Checklist de Conformidade de Cookies: 25 Pontos para a Conformidade Total
A conformidade de cookies envolve implementação técnica, documentação jurídica e processos operacionais contínuos. A ausência de um único elemento pode resultar em não conformidade, mesmo que tudo o resto esteja em ordem. Esta checklist estruturada de 25 pontos abrange todos os aspetos da conformidade de cookies ao abrigo do RGPD, da Diretiva ePrivacy e das principais leis internacionais de privacidade. Utilize-a como guia de implementação e como ferramenta de auditoria regular.
Inventário de Cookies
Não é possível gerir aquilo que não se mediu. Um inventário de cookies completo e rigoroso é a base de todas as demais atividades de conformidade.
-
Todos os cookies identificados e documentados
Todos os cookies que o seu website define têm de ser identificados, incluindo os cookies definidos por scripts de terceiros, conteúdos incorporados e recursos carregados dinamicamente. Utilize a análise automatizada para garantir uma cobertura completa em todas as páginas, e não apenas na página inicial. O seu inventário deve incluir cookies HTTP, entradas em localStorage, entradas em sessionStorage e quaisquer outros mecanismos de armazenamento no lado do cliente utilizados para rastreio.
-
Cada cookie categorizado corretamente
Cada cookie tem de ser atribuído à categoria de conformidade correta: estritamente necessário, funcional, análise/desempenho ou marketing/publicidade. A categorização tem de ser honesta — um cookie que rastreia utilizadores para fins publicitários não pode ser categorizado como "funcional" apenas porque também proporciona algum benefício funcional. Em caso de dúvida, aplique a categoria mais rigorosa. As autoridades de proteção de dados analisam a categorização de forma minuciosa, e uma categorização incorreta é uma das constatações mais frequentes em ações de fiscalização.
-
Cookies de terceiros identificados com respetivos fornecedores
Para cada cookie de terceiros no seu site, documente qual o serviço que o define, por que motivo está presente no seu site e que dados recolhe ou partilha. As fontes comuns de cookies de terceiros incluem plataformas de análise (Google Analytics, Adobe Analytics), redes de publicidade (Google Ads, Meta Pixel, LinkedIn Insight Tag), widgets de redes sociais, incorporações de vídeo (YouTube, Vimeo), ferramentas de chat (Intercom, Drift) e plataformas de testes A/B (Optimizely, VWO). Cada fornecedor terceiro deve ter um contrato de subcontratação de tratamento de dados em vigor.
-
Durações dos cookies documentadas
Registe o período de validade de cada cookie. Os cookies de sessão expiram quando o navegador é fechado. Os cookies persistentes têm uma duração definida que tem de ser documentada (por exemplo, 30 dias, 1 ano, 2 anos). Ao abrigo dos princípios de minimização dos dados e limitação da conservação do RGPD, as durações dos cookies devem ser proporcionais à sua finalidade. Um cookie de análise que persista durante 10 anos seria difícil de justificar. A CNIL recomenda um máximo de 13 meses para os cookies de análise.
-
Finalidades dos cookies documentadas em linguagem clara
A finalidade de cada cookie tem de ser descrita numa linguagem que um visitante médio do website consiga compreender. "Este cookie armazena um identificador único para rastrear a sua atividade de navegação em todo o nosso site para fins de análise" é claro. "
_ga: Utilizado pelo Google Analytics para distinguir utilizadores" não é suficiente para a maioria dos utilizadores. A descrição da finalidade deve responder à pergunta: "O que faz este cookie e por que motivo o devo permitir?"
Mecanismo de Consentimento
O mecanismo de consentimento é onde os requisitos legais se encontram com a implementação técnica. Acertar neste ponto é o aspeto mais crítico — e mais frequentemente falhado — da conformidade de cookies.
-
Consentimento obtido ANTES de os cookies não essenciais serem definidos
Este é o requisito técnico mais importante de todos. Nenhum cookie de análise, publicidade ou outro cookie não essencial pode ser definido antes de o utilizador ter dado o seu consentimento afirmativo. Isto significa que os scripts de terceiros têm de ser impedidos de carregar até que o consentimento seja recebido. Simplesmente eliminar os cookies após o facto não é conforme — a Diretiva ePrivacy exige o consentimento antes do armazenamento, e não a remoção retroativa. Teste isto visitando o seu site numa janela anónima e verificando quais os cookies definidos antes de interagir com o banner.
-
Scripts bloqueados até o consentimento ser concedido
Bloquear os cookies não é suficiente — os scripts que os definem têm de ser impedidos de executar. Um script que carrega e executa, mas que é impedido de escrever um cookie, pode ainda assim recolher e transmitir dados (através de píxeis, beacons ou chamadas à API). A sua gestão de consentimento tem de impedir o próprio script de carregar até que a categoria de consentimento adequada seja aceite. As abordagens de implementação comuns incluem alterar o atributo
typedas tags de script (por exemplo, detext/javascriptparatext/plain) e injetar scripts dinamicamente após o consentimento. -
Botões de Aceitar e Recusar com igual destaque
A opção de recusar cookies não essenciais tem de ser apresentada com igual destaque à opção de os aceitar. Isto significa o mesmo tratamento visual: mesmo tamanho, mesmo peso de cor, mesma camada da interface. Um botão grande e verde "Aceitar Tudo" ao lado de um pequeno link cinzento "Gerir Definições" não constitui igual destaque. A CNIL, a Garante e várias outras autoridades de proteção de dados aplicaram coimas especificamente por esta questão. Ambas as opções devem estar na primeira camada do banner de cookies, sem exigir cliques adicionais.
-
Consentimento granular ao nível da categoria disponível
Os utilizadores têm de poder consentir em categorias específicas de cookies de forma independente. Aceitar cookies de análise não deve exigir a aceitação também de cookies de publicidade. No mínimo, disponibilize botões separados para: estritamente necessários (sempre ativados, não alteráveis), funcionais, análise/desempenho e marketing/publicidade. Se utilizar cookies para múltiplas finalidades distintas dentro de uma categoria, considere disponibilizar opções ainda mais granulares.
-
Sem caixas de verificação pré-selecionadas
Quando um utilizador abre as preferências detalhadas de cookies, todas as categorias opcionais têm de estar por defeito não selecionadas. Apenas os cookies estritamente necessários (que não requerem consentimento) podem estar pré-ativados. O TJUE confirmou, no acórdão Planet49 (Processo C-673/17), que as caixas pré-selecionadas não constituem consentimento válido. Isto aplica-se independentemente de o utilizador poder desmarcá-las — o estado por defeito tem de ser de exclusão, exigindo uma ação afirmativa para adesão.
-
Retirada do consentimento tão fácil como a sua concessão
O artigo 7.º, n.º 3, do RGPD exige que retirar o consentimento seja tão fácil como dá-lo. Se um utilizador puder aceitar cookies com um único clique num banner, tem de poder retirar o consentimento com facilidade comparável. A melhor prática é um link ou ícone persistente e sempre visível (por exemplo, no rodapé ou como botão flutuante) que abre o centro de preferências de cookies, onde o utilizador pode modificar ou revogar as suas escolhas. Exigir que o utilizador limpe os cookies do navegador, navegue até uma página de definições escondida ou contacte o suporte não cumpre este padrão.
-
Registos de consentimento armazenados com datas e horas
Tem de conseguir demonstrar que o consentimento foi dado. Armazene um registo de cada ação de consentimento, incluindo: data e hora, as escolhas de consentimento efetuadas (que categorias foram aceites/recusadas), a versão do banner e da política de cookies em vigor no momento e um identificador único para o consentimento (não necessariamente associado a uma conta de utilizador no caso de visitantes anónimos). Ao abrigo do princípio da responsabilização do RGPD, o ónus da prova do consentimento recai sobre o responsável pelo tratamento. Se não conseguir apresentar prova de que um utilizador específico consentiu, o seu consentimento fica, na prática, por comprovar.
Política de Cookies
A sua política de cookies é, simultaneamente, um documento jurídico e uma ferramenta de transparência. Tem de ser rigorosa, completa e compreensível.
-
A política de cookies existe e é acessível
Uma política de cookies dedicada (ou uma secção clara sobre cookies na sua política de privacidade) tem de existir e ser facilmente localizável. A melhor prática é uma página dedicada com hiperligação a partir do rodapé do website, do banner de cookies e da sua política de privacidade principal. A política tem de estar acessível sem aceitar cookies — os utilizadores devem poder lê-la antes de tomar uma decisão de consentimento.
-
Todos os cookies listados com nomes, finalidades, tipos e durações
A sua política de cookies tem de incluir uma tabela ou lista estruturada de cada cookie que o seu website define, incluindo: o nome do cookie, quem o define (fornecedor primário ou terceiro), o que faz (em linguagem clara), se se trata de um cookie de sessão ou persistente e qual a sua duração. Isto não é opcional — é um requisito explícito ao abrigo das disposições de transparência do RGPD (artigos 12.º a 14.º) e do requisito de consentimento informado da Diretiva ePrivacy.
-
Fornecedores terceiros identificados
A sua política tem de identificar os serviços terceiros que definem cookies no seu website. "Utilizamos cookies de análise de terceiros" não é suficiente. "Utilizamos o Google Analytics (da Google LLC), que define os seguintes cookies:
_ga,_gid,_gat" é. Os utilizadores têm o direito de saber quem recolhe dados sobre eles e de tomar decisões informadas sobre cada fornecedor. -
Instruções para gerir cookies incluídas
A sua política deve explicar como os utilizadores podem gerir as suas preferências de cookies, incluindo: como aceder ao seu centro de preferências de cookies para alterar as escolhas de consentimento, como eliminar os cookies existentes através das definições do navegador e ligações para as políticas de privacidade dos principais fornecedores terceiros de cookies. Embora a gestão de cookies ao nível do navegador seja da responsabilidade do utilizador, fornecer instruções claras demonstra boa-fé e apoia o princípio de capacitação do utilizador.
-
Política datada e atualizada regularmente
A sua política de cookies tem de incluir a data da última atualização. Sempre que adicionar novos cookies, remover cookies, alterar fornecedores terceiros ou modificar finalidades de cookies, a política tem de ser atualizada para refletir a alteração. Uma política sem data ou que não é atualizada há mais de um ano é um sinal de alerta para as autoridades de proteção de dados. Melhor prática: integre os resultados da sua análise de cookies com a política, de modo a que esta seja atualizada automaticamente quando novos cookies são detetados.
Banner de Cookies
O banner de cookies é a interface visível da sua gestão de consentimento. Tem de equilibrar a conformidade legal com a usabilidade.
-
O banner é apresentado na primeira visita, antes de os cookies serem definidos
O banner de cookies tem de surgir na primeira vez que um utilizador visita o seu website, antes de quaisquer cookies não essenciais serem definidos. O banner deve ser imediatamente visível sem necessidade de deslocar a página, não deve ser facilmente descartado por cliques acidentais e deve persistir até que o utilizador faça uma escolha ativa. O banner não deve interferir com a capacidade do utilizador de sair da página ou de aceder a conteúdos essenciais (embora restringir o acesso a conteúdos condicionado a um requisito de consentimento possa ser admissível em algumas jurisdições, a abordagem mais segura é permitir a navegação enquanto o banner é apresentado).
-
O banner é acessível (navegável por teclado, compatível com leitores de ecrã)
O seu banner de cookies tem de ser, ele próprio, acessível. Isto significa que: todos os elementos interativos (botões, botões de alternância, hiperligações) têm de ser alcançáveis e operáveis através do teclado; o banner tem de ser corretamente anunciado aos leitores de ecrã com os atributos ARIA adequados; o foco tem de ser gerido corretamente (deve mover-se para o banner quando este surge e regressar à página quando é descartado); o contraste de cor tem de cumprir os padrões WCAG 2.1 AA (4,5:1 para texto normal, 3:1 para texto grande); e o banner tem de ser utilizável em diferentes níveis de ampliação e tamanhos de ecrã. Um banner de cookies inacessível é simultaneamente um risco legal (incumprimento da conformidade WCAG) e um risco reputacional para qualquer organização que alegue preocupar-se com a privacidade e a inclusão.
-
O banner tem hiperligação para a política de cookies completa
O banner de cookies tem de incluir uma hiperligação para a sua política de cookies completa, permitindo aos utilizadores ler informações detalhadas sobre cada cookie antes de tomarem a sua decisão de consentimento. A hiperligação deve ser claramente visível e identificada (por exemplo, "Leia a nossa política de cookies" ou "Saber mais"). O RGPD exige que o consentimento seja "informado", o que significa que a informação necessária para tomar uma decisão informada tem de estar acessível no momento do consentimento.
-
O banner não utiliza padrões enganadores (dark patterns)
Os padrões enganadores nos banners de cookies comprometem a validade do consentimento. Evite: tornar o botão de aceitar visualmente dominante (maior, mais vivo, mais destacado) enquanto a opção de recusar é subtil ou está escondida; utilizar linguagem confusa ("Aceitar definições recomendadas" em vez de opções claras); exigir mais cliques para recusar do que para aceitar; utilizar codificação de cores que sugira que recusar é errado (vermelho para recusar, verde para aceitar); recorrer a linguagem de "confirm-shaming" ("Não, não me importo com a minha experiência"); e qualquer outro design que empurre, manipule ou engane os utilizadores no sentido da aceitação. As Diretrizes do CEPD sobre Padrões Enganadores (adotadas em fevereiro de 2023) fornecem exemplos detalhados de práticas proibidas.
Técnico e Contínuo
A conformidade de cookies não é um projeto com uma data de conclusão. É um processo operacional contínuo.
-
Google Consent Mode v2 implementado (se utilizar serviços Google)
Se utilizar quaisquer serviços Google (Analytics, Ads, Tag Manager), o Google Consent Mode v2 é obrigatório desde março de 2024 para a exibição de anúncios no EEE. O Consent Mode comunica as escolhas de consentimento de cookies dos seus utilizadores às tags da Google, ajustando o seu comportamento com base no estado do consentimento. Sem o Consent Mode, as tags da Google podem não funcionar corretamente com a sua plataforma de gestão de consentimento, conduzindo a perda de dados (tags totalmente bloqueadas) ou a violações de conformidade (tags a disparar sem consentimento). Implemente os parâmetros de consentimento
ad_storageeanalytics_storagee assegure-se de que assumem por defeito o valor "denied" até o consentimento ser concedido. -
Análise regular de cookies agendada
Configure análises automatizadas de cookies com uma periodicidade recorrente. No mínimo, faça a análise mensalmente. Idealmente, integre a análise no seu pipeline de implementação, para que cada versão seja analisada automaticamente. Configure alertas para cookies novos ou alterados, de modo a que a sua equipa os possa avaliar e categorizar prontamente. Uma análise que é executada mas nunca revista não traz qualquer benefício em termos de conformidade.
-
Processo para rever novos scripts de terceiros
Estabeleça um processo formal a seguir obrigatoriamente antes de qualquer novo script, plugin ou serviço de terceiros ser adicionado ao seu website. O processo deve incluir: identificar que cookies o script define, categorizar esses cookies, atualizar a configuração da gestão de consentimento para os incluir, atualizar a política de cookies e verificar que o script está corretamente bloqueado até o consentimento adequado ser concedido. Este processo deve envolver a revisão técnica (desenvolvimento) e a revisão de conformidade (jurídica/privacidade). A causa mais comum de falhas de conformidade de cookies são novos scripts adicionados a um website sem passarem por uma revisão de privacidade.
-
Colaboradores formados em conformidade de cookies
Todas as pessoas envolvidas no seu website — programadores, profissionais de marketing, criadores de conteúdo e gestores — devem compreender os fundamentos da conformidade de cookies e o seu papel na sua manutenção. Os programadores precisam de saber como adicionar scripts de forma consciente em relação ao consentimento. Os profissionais de marketing precisam de compreender que adicionar um novo píxel de rastreio requer uma revisão de conformidade. Os criadores de conteúdo precisam de saber que incorporar um vídeo do YouTube introduz cookies de terceiros. A formação não precisa de ser extensa, mas tem de abranger o princípio-chave: nenhum novo rastreio sem revisão. Um único membro da equipa sem formação que adicione um script de marketing sem passar pelo processo de revisão pode desfazer meses de trabalho de conformidade.
Como Utilizar esta Checklist
Esta checklist foi concebida para ser utilizada de três formas:
- Implementação inicial: Percorra todos os 25 pontos de forma sequencial ao configurar a conformidade de cookies pela primeira vez. Não ignore pontos nem os deixe para mais tarde — conformidade parcial continua a ser não conformidade.
- Auditoria regular: Reveja a checklist trimestralmente para verificar que todos os pontos continuam a ser cumpridos. Preste especial atenção aos itens contínuos (pontos 22 a 25), pois são os mais suscetíveis de se desatualizarem com o tempo.
- Após alterações: Sempre que o seu website sofrer uma alteração significativa (novas funcionalidades, novos serviços de terceiros, redesenho, migração de CMS), percorra as secções relevantes da checklist para verificar que a conformidade é mantida.
A conformidade de cookies é alcançável. Exige atenção e processo, mas nenhum dos requisitos individuais é excessivamente difícil. As organizações que enfrentam dificuldades são normalmente aquelas que tratam a conformidade como um projeto pontual, em vez de uma preocupação operacional contínua. Integre-a no seu fluxo de trabalho, atribua uma responsabilização clara e utilize esta checklist como a sua ferramenta de verificação recorrente.
O seu website cumpre as regras de cookies?
Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.
Analise os seus cookies gratuitamente