Quando é Necessário o Consentimento para Cookies?
A regra geral é simples: o consentimento é necessário para todos os cookies, exceto os que são estritamente necessários. Mas os pormenores importam. Saber exatamente quando o consentimento é ou não necessário evita tanto o excesso de conformidade (incomodar os utilizadores com pedidos de consentimento desnecessários) como a falta de conformidade (colocar cookies sem base legal).
A Regra Geral
O Artigo 5.º, n.º 3, da Diretiva ePrivacy estabelece o princípio de base:
Os Estados-Membros assegurarão que o armazenamento de informações ou a obtenção de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só seja permitido na condição de o assinante ou utilizador em causa ter dado o seu consentimento, após lhe terem sido fornecidas informações claras e completas [...] sobre os fins do processamento.
Isto abrange todos os cookies, todo o armazenamento local e todo o armazenamento ou acesso ao nível do dispositivo. Se o seu website escreve seja o que for no dispositivo do utilizador, o consentimento é o requisito por defeito.
A Isenção para Cookies Estritamente Necessários
O mesmo artigo prevê a única isenção:
Esta disposição não impede o armazenamento técnico ou o acesso que tenha como única finalidade efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas, ou que seja estritamente necessário ao fornecedor de um serviço da sociedade da informação expressamente solicitado pelo assinante ou utilizador para fornecer o serviço.
Esta isenção tem duas vertentes:
- Transmissão técnica: Cookies tecnicamente necessários para que a comunicação ocorra. É uma vertente restrita — essencialmente limitada a cookies de balanceamento de carga e a necessidades semelhantes ao nível da rede.
- Estritamente necessários para o serviço: Cookies essenciais para um serviço que o utilizador solicitou expressamente. A expressão-chave é «expressamente solicitado pelo assinante ou utilizador». O serviço tem de ser algo que o utilizador pediu, e o cookie tem de ser indispensável para o fornecer.
Cookies Que São Estritamente Necessários (Sem Consentimento)
- Cookies de autenticação de sessão. Quando um utilizador inicia sessão, o cookie de sessão que mantém o seu estado autenticado é estritamente necessário para o serviço que solicitou (aceder à sua conta).
- Cookies de carrinho de compras. Num site de comércio eletrónico, o cookie que regista os artigos no carrinho é estritamente necessário para o serviço de compras que o utilizador está a usar.
- Tokens de proteção CSRF. São estritamente necessários para o funcionamento seguro do envio de formulários.
- Cookies de preferências de consentimento. O cookie que armazena as escolhas de consentimento do utilizador é estritamente necessário — sem ele, não é possível respeitar as suas preferências de privacidade.
- Cookies relacionados com introdução de dados. Cookies que memorizam dados introduzidos ao longo de um processo com vários passos (como um formulário de finalização de compra) que o utilizador iniciou.
- Cookies de balanceamento de carga. Cookies técnicos que encaminham os pedidos para o servidor correto. Enquadram-se na vertente de «transmissão» da isenção.
- Cookies de personalização da interface. Quando um utilizador seleciona explicitamente um idioma ou um tema através de um controlo na página, o cookie que armazena essa escolha é estritamente necessário para o serviço que solicitou. Contudo, isto depende do contexto — ver abaixo.
Cookies Que NÃO São Estritamente Necessários (Consentimento Obrigatório)
- Cookies de análise (analytics). Medir o tráfego do website beneficia o operador do site, não o utilizador. O utilizador não solicitou um serviço de análise de tráfego.
- Cookies de publicidade e retargeting. Servem os interesses dos anunciantes e do operador do site, nunca do utilizador.
- Cookies de partilha em redes sociais. São definidos por redes sociais de terceiros, e não para um serviço que o utilizador solicitou.
- Cookies de teste A/B. Servem os objetivos de otimização do operador.
- Cookies de rastreio de afiliação. Registam qual o parceiro que referenciou o utilizador, servindo os interesses comerciais do operador.
- Cookies de sessão persistente («lembrar-me»). O CEPD (EDPB) observou que, embora um cookie de sessão para um início de sessão em curso seja necessário, um cookie persistente que mantém o utilizador com sessão iniciada entre visitas vai além do que é estritamente necessário. O utilizador pode voltar a iniciar sessão.
- Cookies de monitorização de desempenho. Cookies usados para monitorizar tempos de carregamento de página, taxas de erro e métricas técnicas semelhantes servem o operador, não o utilizador.
O Debate Sobre a Análise de Primeira Parte
Uma das áreas mais contestadas na conformidade de cookies é saber se os cookies de análise de primeira parte podem ser usados sem consentimento. A resposta varia consoante a jurisdição e está em evolução.
A Posição da CNIL (França)
A CNIL francesa emitiu orientações específicas segundo as quais determinados cookies de medição de audiência podem estar isentos de consentimento, desde que:
- A finalidade se limite estritamente à medição de audiência (sem rastreio entre sites)
- Os dados não sejam partilhados com terceiros
- Os cookies sejam exclusivamente de primeira parte
- Os dados sejam usados apenas para produzir estatísticas anónimas
- Os cookies tenham uma duração limitada (13 meses no máximo)
- Os utilizadores sejam informados da sua utilização
- Os utilizadores possam recusar
Nestas condições, a CNIL considera que determinadas ferramentas (como o Matomo configurado num modo que respeita a privacidade) são elegíveis para a isenção. O Google Analytics não se qualifica, sobretudo porque a Google processa os dados na sua própria infraestrutura e pode usá-los para os seus próprios fins.
A Posição da AP Neerlandesa (Países Baixos)
A Autoriteit Persoonsgegevens neerlandesa indicou, de forma semelhante, que os cookies de análise com impacto mínimo na privacidade podem ser usados sem consentimento, mas definiu condições comparáveis às da CNIL.
Outras Jurisdições
A maioria das restantes autoridades de proteção de dados europeias não adotou uma isenção explícita para a análise. O ICO (Reino Unido) declarou que os cookies de análise exigem consentimento. As autoridades alemãs exigem, em geral, consentimento para todos os cookies não essenciais. A posição da AEPD espanhola alinha-se com a exigência de consentimento.
Recomendação Prática
A menos que opere exclusivamente em França ou nos Países Baixos e consiga cumprir todas as condições da CNIL/AP, a abordagem mais segura é tratar os cookies de análise como exigindo consentimento. Se recorrer à isenção para análise, documente o seu raciocínio, certifique-se de que cumpre todas as condições e acompanhe a evolução regulamentar — esta área ainda está em transformação.
Isenções de Consentimento por Finalidade do Cookie: Um Fluxograma de Decisão
Para cada cookie no seu website, percorra estas perguntas:
- O cookie é tecnicamente necessário para a transmissão da comunicação? (por exemplo, balanceamento de carga) Se sim: não é necessário consentimento. Se não: continue.
- O utilizador solicitou expressamente um serviço que exige este cookie? (por exemplo, iniciar sessão, adicionar artigos ao carrinho) Se sim: continue. Se não: é necessário consentimento.
- O serviço solicitado deixaria de funcionar sem este cookie específico? Se sim: não é necessário consentimento (estritamente necessário). Se o serviço funcionasse, mas com menos comodidade: é necessário consentimento.
- O cookie é de primeira parte, limitado a análises agregadas, com dados que não são partilhados com terceiros, e está numa jurisdição com isenção para análise? Se sim a tudo: potencialmente isento, mas documente o seu raciocínio. Se não a qualquer ponto: é necessário consentimento.
- Em todos os outros casos: é necessário consentimento.
Situações Especiais
Muros de Cookies (Cookie Walls)
Um muro de cookies bloqueia o acesso a um website a menos que o utilizador aceite os cookies. A posição do CEPD (EDPB) é a de que os muros de cookies geralmente impedem que o consentimento seja «dado livremente» e, por isso, não estão em conformidade. Contudo, algumas autoridades (nomeadamente a AP neerlandesa, na sequência de uma decisão judicial) indicaram que os muros de cookies podem ser aceitáveis se for oferecida uma alternativa genuína e equivalente — como uma versão paga e sem cookies do serviço. Esta continua a ser uma área contestada.
Paywall vs. Muro de Cookies
Alguns editores oferecem um modelo de «consentir ou pagar»: aceitar cookies de rastreio para acesso gratuito, ou pagar por uma experiência sem cookies. O CEPD emitiu um parecer em 2024 sobre esta prática, reconhecendo que pode ser admissível em determinadas condições, mas manifestando a preocupação de que a alternativa «paga» tem de ser genuinamente razoável e não estar fixada num preço concebido para coagir ao consentimento.
Crianças
Nos termos do Artigo 8.º do GDPR, o consentimento para serviços da sociedade da informação dirigidos a crianças exige verificação e, para crianças abaixo de determinada idade (que varia entre os 13 e os 16 anos consoante o Estado-Membro), o consentimento dos pais. Se o seu website se dirige a crianças, os requisitos de consentimento para cookies são mais rigorosos.
Contextos de Colaboradores e B2B
A Diretiva ePrivacy aplica-se ao «assinante ou utilizador» — e não apenas a consumidores. Se a sua plataforma SaaS B2B usa cookies não essenciais, o consentimento continua a ser necessário por parte do utilizador individual, mesmo num contexto empresarial.
O Que Acontece Sem Consentimento Válido
Se colocar cookies não essenciais sem consentimento válido:
- Os dados que recolher podem ser ilícitos tanto ao abrigo da Diretiva ePrivacy como do GDPR.
- Está sujeito a coimas potenciais ao abrigo do GDPR até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o valor mais elevado (Artigo 83.º, n.º 5).
- Pode ser-lhe ordenado que elimine os dados recolhidos ilicitamente.
- Os seus dados de análise e publicidade podem ficar comprometidos — se a base legal para a recolha é inválida, os dados não podem ser usados de forma lícita.
- Os destinatários subsequentes desses dados (redes de publicidade, fornecedores de análise) podem também incorrer em responsabilidade.
Não se trata de riscos hipotéticos. A CNIL aplicou coimas de 150 milhões de euros à Google e de 60 milhões de euros ao Facebook especificamente por violações do consentimento para cookies. Empresas mais pequenas enfrentaram coimas na ordem das dezenas de milhares de euros por falhas semelhantes.
O Passiro identifica todos os cookies no seu website e assinala os que exigem consentimento, para que possa ter a certeza de que o seu mecanismo de consentimento cobre exatamente os cookies certos — nem mais, nem menos.
De seguida, comparemos os dois modelos fundamentais de consentimento: opt-in versus opt-out, e qual deles se aplica em cada caso.
O seu website cumpre as regras de cookies?
Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.
Analise os seus cookies gratuitamente