Consentimento de Cookies: O Que a Lei Realmente Exige
O consentimento de cookies é um dos requisitos mais mal compreendidos da privacidade digital. Muitas empresas acreditam estar em conformidade porque apresentam um banner de cookies. Mas um banner não é consentimento. O consentimento é um conceito jurídico específico, com requisitos precisos — e não cumprir esses requisitos pode significar que toda a sua recolha de dados é ilícita.
O Fundamento Jurídico
O consentimento de cookies assenta em dois pilares jurídicos:
O Artigo 5.º, n.º 3, da Diretiva ePrivacy estabelece o requisito: armazenar ou aceder a informações no dispositivo de um utilizador exige o consentimento desse utilizador, exceto se o armazenamento for estritamente necessário para um serviço explicitamente solicitado pelo utilizador. É esta a regra que rege especificamente os cookies.
O Artigo 4.º, n.º 11, do GDPR define o que significa consentimento: «"consentimento" do titular dos dados significa uma manifestação de vontade, livre, específica, informada e inequívoca, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.»
Estas duas disposições funcionam em conjunto. A Diretiva ePrivacy indica quando o consentimento é necessário (para cookies não essenciais). O GDPR indica como deve ser um consentimento válido. Ambos têm de ser cumpridos.
Os Cinco Requisitos de um Consentimento Válido
Com base no Artigo 4.º, n.º 11, no Artigo 7.º do GDPR e nas Orientações 05/2020 do CEPD sobre o consentimento, um consentimento de cookies válido deve cumprir cinco critérios:
1. Livre
O utilizador deve ter uma escolha genuína. O consentimento não é livre se:
- O acesso está condicionado ao consentimento. Se o utilizador não puder usar o website sem aceitar todos os cookies (um "muro de cookies"), o consentimento não é dado livremente. O CEPD confirmou esta posição, embora algumas autoridades nacionais de proteção de dados permitam muros de cookies limitados em circunstâncias específicas — sobretudo quando existe uma alternativa genuína (como uma versão paga e sem cookies).
- Existe um desequilíbrio significativo de poder. Em relações entre empregador e trabalhador ou entre governo e cidadão, o consentimento pode não ser verdadeiramente livre. Para a maioria dos websites, isto é menos relevante, mas importa para serviços governamentais e plataformas de intranet.
- Recusar é significativamente mais difícil do que aceitar. Se "Aceitar Tudo" for um botão em destaque e "Rejeitar Tudo" exigir a navegação por definições, o consentimento não é dado livremente. Tanto o Garante italiano como a CNIL francesa emitiram orientações específicas que exigem que rejeitar cookies seja tão fácil como aceitá-los.
2. Específico
O consentimento deve ser dado separadamente para cada finalidade distinta. É por isso que existem categorias de cookies. Um mecanismo de consentimento válido deve permitir que os utilizadores aceitem cookies de análise enquanto rejeitam cookies de marketing, ou vice-versa. Agrupar todos os cookies num único "aceitar" ou "rejeitar" não cumpre o requisito de especificidade — embora oferecer "Aceitar Tudo" e "Rejeitar Tudo" como atalhos, a par de controlos por categoria, seja aceitável.
3. Informado
Antes de dar consentimento, o utilizador deve ser informado sobre:
- Quem está a instalar os cookies (o operador do website e eventuais terceiros)
- O que faz cada categoria de cookies
- Quanto tempo duram os cookies
- Como retirar o consentimento
Esta informação deve ser apresentada de forma clara e em linguagem simples. Uma política de cookies de 5000 palavras escondida atrás de três cliques não torna o consentimento "informado" em qualquer sentido significativo. A primeira camada do seu mecanismo de consentimento deve incluir informação suficiente para que o utilizador tome uma decisão informada.
4. Inequívoco
O consentimento exige um ato positivo inequívoco. O utilizador deve fazer algo ativamente para indicar o consentimento — clicar num botão, marcar uma caixa, ativar um interruptor.
O que NÃO constitui consentimento inequívoco:
- Caixas pré-assinaladas. O TJUE decidiu definitivamente no caso Planet49 (Processo C-673/17, outubro de 2019) que caixas pré-assinaladas não constituem consentimento válido. Isto aplica-se às definições de consentimento de cookies em que as categorias estão assinaladas por predefinição.
- Continuar a navegar. "Ao continuar a utilizar este site, consente com os cookies" não é consentimento válido. Simplesmente percorrer a página ou clicar numa ligação não é uma "manifestação inequívoca". Várias autoridades de proteção de dados confirmaram isto, e as orientações do CEPD são explícitas neste ponto.
- Definições do navegador. Basear-se nas definições do navegador do utilizador como forma de consentimento foi rejeitado pelos reguladores. O operador do website deve obter o consentimento diretamente.
- Silêncio ou inação. Se o utilizador ignorar o banner e continuar a navegar, isso não é consentimento. Não devem ser instalados cookies até que o utilizador tenha feito uma escolha ativa.
5. Prévio
Embora não seja enumerado como um elemento distinto no Artigo 4.º, n.º 11, do GDPR, a Diretiva ePrivacy deixa claro que o consentimento deve ser obtido antes de os cookies serem instalados. É este o requisito que muitos websites ainda não cumprem. Os scripts que são executados ao carregar a página — instalando cookies de análise e de marketing antes de o utilizador sequer ver o banner de consentimento — violam este requisito fundamental.
Tecnicamente, isto significa que os scripts não essenciais devem ser bloqueados até que o consentimento seja dado. Mostrar simplesmente um banner enquanto os cookies já estão a ser instalados não cumpre o requisito de consentimento prévio.
Como É o Consentimento Válido na Prática
Uma implementação de consentimento de cookies em conformidade:
- Bloqueia todos os cookies não essenciais antes de o utilizador interagir com o mecanismo de consentimento.
- Apresenta uma primeira camada clara que explica as categorias de cookies utilizadas, com opções para aceitar ou rejeitar cada categoria.
- Oferece "Aceitar Tudo" e "Rejeitar Tudo" com o mesmo nível de destaque — mesmo tamanho, mesmo peso visual, mesmo número de cliques necessários.
- Não utiliza padrões enganosos — sem cores de botões que induzam em erro, sem opções de rejeição escondidas, sem linguagem confusa, sem incentivos à aceitação.
- Liga a uma política de cookies detalhada que enumera cada cookie pelo nome, finalidade, duração e fornecedor.
- Regista o consentimento com uma data e hora e as categorias específicas que o utilizador aceitou ou rejeitou.
- Só executa os scripts relevantes depois de o consentimento ser dado para essa categoria específica.
O Ciclo de Vida do Consentimento
O consentimento não é um evento único. Tem um ciclo de vida que a sua implementação deve suportar:
Recolha
Primeira visita: mostrar o mecanismo de consentimento, bloquear cookies não essenciais, aguardar a ação do utilizador.
Armazenamento
Quando o consentimento é dado, guarde a escolha do utilizador num cookie estritamente necessário (não é necessário consentimento para este cookie, já que é indispensável para respeitar as preferências de privacidade do utilizador). Guarde também um registo no servidor como prova do consentimento.
Aplicação
Nos carregamentos de página subsequentes, leia o cookie de consentimento e execute apenas os scripts que correspondem às categorias que o utilizador aceitou. Não mostre o banner novamente — respeite a escolha guardada.
Retirada
O Artigo 7.º, n.º 3, do GDPR é explícito: «Retirar o consentimento deve ser tão fácil como dá-lo.» O seu website deve disponibilizar uma forma persistente e facilmente acessível para os utilizadores alterarem as suas preferências de cookies a qualquer momento. Uma abordagem comum é um pequeno ícone ou ligação no rodapé que reabre a interface de gestão de consentimento.
Renovação
O consentimento não dura para sempre. A CNIL recomenda renovar o consentimento a cada 13 meses. O CEPD não definiu uma duração específica, mas exige que o consentimento se mantenha válido e que a escolha do utilizador continue a refletir a sua vontade real. A boa prática é voltar a solicitar o consentimento pelo menos uma vez por ano ou sempre que a sua utilização de cookies mude significativamente.
Alterações
Se adicionar novos cookies, novos serviços de terceiros ou novas finalidades, o consentimento existente pode já não os abranger. Os utilizadores devem ser novamente solicitados a dar (ou recusar) consentimento para o novo tratamento.
Registos e Prova de Consentimento
O Artigo 7.º, n.º 1, do GDPR estabelece: «Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento.» Para o consentimento de cookies, isto significa que deve manter registos de:
- Quando o consentimento foi dado (data e hora)
- O que o utilizador consentiu (que categorias foram aceites e quais foram rejeitadas)
- Como o consentimento foi recolhido (o aspeto do mecanismo de consentimento nesse momento — um identificador de versão ou captura de ecrã)
- Quem deu o consentimento (normalmente um identificador anonimizado, e não o nome do utilizador)
Se um regulador lhe pedir para provar que um cookie específico foi instalado com consentimento válido, estes registos são a sua defesa. Sem eles, não tem qualquer prova de que o seu mecanismo de consentimento funciona — e o ónus da prova recai sobre si, e não sobre o regulador.
Falhas Comuns de Consentimento
Com base nas ações de fiscalização em toda a Europa, estas são as falhas de consentimento mais frequentemente penalizadas:
- Cookies instalados antes do consentimento. Scripts de análise e de marketing executados ao carregar a página, antes de o utilizador interagir com o banner.
- Sem opção de rejeição na primeira camada. Exigir que os utilizadores cliquem em "Definições" ou "Gerir preferências" para rejeitar cookies, enquanto "Aceitar Tudo" está imediatamente disponível.
- Categorias pré-assinaladas. Interruptores de consentimento predefinidos como "ativos" para análise e marketing.
- Sem forma de retirar o consentimento. Uma vez fechado o banner, não há forma de o utilizador alterar a sua escolha.
- Muro de consentimento / muro de cookies. Bloquear o acesso a conteúdos, exceto se todos os cookies forem aceites.
- Design enganoso. Usar verde para "Aceitar" e cinzento para "Rejeitar", tornar o botão de aceitação maior ou usar linguagem confusa como "Continuar sem aceitar" versus "Aceitar e continuar".
O Passiro analisa a implementação de consentimento de cookies do seu website e verifica estas falhas comuns, ajudando-o a identificar e corrigir lacunas de conformidade antes que um regulador o faça.
A seguir: quando é exatamente necessário o consentimento? A resposta envolve algumas nuances importantes, incluindo a isenção para o que é estritamente necessário e o debate em curso sobre a análise de origem própria (first-party).
O seu website cumpre as regras de cookies?
Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.
Analise os seus cookies gratuitamente