A Diretiva ePrivacy: A Lei dos Cookies da UE Explicada
Quando se fala na "lei dos cookies da UE", refere-se normalmente à Diretiva ePrivacy — mais concretamente ao Artigo 5.º, n.º 3. Embora o RGPD ocupe a maior parte dos títulos, é a Diretiva ePrivacy que regula diretamente a utilização de cookies e de tecnologias de rastreio semelhantes. Compreender esta diretiva, a sua relação com o RGPD e o futuro Regulamento ePrivacy é essencial para qualquer pessoa responsável pela conformidade em matéria de cookies num site europeu.
O Que É a Diretiva ePrivacy?
A Diretiva ePrivacy (oficialmente Diretiva 2002/58/CE) foi adotada em 12 de julho de 2002 no âmbito do quadro europeu de privacidade nas telecomunicações. Estava originalmente centrada na privacidade nas comunicações eletrónicas — abrangendo temas como a confidencialidade das comunicações, os dados de tráfego, o spam e a identificação de quem chama.
Em 2009, a diretiva foi significativamente alterada pela Diretiva 2009/136/CE (frequentemente designada "Diretiva dos Direitos dos Cidadãos"). Esta alteração introduziu o requisito de consentimento para cookies que conhecemos hoje, substituindo o anterior regime de opt-out por um modelo de opt-in. Antes de 2009, os sites apenas tinham de informar os utilizadores sobre os cookies e conceder-lhes o direito de recusa. A partir de 2009, o consentimento prévio passou a ser obrigatório para todos os cookies não essenciais.
Ao contrário do RGPD, que é um regulamento (diretamente aplicável em todos os Estados-Membros), a Diretiva ePrivacy é uma diretiva (cada Estado-Membro tem de a transpor para o direito nacional). Isto significa que as regras específicas sobre cookies variam de país para país, ainda que os requisitos subjacentes sejam os mesmos.
Artigo 5.º, n.º 3: A Regra do Consentimento para Cookies
O Artigo 5.º, n.º 3, da Diretiva ePrivacy é a disposição que regula diretamente os cookies. Na sua forma alterada, estabelece:
"Os Estados-Membros assegurarão que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos [da Diretiva relativa à Proteção de Dados, atual RGPD], nomeadamente sobre os objetivos do processamento."
Esta disposição estabelece vários requisitos fundamentais:
- Âmbito: Abrange qualquer armazenamento de informações no dispositivo de um utilizador, ou o acesso a informações nele armazenadas. Isto inclui os cookies, mas também o armazenamento local, o IndexedDB, a impressão digital de dispositivos (fingerprinting), os pixels de rastreio e qualquer outra tecnologia que leia ou escreva no dispositivo do utilizador.
- Consentimento prévio: O consentimento tem de ser obtido antes de as informações serem armazenadas ou acedidas — e não depois.
- Consentimento informado: Devem ser prestadas ao utilizador informações claras e completas sobre os objetivos do armazenamento ou acesso.
- Padrão de consentimento: A referência ao RGPD (originalmente à Diretiva relativa à Proteção de Dados) significa que a definição e as condições de consentimento do RGPD se aplicam. O consentimento tem de ser livre, específico, informado e inequívoco.
A Isenção para Cookies "Estritamente Necessários"
O Artigo 5.º, n.º 3, inclui uma isenção importante na sua segunda parte:
"Tal não impedirá o armazenamento técnico ou o acesso que tenha como única finalidade efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas, ou que seja estritamente necessário para fornecer um serviço da sociedade da informação que tenha sido expressamente solicitado pelo assinante ou utilizador."
Esta isenção abrange duas categorias de cookies que não exigem consentimento:
- Cookies necessários para a transmissão de uma comunicação (por exemplo, cookies de balanceamento de carga).
- Cookies estritamente necessários para fornecer um serviço expressamente solicitado pelo utilizador (por exemplo, cookies de carrinho de compras, cookies de sessão de autenticação, cookies de preferências do utilizador para um serviço que o utilizador está ativamente a utilizar).
O antecessor do Comité Europeu para a Proteção de Dados, o Grupo de Trabalho do Artigo 29.º, forneceu orientações detalhadas sobre quais os cookies que se qualificam como estritamente necessários no Parecer 04/2012. Os exemplos incluem:
- Isentos (sem consentimento necessário): cookies de sessão para introdução de dados pelo utilizador (formulários com várias etapas), cookies de autenticação, cookies de carrinho de compras, cookies de segurança (tokens CSRF), cookies de sessão de leitores multimédia, cookies de balanceamento de carga, cookies de personalização da interface (preferência de idioma) para a sessão atual.
- Não isentos (consentimento necessário): cookies de análise (incluindo o Google Analytics), cookies publicitários, cookies de partilha/rastreio de redes sociais, cookies de preferências persistentes que duram para além da sessão, quaisquer cookies de rastreio de terceiros.
A distinção crucial está entre os cookies que servem o pedido explícito do utilizador e os cookies que servem os interesses do operador do site. Um cookie de preferência de idioma definido porque o utilizador clicou num seletor de idioma é estritamente necessário. Um cookie de análise definido para ajudar o operador do site a compreender o tráfego não o é — ainda que o operador o considere importante.
Como a ePrivacy e o RGPD Funcionam em Conjunto
A relação entre a Diretiva ePrivacy e o RGPD é de lex specialis (lei específica) e lex generalis (lei geral). A Diretiva ePrivacy é a lei específica que rege a privacidade nas comunicações eletrónicas, enquanto o RGPD é o quadro geral de proteção de dados.
Em termos práticos:
- A Diretiva ePrivacy rege se pode colocar um cookie no dispositivo de um utilizador. Exige consentimento para cookies não essenciais, independentemente de o cookie conter ou não dados pessoais.
- O RGPD rege o que constitui um consentimento válido e como pode tratar quaisquer dados pessoais recolhidos através de cookies. Fornece também o quadro de aplicação, incluindo o direito de apresentar queixas junto das autoridades de proteção de dados (APD) e o regime substancial de coimas.
Isto significa que mesmo um cookie que não contenha dados pessoais (por exemplo, um identificador de análise gerado aleatoriamente e sem ligação a quaisquer outros dados) exige, ainda assim, consentimento ao abrigo da Diretiva ePrivacy, uma vez que o Artigo 5.º, n.º 3, se aplica a qualquer armazenamento no dispositivo do utilizador — e não apenas ao armazenamento de dados pessoais.
Inversamente, se tratar dados pessoais através de cookies, tem de cumprir todo o quadro do RGPD: base legal, transparência, direitos dos titulares dos dados, avaliações de impacto sobre a proteção de dados e todas as restantes obrigações.
Transposições Nacionais
Uma vez que a Diretiva ePrivacy é uma diretiva e não um regulamento, cada Estado-Membro da UE transpô-la para o direito nacional com algumas variações. Embora o requisito central — consentimento antes de cookies não essenciais — seja consistente em todos os Estados-Membros, existem diferenças notáveis em:
- Intensidade da aplicação: a França (CNIL) e a Itália (Garante) têm sido as mais ativas na aplicação das regras sobre cookies, enquanto outros países concentraram os seus recursos noutras áreas.
- Isenções específicas: alguns países adotaram interpretações ligeiramente mais amplas ou mais restritas da isenção de "estritamente necessário".
- Cookies de análise: algumas APD exploraram se ferramentas de análise devidamente configuradas e respeitadoras da privacidade (por exemplo, análises anonimizadas sem rastreio entre sites) poderiam qualificar-se para uma base de interesse legítimo. A isenção da CNIL francesa para ferramentas de medição de audiência sob condições específicas é o exemplo mais notável, embora permaneça controversa.
- Barreiras de cookies (cookie walls): a legalidade das barreiras de cookies (que exigem consentimento para aceder a um site) varia consoante a jurisdição. A APD neerlandesa e o CEPD adotaram uma posição rigorosa contra elas, ao passo que o Conseil d'État francês as considerou admissíveis sob determinadas condições.
O Regulamento ePrivacy Proposto
A Comissão Europeia publicou uma proposta de Regulamento ePrivacy em janeiro de 2017, destinada a substituir a Diretiva ePrivacy e a alinhar as regras sobre cookies com o RGPD. Mais de nove anos depois, o regulamento continua em negociação, tornando-o um dos processos legislativos mais prolongados da história da UE.
Principais Mudanças no Regulamento Proposto
Embora o texto final ainda não esteja acordado, a proposta e as posições subsequentes do Conselho sugeriram várias mudanças significativas:
- Aplicabilidade direta: por ser um regulamento e não uma diretiva, o Regulamento ePrivacy aplicar-se-ia de forma uniforme em todos os Estados-Membros, eliminando a atual fragmentação.
- Consentimento ao nível do navegador: as primeiras propostas incluíam disposições que permitiriam aos utilizadores definir as suas preferências de cookies ao nível do navegador, em vez de responderem a banners de cookies individuais em cada site. Isto simplificaria drasticamente a experiência do utilizador, embora os desafios técnicos e políticos sejam significativos.
- Âmbito alargado: o regulamento passaria a abranger serviços de comunicação over-the-top (OTT) como o WhatsApp e o Skype, que não estão cobertos pela diretiva atual.
- Isenções mais claras: o regulamento pretende clarificar quais os tipos de cookies isentos de consentimento, alargando potencialmente a isenção para incluir certos tipos de medição de audiência.
- Regras sobre metadados: novas disposições que regem o tratamento de metadados de comunicações (dados de localização, tempos de ligação) para além do que a diretiva atual abrange.
- Aplicação harmonizada: o regulamento estabeleceria um mecanismo de aplicação coerente, provavelmente inspirado no princípio do balcão único do RGPD.
Estado Atual e Cronograma
No início de 2026, o Regulamento ePrivacy continua em negociações de trílogo entre o Parlamento Europeu, o Conselho da UE e a Comissão Europeia. Os progressos têm sido lentos devido a desacordos fundamentais em vários pontos, incluindo o mecanismo de consentimento ao nível do navegador, o âmbito da isenção de "estritamente necessário" e as regras para o tratamento de metadados.
O cenário mais realista é que o regulamento não seja finalizado antes de 2027, na melhor das hipóteses, com um período de transição adicional de 12 a 24 meses antes de entrar em vigor. Os operadores de sites devem continuar a cumprir a atual Diretiva ePrivacy conforme transposta para o seu direito nacional, complementada pelo quadro de consentimento do RGPD.
Implicações Práticas para os Proprietários de Sites
Independentemente da incerteza regulamentar em torno do futuro Regulamento ePrivacy, as regras atuais são claras e ativamente aplicadas. Os proprietários de sites devem:
- Tratar o regime atual como o ponto de partida. O requisito de consentimento para cookies não essenciais é lei estabelecida em toda a UE. Não espere pelo Regulamento ePrivacy para implementar a conformidade.
- Bloquear os cookies não essenciais antes do consentimento. Este é o aspeto tecnicamente mais desafiante da conformidade, mas é inegociável. O seu mecanismo de consentimento de cookies tem de impedir que os scripts definam cookies até que o utilizador tenha consentido ativamente.
- Aplicar o padrão de consentimento do RGPD. Quando a Diretiva ePrivacy fala em "consentimento", refere-se ao consentimento do RGPD: livre, específico, informado, inequívoco e demonstrado por um ato positivo claro.
- Documentar os seus cookies estritamente necessários. Mantenha um registo claro de quais os cookies que considera estritamente necessários e porquê. Esteja preparado para justificar esta classificação caso seja questionado por uma APD.
- Acompanhar a evolução nacional. Como a Diretiva ePrivacy é implementada de forma diferente em cada país, mantenha-se informado sobre as orientações e a atividade de aplicação das APD nos países onde se encontram os seus utilizadores.
- Preparar-se para o Regulamento ePrivacy. Embora o cronograma seja incerto, a direção é clara: regras mais harmonizadas, mecanismos de consentimento potencialmente mais amplos e uma ênfase continuada na privacidade do utilizador. Construir agora um sistema robusto de gestão de consentimento tornará a transição mais suave quando esta chegar.
A Diretiva ePrivacy poderá ter mais de duas décadas, mas continua a ser a pedra angular da lei dos cookies na Europa. Combinada com o quadro de consentimento do RGPD e os programas ativos de aplicação das APD nacionais, cria um ambiente regulamentar em que a conformidade em matéria de cookies não é opcional — é uma obrigação legal com consequências financeiras reais para quem não a cumpre.
O seu website cumpre as regras de cookies?
Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.
Analise os seus cookies gratuitamente