Skip to main content

Recursos de Conformidade de Cookies e Glossário

A conformidade em matéria de cookies envolve um vocabulário especializado, oriundo da regulamentação da UE, do direito da proteção de dados e da tecnologia web. Este glossário define os termos essenciais com que se irá deparar, seguido de uma coletânea criteriosa de recursos oficiais e referências fidedignas para aprofundamento.

Glossário de Termos Essenciais

A–C

CMP (Plataforma de Gestão de Consentimento): Uma ferramenta ou serviço de software que gere a recolha, o armazenamento e a aplicação do consentimento do utilizador relativamente a cookies e outras tecnologias de rastreamento. Uma CMP disponibiliza normalmente a interface do banner de cookies, armazena os registos de consentimento e controla quais os scripts autorizados a executar com base nas escolhas do utilizador. Como exemplos temos o Cookiebot, o OneTrust, o Usercentrics e soluções de código aberto como o Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): A Autoridade Francesa de Proteção de Dados. A CNIL tem sido o regulador europeu mais ativo na aplicação das regras sobre cookies, tendo aplicado as maiores coimas relacionadas com cookies e publicado as orientações de conformidade mais detalhadas nesta matéria. As suas interpretações e ações de fiscalização definem frequentemente o padrão que as restantes autoridades de proteção de dados seguem.

Consentimento: No contexto do GDPR, uma manifestação de vontade livre, específica, informada e inequívoca do titular dos dados, através de um ato positivo claro. No caso dos cookies, isto significa que o utilizador tem de optar ativamente por autorizar cookies não essenciais mediante uma ação deliberada, como clicar num botão "Aceitar". O silêncio, as caixas pré-assinaladas, a inatividade e a continuação da navegação não constituem consentimento válido.

Cookie: Um pequeno ficheiro de texto colocado no dispositivo de um utilizador por um website. Os cookies são utilizados para uma vasta gama de finalidades, desde a manutenção de sessões de início de sessão (estritamente necessários) até ao rastreamento do comportamento de navegação através da web (publicidade). Tecnicamente, um cookie é um par nome-valor com metadados associados, incluindo o domínio, o caminho, a expiração e os indicadores de segurança.

Banner de cookies: O elemento da interface de utilizador (normalmente uma barra, uma janela modal ou um pop-up) que surge quando o utilizador visita pela primeira vez um website, informando-o sobre a utilização de cookies do site e solicitando o seu consentimento. Um banner de cookies conforme fornece informação clara, oferece escolhas genuínas (aceitar, recusar, personalizar) e não instala cookies não essenciais enquanto o utilizador não responder.

Política de cookies: Um documento (normalmente uma página web dedicada ou uma secção da política de privacidade) que fornece informação detalhada sobre todos os cookies utilizados num website, incluindo os respetivos nomes, finalidades, tipos, durações e os terceiros que os instalam. A política de cookies cumpre as obrigações de transparência do GDPR e o requisito da Diretiva ePrivacy de prestar "informação clara e completa".

Muro de cookies (cookie wall): Um mecanismo que bloqueia o acesso ao conteúdo do website a menos que o utilizador consinta em todos os cookies. Os muros de cookies são controversos e a sua legalidade varia consoante a jurisdição. O EDPB declarou que os muros de cookies comprometem o requisito de consentimento "livremente dado", uma vez que o utilizador se depara com uma escolha do tipo "aceita ou desiste". Algumas autoridades nacionais de proteção de dados (nomeadamente o Conseil d'État francês) admitiram os muros de cookies em condições limitadas, quando o utilizador dispõe de um meio alternativo genuíno de aceder ao conteúdo.

D–E

Dark pattern (padrão manipulador): Uma opção de conceção da interface de utilizador que manipula os utilizadores para tomarem decisões que de outro modo não tomariam. No contexto dos cookies, os dark patterns incluem: tornar o botão "Aceitar" visualmente dominante enquanto se oculta a opção "Recusar", usar linguagem confusa, exigir mais cliques para recusar do que para aceitar e recorrer a táticas de culpabilização (confirm-shaming). O EDPB publicou orientações específicas sobre dark patterns em interfaces de proteção de dados em fevereiro de 2023.

Responsável pelo tratamento: A entidade que determina as finalidades e os meios do tratamento de dados pessoais. No caso dos cookies instalados por um website, o operador do website é normalmente o responsável pelo tratamento. No caso dos cookies de terceiros, pode haver corresponsabilidade entre o operador do website e o terceiro, consoante o grau em que cada parte influencia as finalidades e os meios da recolha de dados.

Subcontratante: Uma entidade que trata dados pessoais por conta de um responsável pelo tratamento, seguindo as instruções deste. Um fornecedor de alojamento ou um fornecedor de CMP que atue exclusivamente sob as instruções do operador do website seria um subcontratante. A distinção é relevante porque os responsáveis pelo tratamento assumem a responsabilidade primária pela conformidade, ao passo que os subcontratantes têm de cumprir as instruções do responsável e os termos de um contrato de tratamento de dados.

Titular dos dados: Uma pessoa singular cujos dados pessoais são tratados. No contexto dos cookies, os titulares dos dados são os visitantes do website cujos dados são recolhidos através de cookies. Os titulares dos dados dispõem de direitos ao abrigo do GDPR, incluindo o direito de acesso, retificação, apagamento, limitação do tratamento, portabilidade dos dados e o direito de oposição.

DPA (Autoridade de Proteção de Dados): A autoridade pública independente responsável por monitorizar e aplicar o direito da proteção de dados em cada Estado-Membro da UE. As DPA têm poderes para investigar reclamações, realizar auditorias, emitir orientações e aplicar coimas. Cada Estado-Membro dispõe de pelo menos uma DPA (a Alemanha tem várias, uma por estado, além do BfDI federal). Exemplos: CNIL (França), Garante (Itália), ICO (Reino Unido), Datatilsynet (Dinamarca/Noruega).

DPO (Encarregado da Proteção de Dados): Uma pessoa designada por um responsável pelo tratamento ou subcontratante para supervisionar a conformidade com o GDPR. O GDPR obriga determinadas organizações a nomear um DPO, incluindo as autoridades públicas e as organizações cujas atividades principais envolvam a monitorização em grande escala dos titulares dos dados. Embora não esteja diretamente relacionado com os cookies, o DPO supervisiona normalmente o programa de conformidade de cookies da organização.

EDPB (Comité Europeu para a Proteção de Dados): O organismo independente da UE que assegura a aplicação coerente do GDPR e promove a cooperação entre as DPA nacionais. O EDPB (que substituiu o Grupo de Trabalho do Artigo 29.º) emite orientações, recomendações e decisões vinculativas. As suas orientações sobre o consentimento (Orientações 05/2020) e sobre os dark patterns são referências essenciais para a conformidade de cookies.

Diretiva ePrivacy (Diretiva 2002/58/CE): A diretiva da UE que rege a privacidade nas comunicações eletrónicas, incluindo a utilização de cookies. O artigo 5.º, n.º 3, constitui a base jurídica principal do requisito de consentimento para cookies. Sendo uma diretiva, tem de ser transposta para o direito nacional por cada Estado-Membro, o que dá origem a variações na sua aplicação. Está prevista a sua substituição pelo Regulamento ePrivacy, que continua em negociação.

F–G

Cookie primário (first-party): Um cookie instalado pelo domínio que o utilizador está a visitar. Por exemplo, se um utilizador visitar example.com e example.com instalar um cookie, esse é um cookie primário. Os cookies primários são normalmente utilizados para funções essenciais (sessões, preferências) e para análise própria. São geralmente considerados menos invasivos do que os cookies de terceiros, uma vez que não conseguem rastrear os utilizadores em diferentes websites.

GDPR (Regulamento Geral sobre a Proteção de Dados): Regulamento (UE) 2016/679, a lei abrangente de proteção de dados da UE, em vigor desde 25 de maio de 2018. O GDPR estabelece o quadro jurídico do que constitui um consentimento válido (aplicado aos cookies através da remissão da Diretiva ePrivacy), dos direitos dos titulares dos dados, das obrigações dos responsáveis pelo tratamento e dos subcontratantes, e do regime de aplicação, incluindo coimas até 4% do volume de negócios anual global ou 20 milhões de euros.

GPC (Global Privacy Control): Um sinal ao nível do navegador que comunica a preferência de um utilizador de recusar a venda ou partilha das suas informações pessoais. Ao contrário do antigo sinal Do Not Track (DNT), o GPC tem respaldo jurídico ao abrigo da CCPA/CPRA e de várias outras leis estaduais de privacidade dos EUA. Quando um utilizador ativa o GPC no seu navegador, os websites abrangidos por estas leis têm de o tratar como um pedido de recusa válido. O GPC é também cada vez mais reconhecido na Europa, embora ainda não seja juridicamente obrigatório ao abrigo do direito da UE.

Google Consent Mode: Uma funcionalidade da infraestrutura de tags da Google que ajusta o comportamento das tags Google (Analytics, Ads, etc.) com base no estado de consentimento comunicado pela CMP do website. O Consent Mode v2, obrigatório para a personalização de anúncios no EEE desde março de 2024, introduz os parâmetros ad_user_data e ad_personalization a par dos já existentes ad_storage e analytics_storage. Quando o consentimento é recusado, as tags Google ajustam o seu comportamento para evitar a instalação de cookies, embora possam continuar a enviar pings limitados e sem cookies consoante a configuração.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Um quadro desenvolvido pela indústria para a gestão do consentimento no ecossistema da publicidade digital. O TCF fornece uma forma padronizada de as CMP, os anunciantes e os editores comunicarem sinais de consentimento ao longo da cadeia de fornecimento da ad tech. A versão 2.2 é o padrão atual. O TCF tem sido alvo de contestação jurídica, nomeadamente a decisão de 2022 da autoridade belga de proteção de dados de que o tratamento da TC string pelo IAB Europe constituía um tratamento de dados pessoais. O quadro continua a ser amplamente utilizado, mas o seu estatuto jurídico continua a evoluir.

Interesse legítimo: Uma das seis bases jurídicas para o tratamento de dados pessoais ao abrigo do artigo 6.º, n.º 1, alínea f), do GDPR. O interesse legítimo exige um teste de ponderação entre os interesses do responsável pelo tratamento e os direitos e liberdades do titular dos dados. No caso dos cookies, a utilização do interesse legítimo como base jurídica é altamente contestada. A posição regulatória europeia dominante é a de que o consentimento (e não o interesse legítimo) é a base adequada para os cookies não essenciais, uma vez que a Diretiva ePrivacy exige especificamente o consentimento para o armazenamento no dispositivo do utilizador.

O–P

Opt-in: Um modelo de consentimento em que o tratamento de dados pessoais (ou a instalação de cookies) não ocorre a menos que o utilizador tome uma ação positiva para o permitir. O modelo de cookies da UE é opt-in: não há cookies não essenciais enquanto o utilizador não consentir. O opt-in proporciona uma proteção mais forte da privacidade, mas exige um mecanismo de consentimento antes do início de qualquer rastreamento.

Opt-out: Um modelo de consentimento em que o tratamento de dados pessoais (ou a instalação de cookies) ocorre por defeito, tendo o utilizador de tomar uma ação para o interromper. O modelo de cookies dos EUA (ao abrigo da CCPA e de leis estaduais semelhantes) é geralmente opt-out: o rastreamento ocorre a menos que o utilizador se oponha. O opt-out coloca o ónus da ação sobre o utilizador, e não sobre o operador do website.

Cookie persistente: Um cookie que permanece no dispositivo do utilizador durante um período definido após o encerramento do navegador. Os cookies persistentes são utilizados para memorizar preferências, manter sessões de início de sessão entre visitas e rastrear o comportamento ao longo do tempo. Têm uma data de expiração definida e permanecem até essa data ser atingida ou até o utilizador os eliminar. A duração dos cookies persistentes deve ser proporcional à sua finalidade.

Dados pessoais: Ao abrigo do GDPR, qualquer informação relativa a uma pessoa singular identificada ou identificável. Isto inclui identificadores óbvios (nome, email) e outros menos óbvios (endereços IP, identificadores de cookies, impressões digitais de dispositivos). O considerando 30 do GDPR afirma explicitamente que os identificadores online, como os identificadores de cookies, podem constituir dados pessoais. Na prática, quase todos os cookies que identificam de forma única um navegador ou um utilizador qualificam-se como dados pessoais.

Consentimento prévio: Consentimento obtido antes de a ação que autoriza ocorrer. No caso dos cookies, o consentimento prévio significa obter o acordo do utilizador antes de instalar quaisquer cookies não essenciais no seu dispositivo. Este é um requisito fundamental do artigo 5.º, n.º 3, da Diretiva ePrivacy. Instalar primeiro os cookies e pedir o consentimento depois, ou eliminar os cookies retroativamente caso o consentimento seja recusado, não cumpre o requisito de consentimento prévio.

S–T

Cookie de sessão: Um cookie que existe apenas durante a sessão de navegação do utilizador e que é eliminado quando o navegador é encerrado. Os cookies de sessão são habitualmente utilizados para manter o estado de início de sessão, o conteúdo do carrinho de compras e outros dados efémeros. Muitos cookies de sessão qualificam-se como estritamente necessários, estando por isso isentos do requisito de consentimento, embora tal dependa da sua finalidade específica.

Cookie estritamente necessário: Um cookie que é essencial para o funcionamento do website e para a prestação de um serviço explicitamente solicitado pelo utilizador. Os cookies estritamente necessários estão isentos do requisito de consentimento ao abrigo do artigo 5.º, n.º 3, da Diretiva ePrivacy. Como exemplos temos os cookies de autenticação, os cookies de segurança (tokens CSRF), os cookies de balanceamento de carga e os cookies de preferências da interface de utilizador que sejam essenciais para o serviço. Os cookies de análise, os cookies de publicidade e os cookies de redes sociais não são estritamente necessários, por mais úteis que o operador do website os considere.

Cookie de terceiros: Um cookie instalado por um domínio diferente daquele que o utilizador está a visitar. Por exemplo, se um utilizador visitar example.com e for instalado um cookie por facebook.com (através de um Pixel do Facebook incorporado em example.com), o cookie do Facebook é um cookie de terceiros. Os cookies de terceiros são utilizados sobretudo para o rastreamento entre sites e a publicidade direcionada. Os principais navegadores estão a restringir ou a eliminar os cookies de terceiros: o Safari e o Firefox já os bloqueiam por defeito, e o Chrome anunciou planos para os descontinuar (embora o calendário tenha sido alterado várias vezes).

Pixel de rastreamento: Uma imagem minúscula e invisível (normalmente de 1x1 pixel) incorporada numa página web ou num email que comunica de volta a um servidor quando é carregada. Embora não seja tecnicamente um cookie, os pixels de rastreamento são uma tecnologia de rastreamento afim que funciona frequentemente em conjunto com os cookies para rastrear o comportamento do utilizador. Estão sujeitos aos mesmos requisitos de consentimento que os cookies ao abrigo da Diretiva ePrivacy, uma vez que implicam o acesso a informação no dispositivo do utilizador (o pedido HTTP transmite o endereço IP do utilizador, informações do navegador e quaisquer cookies associados).

Recursos Oficiais

Legislação e Orientações da UE

Orientações Nacionais das DPA sobre Cookies

Google Consent Mode

IAB Transparency and Consent Framework

Leis de Privacidade dos EUA

Jurisprudência do TJUE

Leituras Complementares

Ferramentas de Conformidade de Cookies

Manter a conformidade em matéria de cookies exige as ferramentas certas. A Passiro disponibiliza uma análise automática de cookies que percorre todo o seu website recorrendo a um motor de navegador real, identifica todos os cookies e tecnologias de rastreamento, categoriza-os através de uma base de dados atualizada continuamente e monitoriza eventuais alterações com análises agendadas e alertas. Combinada com a plataforma de gestão de consentimento da Passiro, esta funcionalidade proporciona-lhe uma visão completa e sempre atualizada da postura de conformidade de cookies do seu website.

Saiba mais sobre as capacidades de análise da Passiro ou execute uma análise gratuita do seu website para ver que cookies o seu site está a instalar atualmente.

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente