Skip to main content

CCPA, CPRA e Leis de Privacidade dos EUA: Conformidade de Cookies para Além da Europa

Os Estados Unidos adotam uma abordagem fundamentalmente diferente da europeia no que toca à privacidade dos cookies. Não existe uma lei federal sobre cookies, nem uma exigência universal de consentimento, nem uma única autoridade de proteção de dados. Em vez disso, um mosaico crescente de leis de privacidade a nível estadual cria um panorama cada vez mais complexo para os operadores de sítios web. Compreender a abordagem dos EUA — e como difere do GDPR — é essencial para qualquer empresa com visitantes de ambos os lados do Atlântico.

O Panorama da Privacidade nos EUA: Uma Visão Geral

A distinção mais importante entre a lei de cookies dos EUA e da UE reside no modelo regulatório:

  • Modelo da UE: consentimento prévio (opt-in). É obrigatório obter consentimento antes de colocar cookies não essenciais. Por defeito, não há qualquer rastreamento.
  • Modelo dos EUA: recusa (opt-out). É permitido recolher e partilhar informações pessoais por defeito, mas é obrigatório dar aos consumidores a possibilidade de recusarem. Por defeito, há rastreamento, mas com um interruptor para o desativar.

Esta diferença de filosofia reflete-se em todos os aspetos da regulação dos cookies. Na UE, um banner de cookies pede permissão. Nos EUA, um banner de cookies (quando existe) normalmente informa os utilizadores do seu direito de recusa.

No início de 2026, foram promulgadas leis abrangentes de privacidade em pelo menos 15 estados, estando outras em fase de análise ativa. Contudo, apenas algumas têm implicações específicas para a conformidade dos cookies.

Califórnia: CCPA e CPRA

A Califórnia é o estado dos EUA mais relevante em matéria de regulação da privacidade. A California Consumer Privacy Act (CCPA), em vigor desde 1 de janeiro de 2020, foi a primeira lei abrangente de privacidade a nível estadual. Foi substancialmente alterada pela California Privacy Rights Act (CPRA), que entrou plenamente em vigor a 1 de janeiro de 2023, com a fiscalização a cargo da California Privacy Protection Agency (CPPA) a iniciar-se em 1 de julho de 2023.

Como os Cookies se Relacionam com a CCPA/CPRA

A CCPA/CPRA não regula os cookies diretamente. Em vez disso, regula a recolha, venda e partilha de informações pessoais, que inclui os dados recolhidos através de cookies. Os conceitos-chave são:

  • As "informações pessoais" ao abrigo da CCPA/CPRA incluem identificadores online, endereços IP, histórico de navegação e informações sobre a interação de um consumidor com um sítio web — tudo aquilo que é frequentemente recolhido através de cookies.
  • A "venda" é definida de forma abrangente como disponibilizar informações pessoais a terceiros em troca de contrapartida monetária ou outra contrapartida de valor. Se os cookies de publicidade de terceiros no seu sítio partilham dados de visitantes com redes publicitárias, isto pode constituir uma "venda" ao abrigo da CCPA.
  • A "partilha" (introduzida pela CPRA) abrange a disponibilização de informações pessoais a terceiros para efeitos de publicidade comportamental em contextos cruzados, independentemente de haver ou não troca de dinheiro. Isto inclui explicitamente os cookies de publicidade no âmbito da lei.

Requisitos Principais

  1. Ligação "Não Vender nem Partilhar as Minhas Informações Pessoais": Se o seu sítio web vende ou partilha informações pessoais (o que inclui a maioria dos cenários de cookies de publicidade), é obrigatório disponibilizar uma ligação claramente identificada na página inicial que permita aos consumidores recusar. Este é o equivalente norte-americano a um mecanismo de consentimento de cookies, embora funcione com base na recusa e não no consentimento prévio.
  2. Global Privacy Control (GPC): Ao abrigo dos regulamentos da CPRA finalizados pela CPPA, as empresas têm de tratar os sinais GPC enviados pelo navegador de um utilizador como um pedido de recusa válido. O GPC é um sinal a nível do navegador (semelhante em conceito ao antigo Do Not Track, mas juridicamente vinculativo ao abrigo da CCPA/CPRA). Se o navegador de um utilizador enviar um sinal GPC, é obrigatório deixar de vender ou partilhar as suas informações pessoais — o que significa desativar os cookies de publicidade e rastreamento para esse utilizador.
  3. Divulgação na política de privacidade: A sua política de privacidade tem de divulgar as categorias de informações pessoais recolhidas, as finalidades da recolha, as categorias de terceiros com quem as informações são partilhadas e se as informações são vendidas ou partilhadas.
  4. Informações pessoais sensíveis: A CPRA introduz o direito de "Limitar o Uso das Minhas Informações Pessoais Sensíveis". Se os cookies recolherem informações sensíveis (como a geolocalização precisa), os consumidores têm de poder limitar a sua utilização.
  5. Menores: Para consumidores com menos de 16 anos, a CCPA/CPRA passa a um modelo de consentimento prévio. Não é permitido vender nem partilhar as informações pessoais de um consumidor que se saiba ter menos de 16 anos sem consentimento afirmativo (do próprio consumidor, se tiver entre 13 e 15 anos; de um progenitor ou tutor, se tiver menos de 13).

Quem Está Obrigado a Cumprir

A CCPA/CPRA aplica-se a empresas com fins lucrativos que operem na Califórnia e que cumpram qualquer um dos seguintes limiares: receita bruta anual superior a 25 milhões de dólares; compra, venda ou partilha das informações pessoais de 100 000 ou mais consumidores ou agregados familiares; ou obtenção de 50% ou mais da receita anual através da venda ou partilha de informações pessoais de consumidores.

Outras Leis Estaduais de Privacidade dos EUA

Vários outros estados promulgaram leis abrangentes de privacidade com implicações para a conformidade dos cookies. Embora nenhuma seja tão detalhada como a CCPA/CPRA, estabelecem temas consistentes em torno dos direitos de recusa e da transparência dos dados.

Colorado Privacy Act (CPA)

Em vigor desde: 1 de julho de 2023. Fiscalizada por: Procurador-Geral do Colorado.

Exige direitos de recusa para a publicidade direcionada e a venda de dados pessoais. As empresas têm de respeitar mecanismos universais de recusa (como o GPC). As regras do Colorado exigem especificamente um método de recusa "claro e evidente" e reconhecem os sinais universais de recusa, tornando a conformidade com o GPC efetivamente obrigatória para as empresas abrangidas.

Connecticut Data Privacy Act (CTDPA)

Em vigor desde: 1 de julho de 2023. Fiscalizada por: Procurador-Geral do Connecticut.

Semelhante à lei do Colorado. Exige a recusa para publicidade direcionada, venda de dados pessoais e elaboração de perfis. Exige o reconhecimento de mecanismos universais de recusa a partir de 1 de janeiro de 2025. Prevê proteções específicas para dados sensíveis, exigindo consentimento prévio.

Virginia Consumer Data Protection Act (VCDPA)

Em vigor desde: 1 de janeiro de 2023. Fiscalizada por: Procurador-Geral da Virgínia.

Prevê direitos de recusa para a publicidade direcionada e a venda de dados pessoais. Não exige o reconhecimento de sinais universais de recusa (ao contrário da Califórnia, do Colorado e do Connecticut). Exige consentimento para o tratamento de dados sensíveis.

Texas Data Privacy and Security Act (TDPSA)

Em vigor desde: 1 de julho de 2024. Fiscalizada por: Procurador-Geral do Texas.

Notavelmente abrangente, sem limiar de receita — aplica-se a qualquer entidade que opere no Texas, que trate dados pessoais e que não seja uma pequena empresa, conforme definido pela SBA. Exige a recusa para a publicidade direcionada e a venda de dados. Exige o reconhecimento de mecanismos universais de recusa.

Oregon Consumer Privacy Act (OCPA)

Em vigor desde: 1 de julho de 2024. Fiscalizada por: Procurador-Geral do Oregon.

Aplica-se a empresas que controlem ou tratem os dados de mais de 100 000 consumidores do Oregon, ou de mais de 25 000 consumidores caso obtenham mais de 25% da receita através da venda de dados. Prevê direitos de recusa padrão e exige um período de correção de 30 dias para as infrações.

Comparação: Estados dos EUA vs. GDPR

Requisito GDPR/ePrivacy CCPA/CPRA Outros Estados dos EUA
Modelo de consentimento Consentimento prévio (opt-in) Recusa (opt-out) Recusa (opt-out)
Consentimento de cookies exigido antes da colocação Sim Não Não
Banner de cookies obrigatório Na prática, sim Não (exige ligação de recusa) Não
Consentimento granular por categoria Sim Não Não
Direito de recusar o rastreamento Sim (não consentindo) Sim ("Não Vender/Partilhar") Sim (anúncios direcionados/venda de dados)
GPC/recusa universal obrigatória Não especificado Sim Varia (CA, CO, CT, TX: sim)
Política de privacidade obrigatória Sim Sim Sim
Dados sensíveis: consentimento prévio obrigatório Sim (consentimento explícito) Direito de limitar a utilização Varia (a maioria: consentimento prévio)
Fiscalização APD + ação privada (limitada) CPPA + Procurador-Geral + direito de ação privada (violações de dados) Apenas o Procurador-Geral
Coimas máximas 4% do volume de negócios global / €20M 2500 $/infração; 7500 $/infração intencional Varia; normalmente 7500-10 000 $

Abordagem Prática: A Conformidade com o GDPR Cobre a Maioria dos Requisitos dos EUA

Se o seu sítio web já cumpre o GDPR, está numa boa posição para a conformidade nos EUA. O modelo de consentimento prévio do GDPR é mais rigoroso do que o modelo de recusa de qualquer estado dos EUA. Contudo, há requisitos específicos nos EUA que o GDPR não contempla:

  1. Ligação "Não Vender nem Partilhar": O GDPR exige a gestão de consentimento, mas não uma ligação específica de "Não Vender nem Partilhar". Se tiver visitantes da Califórnia e cumprir os limiares da CCPA, precisa desta ligação.
  2. Reconhecimento do sinal GPC: Embora o GDPR não exija o reconhecimento de sinais do navegador, vários estados dos EUA tornam-no obrigatório. Implementar o reconhecimento do GPC é simples e demonstra respeito pelas preferências dos utilizadores.
  3. Divulgações específicas na política de privacidade: A CCPA/CPRA exige divulgações formatadas de formas específicas (categorias de informações recolhidas nos 12 meses anteriores, categorias de fontes, etc.) que diferem dos requisitos do aviso de privacidade do GDPR.
  4. "Do Not Track" vs. GPC: O antigo sinal Do Not Track (DNT) do navegador nunca foi juridicamente vinculativo. O GPC é o seu sucessor e é juridicamente vinculativo ao abrigo da CCPA/CPRA e de várias outras leis estaduais. Certifique-se de que a sua plataforma de gestão de consentimento reconhece e atua sobre os sinais GPC.

A Perspetiva de uma Lei Federal de Privacidade nos EUA

A American Data Privacy and Protection Act (ADPPA) esteve mais perto de ser aprovada do que qualquer projeto de lei federal anterior sobre privacidade quando avançou na House Energy and Commerce Committee em julho de 2022, mas acabou por ficar bloqueada. As sessões subsequentes do Congresso viram novas propostas, mas, no início de 2026, ainda não foi promulgada qualquer lei federal de privacidade.

Os principais obstáculos mantêm-se:

  • Prevalência (preemption): Se uma lei federal deve prevalecer sobre as leis estaduais (a Califórnia opõe-se a uma prevalência que enfraqueceria a CCPA/CPRA).
  • Direito de ação privada: Se os indivíduos devem poder processar diretamente as empresas por violações de privacidade.
  • Consentimento prévio vs. recusa: Se a norma federal deve adotar um modelo de consentimento prévio para os dados sensíveis ou manter a abordagem de recusa.

Até que uma lei federal seja promulgada, as empresas têm de navegar por este mosaico estado a estado. O conselho prático mantém-se: construir um sistema de gestão de consentimento capaz de responder aos requisitos mais restritivos (consentimento prévio do GDPR) e acrescentar funcionalidades específicas dos EUA (ligações de recusa, suporte para GPC) conforme necessário.

Recomendações para a Conformidade Global

Para sítios web que servem tanto visitantes da UE como dos EUA, a abordagem mais eficiente é:

  1. Implementar uma gestão de consentimento conforme com o GDPR como base. Isto proporciona-lhe o modelo mais rigoroso, que satisfaz inerentemente os requisitos menos rigorosos.
  2. Acrescentar um mecanismo de "Não Vender nem Partilhar" caso cumpra os limiares da CCPA ou tenha um tráfego significativo da Califórnia.
  3. Implementar o reconhecimento do sinal GPC para todos os visitantes. É uma implementação técnica simples, com benefícios jurídicos significativos.
  4. Utilizar a geolocalização para apresentar experiências de consentimento adequadas. Os visitantes da UE veem um banner de consentimento prévio; os visitantes dos EUA veem um aviso menos intrusivo com opções de recusa. Isto equilibra a conformidade com a experiência do utilizador.
  5. Manter divulgações de privacidade abrangentes que satisfaçam tanto os requisitos do GDPR como os da CCPA/CPRA.

A tendência global é inequivocamente no sentido de uma maior proteção da privacidade e de um maior controlo do utilizador sobre as tecnologias de rastreamento. Construir uma gestão de consentimento robusta desde já é um investimento que dará frutos à medida que continuam a surgir novas regulamentações.

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente