Skip to main content

Política de Cookies: O Que É e O Que Deve Conter

Uma política de cookies é um documento que explica aos visitantes do seu site quais os cookies e tecnologias de rastreio semelhantes que o seu site utiliza, por que motivo os utiliza e como os utilizadores os podem controlar. Trata-se de uma exigência legal ao abrigo tanto da Diretiva ePrivacy como do GDPR, sendo um pilar do tratamento de dados transparente.

Este guia aborda o que é uma política de cookies, em que difere de uma política de privacidade, o que deve conter à luz da regulamentação atual e como mantê-la rigorosa ao longo do tempo.

O Que É uma Política de Cookies?

Uma política de cookies é um documento específico — uma página autónoma ou uma secção claramente identificável dentro da sua política de privacidade — que fornece informação exaustiva sobre a utilização de cookies e tecnologias semelhantes (armazenamento local, armazenamento de sessão, etiquetas de píxel, web beacons, fingerprinting e afins) por parte do seu site.

A base legal que exige uma política de cookies decorre de dois regulamentos que se cruzam:

  • Diretiva ePrivacy (2002/58/CE), Artigo 5.º, n.º 3 — exige que sejam fornecidas aos utilizadores «informações claras e completas» sobre as finalidades dos cookies antes de obter o consentimento.
  • GDPR, Artigos 12.º a 14.º — exigem transparência quanto ao tratamento de dados, incluindo que dados são recolhidos, com que finalidades, com quem são partilhados e durante quanto tempo são conservados.

Em conjunto, estes regulamentos obrigam-no a informar os utilizadores exatamente sobre quais as tecnologias de rastreio que utiliza e a dar-lhes um controlo efetivo sobre essas tecnologias.

Política de Cookies vs Política de Privacidade

Uma política de cookies e uma política de privacidade são documentos complementares mas distintos. Compreender a diferença é importante:

Aspeto Política de Cookies Política de Privacidade
Âmbito Especificamente cookies e tecnologias de rastreio Todo o tratamento de dados pessoais (formulários, contas, compras, etc.)
Base legal Diretiva ePrivacy + requisitos de transparência do GDPR Artigos 12.º a 14.º do GDPR
Foco do conteúdo Nomes, finalidades, durações, tipos e categorias de cookies, mecanismos de controlo Categorias de dados, bases legais, direitos, transferências, EPD, conservação
Formato Página autónoma ou secção dentro da política de privacidade Página autónoma (obrigatória)
Frequência de atualização Sempre que os cookies mudam (adição/remoção de ferramentas, fornecedores) Sempre que as práticas de tratamento de dados mudam

Pode incluir a sua política de cookies como uma secção dentro da política de privacidade, mas esta deve ser claramente identificável e de fácil acesso. Muitas organizações mantêm uma página de política de cookies separada, por questões de clareza e porque a informação sobre cookies pode ser bastante detalhada.

O seu banner de cookies deve remeter para a sua política de cookies. Se a informação sobre cookies for uma secção dentro da política de privacidade, a ligação deve encaminhar diretamente para essa secção — não force os utilizadores a percorrer páginas de informação de privacidade não relacionada para encontrar os detalhes sobre cookies.

Exigência Legal de uma Política de Cookies

A Diretiva ePrivacy exige «informações claras e completas» como condição prévia para um consentimento válido. O princípio da transparência do GDPR (Artigo 5.º, n.º 1, alínea a)) e os requisitos de informação (Artigos 13.º e 14.º) exigem ainda que essa informação seja:

  • Concisa, transparente e inteligível (Artigo 12.º, n.º 1)
  • Fornecida em linguagem clara e simples (Artigo 12.º, n.º 1)
  • Facilmente acessível (Artigo 12.º, n.º 1)
  • Fornecida a título gratuito (Artigo 12.º, n.º 5)

Em termos práticos: a sua política de cookies deve ser redigida numa linguagem que uma pessoa sem conhecimentos técnicos consiga compreender, deve estar ligada a partir do seu banner de cookies e do rodapé do site, e deve conter informação específica sobre cada cookie que o seu site utiliza.

O Que Deve Conter uma Política de Cookies

Com base nos requisitos combinados da Diretiva ePrivacy, do GDPR e das orientações das autoridades de proteção de dados, incluindo a ICO (Reino Unido), a CNIL (França) e o Grupo de Trabalho do Artigo 29.º, a sua política de cookies deve incluir a seguinte informação:

1. Que Cookies Utiliza

Forneça uma lista completa de todos os cookies e tecnologias semelhantes ativos no seu site. Isto inclui os cookies definidos pelo seu próprio código (primária) bem como os cookies definidos por serviços de terceiros que utiliza (plataformas de análise, redes publicitárias, widgets de redes sociais, conteúdos incorporados, chatbots, etc.).

Cada cookie deve ser identificado pelo nome. «Utilizamos cookies de análise» não é suficiente — deve listar os cookies específicos: _ga, _gid, _gat para o Google Analytics, por exemplo.

2. Finalidade de Cada Cookie

Para cada cookie ou grupo de cookies relacionados, explique o que faz em linguagem simples. Evite jargão técnico. Descrições de finalidade eficazes:

  • «Guarda as suas preferências de consentimento de cookies para não termos de perguntar de novo em cada visita.»
  • «Ajuda-nos a contar quantas pessoas visitam o nosso site e quais as páginas mais populares.»
  • «Permite-nos mostrar-lhe anúncios relevantes para os seus interesses noutros sites.»

3. Cookies Primários vs Cookies de Terceiros

Indique se cada cookie é definido diretamente pelo seu site (primário) ou por um serviço externo (terceiro). Para os cookies de terceiros, identifique o fornecedor e crie uma ligação para a respetiva política de privacidade. Os utilizadores têm o direito de saber não apenas que os seus dados estão a ser recolhidos, mas por quem.

4. Duração / Validade

Indique durante quanto tempo cada cookie persiste. Existem dois tipos:

  • Cookies de sessão — eliminados quando o utilizador fecha o navegador. Indique-o claramente: «Sessão (eliminado quando fecha o navegador).»
  • Cookies persistentes — permanecem no dispositivo do utilizador durante um período determinado. Indique a duração específica: «2 anos», «30 dias», «13 meses». Não utilize termos vagos como «longo prazo».

As autoridades de proteção de dados têm analisado atentamente as durações dos cookies. A CNIL, por exemplo, recomenda que os cookies de consentimento (os cookies que guardam a escolha de consentimento do utilizador) não devem exceder os 13 meses.

5. Como Gerir e Eliminar Cookies

Explique como os utilizadores podem controlar os cookies através de dois mecanismos:

  • O seu banner de consentimento. Explique que os utilizadores podem alterar as suas preferências de cookies em qualquer momento através das definições de cookies (indique a localização da ligação/ícone das definições).
  • Definições do navegador. Forneça instruções gerais para gerir cookies nos navegadores mais comuns (Chrome, Firefox, Safari, Edge). Não precisa de dar instruções passo a passo, mas deve explicar que existem definições no navegador e criar ligações para as páginas de apoio relevantes de cada navegador.

6. Como Retirar o Consentimento

O Artigo 7.º, n.º 3, do GDPR exige que retirar o consentimento seja tão fácil como dá-lo, e que os utilizadores sejam informados deste direito antes de darem o consentimento. A sua política de cookies deve explicar:

  • Que o utilizador tem o direito de retirar o consentimento em qualquer momento.
  • Como fazê-lo (normalmente: clicar no ícone/ligação das definições de cookies visível em todas as páginas, ou limpar os cookies através das definições do navegador).
  • Que a retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento antes da sua retirada.

7. Categorias de Cookies

Organize os cookies nas categorias padrão utilizadas pelo seu banner de consentimento. A categorização mais amplamente adotada é:

  • Estritamente Necessários — cookies exigidos para o funcionamento do site (sessões de início de sessão, carrinhos de compras, tokens de segurança). Não requerem consentimento ao abrigo da Diretiva ePrivacy.
  • Preferências / Funcionais — cookies que recordam as escolhas do utilizador (idioma, região, definições de visualização). Melhoram a experiência mas não são essenciais.
  • Análise / Estatísticas — cookies utilizados para recolher dados de utilização anónimos (visualizações de páginas, fontes de tráfego, padrões de comportamento dos utilizadores).
  • Marketing / Publicidade — cookies utilizados para publicidade direcionada, retargeting e medição de anúncios.

As categorias da sua política de cookies devem corresponder às categorias do seu banner de consentimento. A inconsistência entre os dois documentos prejudica a transparência.

8. Informações de Contacto

Forneça os dados de contacto para questões relativas às suas práticas de cookies. Normalmente, isto inclui:

  • A identidade do responsável pelo tratamento (o nome da sua empresa e a morada registada)
  • Endereço de e-mail para questões de privacidade
  • Dados de contacto do Encarregado da Proteção de Dados (EPD), caso tenha nomeado um
  • A sua autoridade de controlo (a autoridade de proteção de dados competente)

Onde Apresentar a Sua Política de Cookies

A sua política de cookies deve ser facilmente acessível a partir de vários locais:

  • Rodapé do site. Uma ligação «Política de Cookies» no rodapé, visível em todas as páginas. É o local padrão que os utilizadores esperam encontrar.
  • Banner de cookies. Uma ligação direta do banner de cookies para a política de cookies completa. Trata-se de uma exigência legal — os utilizadores devem poder aceder a informação detalhada a partir da interface de consentimento.
  • Painel de definições/preferências de cookies. A segunda camada da sua interface de consentimento deve remeter para a política de cookies para os utilizadores que pretendam mais informação.
  • Política de privacidade. Se a sua política de cookies for um documento separado, faça uma remissão para ela a partir da política de privacidade e vice-versa.

Apresentar a Informação sobre Cookies

O formato mais eficaz e transparente para apresentar cookies individuais é uma tabela. As autoridades de proteção de dados, incluindo a ICO, recomendam este formato:

Nome do Cookie Fornecedor Finalidade Tipo Duração
_ga Google Analytics Distingue visitantes únicos atribuindo um número gerado aleatoriamente Terceiros, análise 2 anos
_gid Google Analytics Distingue visitantes únicos no dia atual Terceiros, análise 24 horas
cookie_consent Este site Guarda as suas preferências de consentimento de cookies Primário, necessário 12 meses

Este formato é claro, de fácil leitura e fornece toda a informação exigida num relance.

Com Que Frequência Atualizar

A sua política de cookies deve estar sempre rigorosa. Atualize-a sempre que:

  • Acrescentar um novo serviço de terceiros que defina cookies (uma nova ferramenta de análise, uma nova plataforma de marketing, um novo chatbot).
  • Remover um serviço que anteriormente definia cookies.
  • Um serviço de terceiros alterar os seus cookies (novos nomes, novas durações, novas finalidades).
  • Alterar as categorias no seu banner de consentimento.
  • As orientações regulamentares mudarem (novos requisitos, novas boas práticas).

Inclua uma data de «Última atualização» no topo ou no fundo da sua política de cookies. Isto demonstra que a política é mantida ativamente e ajuda os utilizadores a avaliar a sua atualidade.

O desafio, naturalmente, é saber quando os seus cookies mudam. Os serviços de terceiros atualizam o seu rastreio com frequência, e um cookie que existia há três meses pode ter sido substituído ou renomeado. As auditorias manuais são pouco fiáveis porque dependem de alguém se lembrar de verificar.

Manter a Sua Política Rigorosa com Análise Automatizada

A falha de conformidade mais comum nas políticas de cookies não é a ausência de informação — é a informação incorreta. Uma política que lista cookies que já não utiliza, ou que não menciona cookies adicionados por uma integração recente de uma ferramenta de marketing, não está em conformidade.

A análise automatizada de cookies resolve este problema. Um scanner visita o seu site a intervalos regulares, identifica todos os cookies que estão a ser definidos, compara-os com os cookies que declarou e alerta-o para eventuais discrepâncias.

O Passiro analisa automaticamente o seu site em busca de cookies, categoriza-os e destaca quaisquer cookies não declarados que ainda não constem da sua política. Isto significa que a sua política de cookies se mantém rigorosa sem necessidade de auditorias manuais. Saiba mais sobre a análise automatizada de cookies do Passiro.

Nesta secção

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente