridade de Proteção de Dados da Noruega — distinta da autoridade dinamarquesa com o mesmo nome).
Legislação nacional: Ekomloven (Lei das Comunicações Eletrónicas).
Requisitos essenciais: Embora a Noruega não seja um Estado-Membro da UE, é membro do Espaço Económico Europeu (EEE) e incorporou o RGPD e a Diretiva ePrivacy na sua legislação nacional através do Acordo EEE. A Datatilsynet norueguesa segue de perto as orientações do CEPD e tem sido ativa na aplicação em matéria de cookies.
Ações notáveis: A Datatilsynet norueguesa aplicou uma coima de 5 milhões de euros à Grindr em dezembro de 2021 (posteriormente ajustada para 6,5 milhões de euros em sede de recurso) por partilhar dados de utilizadores com parceiros de publicidade sem consentimento válido. Embora se tratasse essencialmente de um caso de consentimento relacionado com a partilha de dados e não especificamente com cookies, estabeleceu precedentes importantes para os requisitos de consentimento em tecnologias de rastreamento. A autoridade também investigou a utilização do Google Analytics e de outras ferramentas de rastreamento em websites noruegueses.
Principais Conclusões
Apesar das variações na implementação e na aplicação nacionais, vários princípios são consistentes em todos os países da UE e do EEE:
- O consentimento é obrigatório antes de colocar qualquer cookie não essencial. Nenhum país europeu aceita um modelo de opt-out puro para cookies.
- O consentimento deve cumprir o padrão do RGPD: dado livremente, específico, informado, inequívoco e demonstrado por uma ação afirmativa clara.
- Recusar deve ser tão fácil como aceitar. Embora a implementação específica possa variar (botão separado, X para fechar, etc.), o princípio de que recusar cookies não deve ser mais difícil do que aceitá-los é universal.
- A aplicação está a aumentar por toda a parte. Países que anteriormente eram permissivos aplicam agora coimas e proferem decisões formais. Não existe qualquer jurisdição europeia "segura" para a não conformidade.
- A aplicação coordenada está a crescer. As APD cooperam cada vez mais através do CEPD e realizam varrimentos coordenados, o que significa que a não conformidade num país tem grande probabilidade de atrair a atenção noutros.
O seu website cumpre as regras de cookies?
Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.
Analise os seus cookies gratuitamente