Skip to main content

Análise e Auditoria de Cookies: Saiba o Que o Seu Website Define

Não é possível cumprir os regulamentos de cookies se não souber quais os cookies que o seu website define. Parece óbvio, mas é o ponto de falha mais comum na conformidade em matéria de cookies. Os websites evoluem constantemente — são instalados novos plugins, adicionadas etiquetas de marketing, atualizados scripts de terceiros — e cada alteração pode introduzir novos cookies. Uma auditoria de cookies não é uma atividade pontual. É um processo contínuo que tem de acompanhar a evolução do seu website.

Porque É Que a Análise de Cookies é Importante

Todas as obrigações de conformidade em matéria de cookies dependem de possuir um inventário preciso e completo dos seus cookies. Sem ele:

  • O seu banner de cookies fica incompleto. Se o seu banner enumera quatro categorias de cookies, mas o seu site define, na verdade, cookies numa quinta categoria, os utilizadores não conseguem dar um consentimento informado. O seu consentimento é inválido ao abrigo do GDPR.
  • A sua política de cookies fica imprecisa. As Autoridades de Proteção de Dados esperam que a sua política de cookies enumere cada cookie pelo nome, finalidade, tipo e duração. Uma política incompleta ou desatualizada constitui uma falha de conformidade que as APD procuram ativamente durante as auditorias.
  • O seu mecanismo de consentimento pode não bloquear todos os cookies. Se um script recém-adicionado definir cookies que não estão incluídos na configuração da sua gestão de consentimento, esses cookies são ativados sem consentimento — uma violação direta do Artigo 5.º(3) da Diretiva ePrivacy.
  • Não consegue responder a pedidos dos utilizadores. Ao abrigo do GDPR, os utilizadores têm o direito de saber que dados recolhe sobre eles. Se não souber quais os cookies que o seu site define, não consegue dar respostas precisas aos pedidos de acesso dos titulares dos dados.

O Que Revela uma Análise de Cookies

Uma análise de cookies exaustiva identifica:

  • Nomes dos cookies: O identificador exato de cada cookie (por exemplo, _ga, _fbp, JSESSIONID).
  • Origem: Se o cookie é próprio (definido pelo seu domínio) ou de terceiros (definido por um domínio externo).
  • Tipo: Cookie de sessão (eliminado quando o navegador é fechado) ou cookie persistente (permanece durante uma duração especificada).
  • Duração: Durante quanto tempo o cookie persiste antes de expirar (por exemplo, 30 minutos, 1 ano, 2 anos).
  • Finalidade: O que o cookie faz — gestão de sessões, análise, publicidade, personalização ou finalidades funcionais.
  • Categoria: A categoria de conformidade a que o cookie pertence — estritamente necessário, funcional, análise/desempenho ou marketing/publicidade.
  • Fornecedor terceiro: Se o cookie é definido por um terceiro, a que serviço pertence (Google Analytics, Facebook, HubSpot, Hotjar, etc.).
  • Dados recolhidos: Que informação o cookie armazena ou cuja recolha permite.

Análise Manual de Cookies com as Ferramentas de Programador do Navegador

O método mais básico de análise de cookies utiliza as ferramentas de programador integradas em todos os navegadores modernos. Embora a análise manual tenha limitações significativas, é útil para verificações pontuais e para compreender como funcionam os cookies no seu site.

Passo a Passo: Auditoria Manual de Cookies no Chrome

  1. Abra uma janela anónima/privada. Isto garante que começa do zero — sem cookies existentes de visitas anteriores.
  2. Abra as Ferramentas de Programador (prima F12 ou clique com o botão direito e selecione "Inspecionar").
  3. Navegue para o separador Application (no Chrome) ou para o separador Storage (no Firefox).
  4. Expanda a secção "Cookies" na barra lateral esquerda. Verá uma lista de domínios.
  5. Visite o seu website sem interagir com o banner de cookies. Note quais os cookies definidos de imediato — estes são os cookies definidos antes do consentimento, que deverão ser apenas cookies estritamente necessários.
  6. Aceite todos os cookies no seu banner de cookies. Atualize o separador Application/Storage e note os novos cookies que surgem.
  7. Navegue pelas páginas principais do seu website (página inicial, páginas de produto, checkout, formulário de contacto, blogue). Alguns cookies só são definidos em páginas específicas ou após interações específicas.
  8. Documente cada cookie: Para cada cookie que encontrar, registe o nome, o domínio, o caminho, a data de expiração, o tamanho e se é HTTP-only ou seguro.
  9. Verifique o separador Network à procura de rastreio adicional. Algumas tecnologias de rastreio utilizam píxeis, beacons ou chamadas de API em vez de cookies tradicionais. O separador Network revela todos os pedidos de saída para domínios de terceiros.

Limitações da Análise Manual

A análise manual é valiosa para aprender e para verificações pontuais, mas tem limitações sérias para fins de conformidade:

  • Cobertura incompleta. Só consegue verificar as páginas que visita manualmente. Um website extenso com centenas de páginas pode definir cookies diferentes em páginas diferentes. A análise manual não consegue, na prática, abrangê-las a todas.
  • Sem categorização. As ferramentas de programador mostram-lhe os dados brutos dos cookies, mas não os categorizam por finalidade ou categoria de conformidade. Tem de investigar cada cookie individualmente.
  • Apenas um instantâneo. A análise manual dá-lhe uma imagem do momento. Não deteta novos cookies adicionados após a sua auditoria.
  • Sem verificação do bloqueio de scripts. A análise manual não consegue verificar facilmente que a sua plataforma de gestão de consentimento está a bloquear corretamente os scripts antes do consentimento.
  • Morosa. Num site com apenas 20 páginas, verificar manualmente cada página e documentar cada cookie demora horas.

Análise Automatizada de Cookies

As ferramentas de análise automatizada de cookies resolvem as limitações da análise manual, percorrendo todo o seu website, identificando todos os cookies e categorizando-os de forma sistemática. Uma boa ferramenta de análise automatizada oferece:

  • Rastreio abrangente: O scanner visita todas as páginas do seu site (ou um subconjunto definido), incluindo páginas apenas acessíveis através de navegação ou pesquisa.
  • Antes e depois do consentimento: O scanner verifica quais os cookies definidos antes de dado o consentimento, quais surgem após o consentimento e se as categorias recusadas são devidamente bloqueadas.
  • Categorização automática: Os cookies conhecidos (como o _ga do Google Analytics ou o _fbp do Facebook) são automaticamente categorizados com base em bases de dados atualizadas de finalidades de cookies.
  • Identificação de terceiros: Todos os domínios de terceiros que definem cookies são identificados e documentados.
  • Análise agendada: As análises são executadas automaticamente segundo um agendamento (semanalmente, após implementações) para detetar novos cookies à medida que surgem.
  • Deteção de alterações: O scanner alerta-o quando surgem novos cookies ou quando os cookies existentes mudam, para que possa atualizar o seu mecanismo de consentimento e a política de cookies.
  • Relatórios de conformidade: Os resultados são formatados de forma a apoiar a sua documentação de conformidade.

O Que Procurar numa Ferramenta de Análise de Cookies

Ao avaliar soluções de análise automatizada de cookies, tenha em conta:

  1. Renderização de JavaScript: Muitos cookies são definidos por JavaScript que é executado após o carregamento da página. O scanner tem de executar JavaScript (utilizando um motor de navegador real) para detetar estes cookies. Os simples crawlers HTTP que não renderizam JavaScript não detetam a maioria dos cookies de terceiros.
  2. Profundidade do rastreio: O scanner deve seguir as ligações internas e percorrer todo o seu site, e não apenas a página inicial. Os cookies definidos por vídeos incorporados, formulários, widgets de conversação ou processadores de pagamentos em páginas específicas ficam por detetar se apenas a página inicial for analisada.
  3. Simulação de primeira visita: O scanner deve simular um visitante que acede pela primeira vez (sem cookies existentes, sem consentimento dado) para verificar que não são definidos cookies não essenciais antes do consentimento.
  4. Base de dados de cookies: Uma base de dados atualizada de cookies conhecidos, com as respetivas finalidades e categorias, reduz drasticamente o esforço manual de classificação.
  5. Relatórios: Relatórios claros e exportáveis que podem ser partilhados com as equipas jurídica, de marketing e de desenvolvimento.
  6. Agendamento e alertas: Análise automática segundo um agendamento configurável, com notificações quando são detetados novos cookies.

O Processo de Análise de Cookies

Uma análise de cookies exaustiva segue cinco passos, quer seja realizada manualmente quer com ferramentas automatizadas:

Passo 1: Percorrer Todas as Páginas

Comece por construir um mapa completo do seu website. Isto inclui todas as páginas públicas, páginas autenticadas (se aplicável), páginas de destino, páginas de agradecimento, páginas de erro e qualquer página a que um visitante possa aceder. Não limite a sua análise à página inicial — os cookies são frequentemente definidos por scripts de terceiros que só carregam em páginas específicas (por exemplo, um vídeo do YouTube incorporado numa publicação de blogue, um processador de pagamentos na página de checkout ou um widget de conversação que só surge nas páginas de apoio).

Passo 2: Identificar Todos os Cookies

Para cada página, registe todos os cookies definidos. Isto inclui tanto os cookies HTTP (visíveis no cabeçalho Set-Cookie e no armazenamento de cookies do navegador) como os mecanismos de armazenamento do lado do cliente (localStorage, sessionStorage, IndexedDB) que podem funcionar como tecnologias de rastreio, mesmo que tecnicamente não sejam cookies.

Passo 3: Determinar a Origem dos Cookies

Para cada cookie, identifique se é próprio (definido pelo seu próprio domínio) ou de terceiros (definido por um domínio externo). Os cookies de terceiros são particularmente importantes para a conformidade, uma vez que normalmente envolvem a partilha de dados com organizações externas, o que exige divulgação na sua política de cookies e, em muitos casos, um acordo de tratamento de dados.

Passo 4: Classificar os Cookies por Categoria

Atribua cada cookie a uma categoria de conformidade:

  • Estritamente necessários: Indispensáveis ao funcionamento do website. Não podem ser desativados pelo utilizador. Exemplos: cookies de sessão, tokens CSRF, cookies de balanceamento de carga, cookies de preferência de consentimento de cookies.
  • Funcionais: Permitem funcionalidades melhoradas e personalização. Exemplos: preferências de idioma, seleção de região, itens vistos recentemente (quando não são utilizados para publicidade).
  • Análise/Desempenho: Recolhem informação sobre como os visitantes utilizam o website. Exemplos: cookies do Google Analytics, Hotjar, Matomo.
  • Marketing/Publicidade: Rastreiam os visitantes entre websites para fins publicitários. Exemplos: Facebook Pixel, cookies do Google Ads, cookies de remarketing, cookies de rastreio de afiliação.

Passo 5: Documentar a Finalidade, a Duração e o Tipo

Para cada cookie, documente a sua finalidade em linguagem simples que uma pessoa sem conhecimentos técnicos consiga compreender, a sua duração (de sessão ou persistente e, se persistente, por quanto tempo) e o seu tipo (cookie HTTP, localStorage, etc.). Esta documentação constitui a base da sua política de cookies e da informação apresentada no seu banner de cookies.

Monitorização Contínua

Uma análise de cookies só é válida no momento em que é realizada. O seu website não é estático — evolui a cada implementação, atualização de plugin e campanha de marketing. A monitorização contínua é essencial porque:

  • Os novos scripts introduzem novos cookies. Quando um programador adiciona uma nova ferramenta de análise, uma equipa de marketing instala um novo píxel de rastreio ou um plugin é atualizado, podem surgir novos cookies no seu site sem que ninguém tenha explicitamente decidido adicioná-los.
  • Os scripts de terceiros mudam. Mesmo que não altere o seu website, os serviços de terceiros que utiliza podem atualizar os respetivos scripts e introduzir novos cookies. Uma atualização do Google Analytics, uma alteração num widget de redes sociais ou uma atualização da configuração de um CDN podem todos afetar os cookies do seu site.
  • A conformidade é contínua. As APD esperam que a sua política de cookies e o mecanismo de consentimento reflitam o estado atual do seu website. Uma política que era precisa há seis meses, mas que não inclui os cookies adicionados desde então, é hoje incumpridora.

A boa prática é executar análises automatizadas após cada implementação e, no mínimo, mensalmente. Configure alertas para novos cookies, de modo a que a sua equipa possa avaliá-los, categorizá-los e adicioná-los ao mecanismo de consentimento antes que se tornem um problema de conformidade.

A Análise de Cookies e a Sua Política de Cookies

A sua política de cookies e os resultados da sua análise de cookies têm de estar sempre sincronizados. Todos os cookies identificados numa análise devem estar documentados na sua política, e todos os cookies enumerados na sua política devem, de facto, estar presentes no seu site. Uma discrepância em qualquer das direções é um problema:

  • Cookies no site mas não na política: Isto significa que os utilizadores não estão informados sobre todo o rastreio no seu site. O seu consentimento, mesmo que dado, pode não abranger cookies não divulgados.
  • Cookies na política mas não no site: Embora menos grave, enumerar cookies que não existem gera confusão e mina a confiança na exatidão da sua documentação.

A abordagem mais eficiente é integrar a sua ferramenta de análise com a política de cookies, para que a política seja automaticamente atualizada quando são detetados novos cookies. Isto elimina o passo manual de atualizar a política após cada análise e reduz o risco de as duas ficarem dessincronizadas.

Como o Passiro Trata da Análise de Cookies

O scanner do Passiro utiliza um motor de navegador headless para visitar todas as páginas do seu website, executando JavaScript exatamente como o faria o navegador de um visitante real. Isto garante que os cookies definidos por scripts carregados dinamicamente, conteúdo incorporado e frameworks de aplicações de página única são todos detetados. O scanner é executado antes e depois de um consentimento simulado, para verificar que a sua gestão de consentimento está a funcionar corretamente — que os cookies não essenciais estão verdadeiramente bloqueados até ser dado o consentimento.

Os resultados da análise são categorizados automaticamente através de uma base de dados continuamente atualizada de cookies conhecidos, com a opção de classificar ou reclassificar manualmente qualquer cookie. As análises agendadas são executadas segundo uma base configurável e recebe alertas quando surgem novos cookies no seu site, para que possa agir antes que se tornem um risco de conformidade.

Com Que Frequência Deve Fazer a Análise?

A frequência de análise adequada depende da frequência com que o seu website muda:

  • Após cada implementação: Qualquer alteração de código tem o potencial de introduzir novos cookies. Integre a análise de cookies no seu pipeline de CI/CD ou execute uma análise após cada lançamento.
  • Após adicionar serviços de terceiros: Sempre que adicionar uma nova ferramenta de análise, plataforma de marketing, widget de conversação, processador de pagamentos ou qualquer script de terceiros, faça uma análise de imediato.
  • Mensalmente, no mínimo: Mesmo que não faça alterações, os scripts de terceiros no seu site podem atualizar-se e introduzir novos cookies. Uma análise mensal deteta estas mudanças.
  • Após atualizações do CMP: Se atualizar a sua Plataforma de Gestão de Consentimento ou alterar as suas categorias de cookies, faça uma análise para verificar que as alterações funcionam como esperado.
  • Revisão trimestral: Para além da análise automatizada, realize uma revisão manual trimestral do seu inventário de cookies para verificar que as categorizações continuam corretas, que os fornecedores terceiros continuam a ser necessários e que a sua política de cookies reflete a realidade.

As organizações que encaram a análise de cookies como uma manutenção de rotina, e não como uma auditoria periódica, são as que mantêm uma conformidade contínua — e evitam a desagradável surpresa de descobrir cookies de rastreio não documentados durante uma investigação de uma APD.

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente