Skip to main content

GDPR e Cookies: Um Guia Completo para a Conformidade

O Regulamento Geral sobre a Proteção de Dados (GDPR) transformou a forma como os websites lidam com cookies quando entrou em vigor a 25 de maio de 2018. Embora a Diretiva ePrivacy seja a principal legislação da UE que rege os cookies, o GDPR aplica-se sempre que os cookies tratam dados pessoais — o que, na prática, significa quase sempre. Compreender como o GDPR se aplica aos cookies é essencial para qualquer website que opere ou tenha como alvo utilizadores no Espaço Económico Europeu.

Como o GDPR se Aplica aos Cookies

O GDPR não menciona os cookies pelo nome. Em vez disso, rege o tratamento de dados pessoais, definido no artigo 4.º, n.º 1, como qualquer informação relativa a uma pessoa singular identificada ou identificável. O considerando 30 do GDPR afirma explicitamente que os identificadores online — incluindo os identificadores de cookies — podem ser utilizados para criar perfis de pessoas singulares e identificá-las. Isto significa que qualquer cookie que contenha ou esteja associado a um identificador único constitui um dado pessoal ao abrigo do GDPR.

Na prática, isto abrange quase todos os cookies, para além dos mais básicos cookies funcionais. Os cookies de análise que atribuem um ID único de visitante, os cookies de publicidade que rastreiam o comportamento de navegação e até os cookies de sessão associados a uma conta de utilizador tratam todos dados pessoais e, por conseguinte, estão sujeitos aos requisitos do GDPR.

Artigo 6.º: Base Jurídica para o Tratamento

Ao abrigo do artigo 6.º do GDPR, cada instância de tratamento de dados pessoais requer uma base jurídica. No que respeita ao tratamento relacionado com cookies, invocam-se mais frequentemente duas bases:

  • Consentimento (artigo 6.º, n.º 1, alínea a)): O titular dos dados deu o seu consentimento para o tratamento para uma ou mais finalidades específicas. Esta é a principal base jurídica para a maioria do tratamento de cookies, sobretudo para cookies de análise, de marketing e de publicidade.
  • Interesse legítimo (artigo 6.º, n.º 1, alínea f)): O tratamento é necessário para efeito dos interesses legítimos do responsável pelo tratamento, desde que esses interesses não prevaleçam sobre os direitos e liberdades do titular dos dados.

A base de interesse legítimo tem sido objeto de intenso debate no contexto dos cookies. Alguns operadores de websites argumentaram que o rastreamento analítico serve um interesse legítimo. No entanto, várias Autoridades de Proteção de Dados rejeitaram este argumento no que respeita a cookies que não sejam estritamente necessários. A CNIL francesa, a DSB austríaca e o Comité Europeu para a Proteção de Dados (EDPB) adotaram todos a posição de que o consentimento é necessário para os cookies de análise e de que o interesse legítimo não pode servir de base jurídica para colocar cookies não essenciais no dispositivo de um utilizador.

As Orientações 05/2020 do EDPB sobre o consentimento afirmam inequivocamente: "Percorrer ou continuar a navegar num website não constitui um consentimento válido." A era do consentimento tácito para cookies terminou.

Artigo 7.º: Condições para um Consentimento Válido

O artigo 7.º estabelece as condições que o consentimento deve preencher. Para que o consentimento a cookies seja válido ao abrigo do GDPR, este deve ser:

  1. Dado livremente: O utilizador deve ter uma escolha genuína. O consentimento não é dado livremente se o utilizador não puder recusá-lo ou retirá-lo sem prejuízo. Os cookie walls que bloqueiam o acesso a um website salvo se todos os cookies forem aceites foram considerados não conformes por várias autoridades de proteção de dados, embora o panorama jurídico varie consoante a jurisdição.
  2. Específico: O consentimento deve ser dado para cada finalidade distinta. Um único botão "Aceitar tudo" sem a opção de consentir em categorias específicas não cumpre este requisito.
  3. Informado: O utilizador deve ser claramente informado sobre aquilo em que está a consentir. Isto implica identificar os cookies, as suas finalidades, os dados recolhidos e quaisquer terceiros envolvidos.
  4. Inequívoco: O consentimento deve ser dado através de um ato afirmativo claro. Caixas pré-selecionadas, o silêncio ou a inatividade não constituem consentimento válido.

O artigo 7.º, n.º 3, acrescenta um requisito fundamental: retirar o consentimento deve ser tão fácil como dá-lo. Se um utilizador puder aceitar cookies com um único clique, deve poder retirar esse consentimento com igual facilidade. Um banner de cookies que dê destaque ao botão "Aceitar", mas esconda a opção de recusa numa página de definições a vários cliques de distância, não cumpre a lei.

Artigo 4.º, n.º 11: A Definição de Consentimento

O artigo 4.º, n.º 11, define o consentimento como "uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento".

Esta definição é reforçada pelo considerando 32, que afirma:

"O consentimento deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular dos dados consente no tratamento dos dados que lhe digam respeito. Tal poderá incluir assinalar uma opção ao visitar um sítio web na Internet. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento."

O acórdão histórico Planet49 do Tribunal de Justiça da União Europeia (TJUE), de outubro de 2019 (Processo C-673/17), confirmou esta interpretação, decidindo que as caixas pré-selecionadas não constituem um consentimento válido para cookies.

Obrigações de Transparência: Artigos 12.º a 14.º

Os artigos 12.º a 14.º exigem que os responsáveis pelo tratamento facultem informações sobre o tratamento de dados de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. No que respeita aos cookies, isto significa:

  • A sua política de cookies deve ser redigida numa linguagem que os utilizadores comuns consigam compreender — e não em jargão jurídico.
  • As informações devem ser prestadas no momento da recolha dos dados (ou seja, antes de os cookies serem colocados).
  • Os utilizadores devem ser informados sobre a identidade do responsável pelo tratamento, as finalidades do tratamento, as categorias de dados, os eventuais destinatários, os prazos de conservação e os seus direitos.
  • Se os cookies forem partilhados com terceiros (como o Google Analytics, o Facebook Pixel ou redes de publicidade), esses terceiros devem ser identificados.

Artigo 17.º: O Direito ao Apagamento

O artigo 17.º confere aos titulares dos dados o direito ao apagamento dos seus dados pessoais. No contexto dos cookies, isto significa que, se um utilizador solicitar a eliminação dos seus dados, quaisquer dados pessoais recolhidos através de cookies devem ser eliminados. Isto inclui perfis de análise, identificadores de publicidade e quaisquer outros dados associados a identificadores de cookies.

Para os operadores de websites que utilizam serviços de análise ou de publicidade de terceiros, isto pode ser particularmente complexo, uma vez que os dados podem estar na posse de terceiros. Os seus acordos de tratamento de dados com fornecedores de cookies terceiros devem incluir disposições para o tratamento dos pedidos de apagamento.

GDPR vs. ePrivacy: Quando se Aplica Cada Um?

A relação entre o GDPR e a Diretiva ePrivacy pode ser confusa. Eis como interagem:

  • A Diretiva ePrivacy (artigo 5.º, n.º 3) rege o ato de armazenar ou aceder a informações no dispositivo de um utilizador. Exige consentimento para todos os cookies, exceto os que são estritamente necessários. Esta é a lex specialis (lei específica) para os cookies.
  • O GDPR rege o tratamento subsequente de quaisquer dados pessoais recolhidos através de cookies. Estabelece o enquadramento para aquilo que constitui um consentimento válido, os direitos dos titulares dos dados e as obrigações dos responsáveis pelo tratamento.

Em termos práticos: a Diretiva ePrivacy diz-lhe que precisa de consentimento para colocar um cookie. O GDPR diz-lhe como deve ser um consentimento válido, o que pode fazer com os dados e quais os direitos que os utilizadores têm relativamente a esses dados. Ambos se aplicam em simultâneo.

Autoridades de Proteção de Dados e Aplicação da Lei

Cada Estado-Membro da UE tem uma Autoridade de Proteção de Dados (APD) responsável pela aplicação tanto do GDPR como das transposições nacionais da Diretiva ePrivacy. Estas autoridades têm o poder de investigar queixas, realizar auditorias e aplicar coimas até 4% do volume de negócios anual global ou 20 milhões de euros, consoante o valor mais elevado.

A aplicação da lei relacionada com cookies acelerou drasticamente desde 2020. As APD em toda a Europa passaram das orientações e advertências para coimas substanciais, tornando a conformidade em matéria de cookies um risco empresarial real e não uma mera preocupação teórica.

Principais Coimas GDPR Relacionadas com Cookies

As seguintes ações de aplicação da lei demonstram as consequências financeiras reais da não conformidade em matéria de cookies:

Empresa Coima Autoridade Ano Questão Central
Amazon Europe 746 milhões de euros CNPD (Luxemburgo) 2021 Rastreamento de publicidade e mecanismos de consentimento não conformes
Google LLC 150 milhões de euros CNIL (França) 2022 Recusar cookies não era tão fácil como aceitá-los
Facebook (Meta) 60 milhões de euros CNIL (França) 2022 Inexistência de um mecanismo simples para recusar cookies
Microsoft (Bing) 60 milhões de euros CNIL (França) 2022 Cookies colocados sem consentimento, sem mecanismo de recusa fácil
TikTok 5 milhões de euros CNIL (França) 2023 Recusar cookies exigia mais cliques do que aceitá-los
Criteo 40 milhões de euros CNIL (França) 2023 Falha na obtenção de consentimento válido para cookies de rastreamento
Vueling Airlines 30 000 euros AEPD (Espanha) 2020 Inexistência de opção para rejeitar cookies, apenas "aceitar"

Estas coimas não se limitam às grandes empresas. As pequenas e médias empresas também foram alvo de ações de aplicação da lei, sobretudo em França, Itália e Alemanha. Só a CNIL emitiu mais de 100 notificações formais a websites de todas as dimensões relativamente à conformidade em matéria de cookies em 2021.

Lista de Verificação Prática para a Conformidade de Cookies com o GDPR

Utilize esta lista de verificação para confirmar se o seu website cumpre os requisitos do GDPR em matéria de cookies:

  1. Identifique todos os cookies que o seu website coloca, incluindo os que são colocados por scripts de terceiros, como serviços de análise, de publicidade e widgets de redes sociais.
  2. Classifique cada cookie como estritamente necessário, funcional, de análise ou de marketing/publicidade.
  3. Implemente o consentimento prévio para todos os cookies não essenciais. Nenhum cookie de análise ou de marketing deve ser ativado antes de o utilizador ter dado o seu consentimento.
  4. Apresente as escolhas de consentimento de forma equitativa. A opção de recusar cookies deve ser tão visível e acessível como a opção de os aceitar.
  5. Ofereça consentimento granular. Os utilizadores devem poder consentir em categorias específicas de cookies, em vez de serem forçados a uma escolha do tipo "tudo ou nada".
  6. Não utilize caixas pré-selecionadas. Todas as categorias opcionais de cookies devem estar desmarcadas por predefinição.
  7. Faculte informações claras sobre a finalidade de cada cookie, os dados que recolhe, quem tem acesso a esses dados e durante quanto tempo o cookie persiste.
  8. Identifique os terceiros. Indique os serviços de terceiros que colocam cookies no seu site (Google Analytics, Facebook Pixel, HubSpot, etc.).
  9. Facilite a retirada do consentimento. Disponibilize uma forma permanente e de fácil acesso para os utilizadores alterarem as suas preferências de cookies após o consentimento inicial. Uma ligação no rodapé ou um ícone flutuante são abordagens comuns.
  10. Guarde os registos de consentimento. Mantenha um registo do momento em que cada utilizador deu o consentimento, aquilo em que consentiu e a versão da política de cookies em vigor nesse momento.
  11. Respeite tecnicamente as escolhas de consentimento. Assegure-se de que recusar o consentimento impede efetivamente a colocação dos cookies correspondentes. Isto requer o bloqueio dos scripts antes do consentimento, e não apenas a eliminação dos cookies após o facto.
  12. Mantenha uma política de cookies que seja atual, rigorosa e redigida em linguagem simples. Atualize-a sempre que adicionar novos cookies ou serviços de terceiros.
  13. Trate os pedidos dos titulares dos dados. Disponha de um processo para responder aos pedidos de apagamento que inclua os dados recolhidos através de cookies.
  14. Efetue análises regulares. Realize análises automatizadas de cookies, no mínimo, mensalmente e após cada implementação, para detetar novos cookies introduzidos por scripts ou plugins atualizados.

A conformidade de cookies ao abrigo do GDPR não é um exercício pontual. Requer atenção contínua à medida que o seu website evolui, novos scripts são adicionados e as orientações regulamentares são atualizadas. As organizações que a encaram como um processo contínuo, e não como um mero exercício de marcar caixas, são as que evitam ações de aplicação da lei — e que, no processo, conquistam a confiança dos seus utilizadores.

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente