Como Redigir uma Política de Cookies: Guia Passo a Passo
Uma política de cookies vale tanto quanto o seu rigor e clareza. Este guia acompanha-o ao longo do processo de criação de uma política de cookies que cumpre os requisitos legais, serve os seus utilizadores e se mantém rigorosa ao longo do tempo. Siga estes nove passos para produzir uma política abrangente, transparente e fácil de manter.
Passo 1: Faça uma Auditoria aos Seus Cookies
Antes de poder escrever sobre os seus cookies, precisa de saber exatamente quais os cookies que o seu site define. Esta é a base de toda a sua política — e o passo em que a maioria das organizações falha.
Uma auditoria de cookies rigorosa implica:
- Analisar todas as páginas. Os cookies podem variar entre páginas. A sua página inicial pode definir cookies diferentes dos da sua página de pagamento, do seu blogue ou das páginas de conta. Uma auditoria completa deve abranger todos os tipos de página.
- Detetar cookies próprios e de terceiros. Os cookies próprios são definidos pelo seu próprio domínio. Os cookies de terceiros são definidos por serviços externos — plataformas de análise, redes de publicidade, widgets de redes sociais, vídeos incorporados, widgets de chat, processadores de pagamento e muito mais.
- Identificar armazenamento não baseado em cookies. Os sites modernos também utilizam localStorage, sessionStorage, IndexedDB e pixel tags. Uma política abrangente cobre todos os mecanismos de armazenamento do lado do cliente, e não apenas os cookies HTTP.
- Testar com e sem consentimento. Alguns cookies são definidos independentemente do consentimento (cookies estritamente necessários). Outros só deverão surgir depois de o consentimento ser concedido. A sua auditoria deve verificar que os cookies não essenciais estão efetivamente bloqueados até o consentimento ser dado.
As auditorias manuais não são fiáveis. Abrir manualmente as ferramentas de programador do navegador numa mão-cheia de páginas irá deixar passar cookies definidos por scripts de terceiros que carregam de forma assíncrona, cookies definidos apenas em ações específicas do utilizador e cookies que só surgem em visitas subsequentes. Utilize ferramentas de análise automatizadas para obter uma imagem completa.
O scanner de cookies automatizado da Passiro percorre a totalidade do seu site, identifica todos os cookies e mecanismos de armazenamento e disponibiliza um relatório categorizado — o ponto de partida ideal para a sua política.
Passo 2: Categorize Cada Cookie
Assim que tiver uma lista completa de cookies, organize-os em categorias padrão. A categorização mais amplamente aceite, utilizada pela IAB Transparency and Consent Framework e recomendada pela maioria das autoridades de proteção de dados, é a seguinte:
Estritamente Necessários
Cookies sem os quais o site não pode funcionar. Exemplos: cookies de sessão para o estado de início de sessão, cookies do carrinho de compras, tokens de proteção CSRF, cookies de balanceamento de carga, cookies de preferência de consentimento de cookies. Estes estão isentos do requisito de consentimento ao abrigo do artigo 5.º, n.º 3, da Diretiva ePrivacy, mas mesmo assim tem de os divulgar na sua política.
Preferências / Funcionais
Cookies que permitem funcionalidades melhoradas e personalização. Exemplos: seleção de idioma, preferência de região/moeda, definições de tamanho de letra, itens vistos recentemente. Não são estritamente necessários — o site funcionaria sem eles — mas melhoram a experiência do utilizador. Exigem consentimento.
Análise / Estatísticas
Cookies utilizados para recolher dados sobre a forma como os visitantes interagem com o site. Exemplos: cookies do Google Analytics (_ga, _gid), cookies de sessão do Hotjar, Plausible Analytics. Estes exigem consentimento na maioria das jurisdições da UE, embora algumas autoridades de proteção de dados (nomeadamente a CNIL francesa) tenham criado isenções limitadas para ferramentas de medição de audiência que cumpram condições rigorosas.
Marketing / Publicidade
Cookies utilizados para publicidade direcionada, remarketing e medição do desempenho de anúncios. Exemplos: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies de redes de publicidade. Estes exigem sempre consentimento e são a categoria mais escrutinada.
Para cada cookie, atribua uma categoria e verifique se a categorização está correta. Um erro comum é categorizar cookies de análise ou de marketing como "funcionais" para evitar o requisito de consentimento — o que não cumpre a lei e é facilmente detetado pelos reguladores.
Passo 3: Redija a Introdução
A sua política de cookies deve começar com uma breve introdução que abranja:
- Quem é. A entidade legal que opera o site (nome da empresa, morada registada).
- O que este documento abrange. "Esta política de cookies explica como a [Nome da Empresa] utiliza cookies e tecnologias semelhantes em [URL do site]."
- Quando foi atualizada pela última vez. Inclua uma data em destaque.
- Como o contactar. Indique um email de contacto e, se aplicável, os dados do seu Encarregado da Proteção de Dados.
Mantenha a introdução em duas ou três frases. Os utilizadores estão aqui para obter informação específica, e não um preâmbulo corporativo.
Passo 4: Explique o Que São Cookies
Inclua uma explicação breve e não técnica do que são cookies. Muitos dos seus visitantes não saberão. Uma boa explicação é:
Os cookies são pequenos ficheiros de texto armazenados no seu dispositivo (computador, tablet ou telemóvel) quando visita um site. São amplamente utilizados para fazer os sites funcionar, melhorar a eficiência e fornecer informação aos proprietários dos sites. Os cookies definidos pelo site que está a visitar chamam-se "cookies próprios". Os cookies definidos por outras empresas (por exemplo, serviços de análise ou publicidade) chamam-se "cookies de terceiros".
Se o seu site utilizar tecnologias além dos cookies HTTP — como localStorage, pixel tags ou fingerprinting — mencione-as também. "Nesta política, utilizamos o termo 'cookies' para nos referirmos a cookies e tecnologias semelhantes, salvo indicação em contrário."
Passo 5: Liste os Cookies em Formato de Tabela
Apresente os seus cookies numa tabela estruturada, organizada por categoria. Para cada cookie, inclua:
| Campo | Descrição | Exemplo |
|---|---|---|
| Nome | O nome técnico do cookie | _ga |
| Fornecedor | Quem define este cookie | Google Analytics (google.com) |
| Finalidade | O que o cookie faz, em linguagem simples | Gera um ID único para registar dados estatísticos sobre a forma como utiliza o site |
| Tipo | Próprio ou de terceiros; cookie HTTP, localStorage, etc. | Cookie HTTP de terceiros |
| Duração | Durante quanto tempo o cookie persiste | 2 anos |
Eis um exemplo de uma tabela de cookies bem estruturada para a categoria de análise:
| Nome do Cookie | Fornecedor | Finalidade | Tipo | Duração |
|---|---|---|---|---|
_ga |
Google Analytics | Atribui um ID único para distinguir os visitantes e compilar relatórios estatísticos | Terceiros | 2 anos |
_gid |
Google Analytics | Atribui um ID único a cada sessão de navegação para compilar relatórios estatísticos | Terceiros | 24 horas |
_gat_UA-* |
Google Analytics | Limita a taxa de recolha de dados em sites de tráfego elevado | Terceiros | 1 minuto |
Repita esta tabela para cada categoria: Estritamente Necessários, Preferências, Análise e Marketing.
Passo 6: Descreva Cada Categoria
Antes de cada tabela de cookies, forneça uma breve descrição da categoria:
- O que fazem os cookies desta categoria — em termos gerais.
- Se é exigido consentimento — os cookies estritamente necessários não exigem consentimento; todos os outros exigem.
- O que acontece se o utilizador recusar — "Se recusar os cookies de análise, não recolheremos dados sobre as suas visitas. O site funcionará normalmente."
Esta informação contextual ajuda os utilizadores a tomar decisões esclarecidas e cumpre os requisitos de transparência do GDPR.
Passo 7: Explique Como os Utilizadores Podem Controlar os Cookies
Esta secção deve abranger dois mecanismos de controlo:
Através do Seu Banner de Consentimento
Explique que os utilizadores podem gerir as suas preferências de cookies a qualquer momento clicando no seu link ou ícone de definições de cookies. Descreva onde o encontrar (por exemplo, "Clique no ícone de cookies no canto inferior esquerdo de qualquer página" ou "Clique em 'Definições de Cookies' no rodapé"). Seja específico — não se limite a dizer "através do nosso banner de cookies".
Através das Definições do Navegador
Forneça links para as instruções de gestão de cookies dos principais navegadores:
Refira as consequências: "Tenha em atenção que desativar os cookies através das definições do seu navegador pode afetar a funcionalidade deste e de outros sites que visite."
Passo 8: Adicione Informação de Contacto e Dados do EPD
Forneça informação de contacto clara para questões relacionadas com a privacidade:
- Identidade do responsável pelo tratamento: Nome da empresa, morada registada, número de registo.
- Email de contacto para privacidade: Um endereço de email monitorizado (por exemplo, [email protected]).
- Encarregado da Proteção de Dados: Se tiver nomeado um EPD (obrigatório para determinadas organizações ao abrigo do artigo 37.º do GDPR), forneça o seu nome e dados de contacto.
- Autoridade de controlo: Identifique a autoridade de proteção de dados relevante e forneça um link para o seu mecanismo de reclamação. Por exemplo: "Tem o direito de apresentar uma reclamação junto da [Nome da Autoridade] em [URL]."
Passo 9: Date a Política e Planeie Atualizações
Inclua uma data clara de "Última atualização". Comprometa-se a rever e atualizar a política a intervalos regulares e sempre que a sua utilização de cookies mudar.
Considere adicionar uma declaração como: "Revemos esta política de cookies regularmente e iremos atualizá-la sempre que necessário. Quaisquer alterações significativas serão comunicadas através de um aviso no nosso site."
Na prática, planeie pelo menos uma revisão trimestral. Os serviços de terceiros alteram os seus cookies com frequência e até uma pequena atualização de integração pode introduzir novos cookies que têm de ser declarados.
Erros Comuns a Evitar
Mesmo as políticas de cookies redigidas com cuidado contêm frequentemente estes erros:
- Descrições de finalidade vagas. "Este cookie melhora a sua experiência" não diz nada ao utilizador. Seja específico: que dados recolhe o cookie e para que servem?
- Listas de cookies desatualizadas. Se a sua política lista cookies de uma ferramenta que removeu há seis meses, ou não lista cookies de uma ferramenta que adicionou na semana passada, está incorreta. Uma divulgação inexata compromete a transparência.
- Cookies de terceiros em falta. Muitas organizações listam os seus próprios cookies mas esquecem-se de documentar os cookies de terceiros definidos por conteúdo incorporado (vídeos do YouTube, botões de redes sociais, widgets de chat, etc.). Estes são frequentemente os cookies mais intrusivos para a privacidade no site.
- Erros de categorização. Classificar cookies de marketing ou de análise como "funcionais" ou "necessários" para evitar o requisito de consentimento. As autoridades de proteção de dados procuram especificamente este tipo de situações.
- Ausência de mecanismo para alterar preferências. Afirmar que os utilizadores podem gerir as suas preferências mas não fornecer um mecanismo claramente descrito e sempre disponível para o fazer.
- Copiar um modelo sem personalização. Modelos genéricos de política de cookies que não refletem os seus cookies reais, os seus serviços reais ou o seu tratamento de dados real. Um modelo é um ponto de partida, não um documento final.
- Linguagem inacessível. Jargão jurídico, terminologia técnica e estruturas frásicas desnecessariamente complexas. O GDPR exige uma linguagem clara e simples. Escreva para um público não especializado.
Manter a Sua Política Sincronizada com os Cookies Reais
A parte mais difícil de manter uma política de cookies não é redigi-la — é mantê-la rigorosa. Os sites são dinâmicos. As equipas de marketing adicionam novas ferramentas, os programadores integram novos serviços, os sistemas de gestão de conteúdos instalam plugins com capacidades de rastreio. Cada alteração pode introduzir cookies que a sua política não menciona.
A solução passa por uma monitorização automatizada e contínua. Em vez de depender de auditorias manuais (que são pouco frequentes, incompletas e propensas a erros), utilize uma ferramenta de análise que percorra regularmente o seu site, identifique todos os cookies ativos e os compare com a sua lista de cookies declarada.
A Passiro analisa o seu site automaticamente, deteta cookies não declarados e alerta-o quando a sua política precisa de ser atualizada. Isto garante que a sua política de cookies reflete sempre a realidade — e não uma imagem instantânea da última vez que alguém se lembrou de verificar. Saiba mais sobre a conformidade de cookies automatizada da Passiro.
O seu website cumpre as regras de cookies?
Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.
Analise os seus cookies gratuitamente