Skip to main content

O Que São Cookies?

Os cookies são pequenos ficheiros de texto que os websites armazenam no seu navegador. Quando visita um website, o servidor pode enviar um cookie juntamente com o conteúdo da página. O seu navegador guarda esse cookie e reenvia-o para o servidor em cada pedido subsequente. Este mecanismo simples — guardar um valor, reenviá-lo — é a base de praticamente todas as experiências web personalizadas.

Compreender o que são os cookies, como funcionam e para que são utilizados é o primeiro passo essencial rumo à conformidade em matéria de cookies. Não é possível regular aquilo que não se compreende.

Como Funcionam os Cookies Tecnicamente

Na sua essência, os cookies são pares chave-valor. Um cookie tem um nome, um valor e um conjunto de atributos que controlam o seu comportamento. Quando um servidor web pretende definir um cookie, inclui um cabeçalho Set-Cookie na sua resposta HTTP:

Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly

Isto indica ao navegador: "Guarda um cookie com o nome session_id e o valor abc123. Envia-o com cada pedido a qualquer caminho neste domínio. Mantém-no até março de 2027. Envia-o apenas através de HTTPS. E não permitas que o JavaScript lhe aceda."

Em cada pedido subsequente a esse domínio, o navegador inclui automaticamente o cookie no cabeçalho Cookie:

Cookie: session_id=abc123

O servidor lê este valor e sabe de quem provém o pedido. É este o mecanismo por completo. Os cookies não são programas. Não conseguem executar código, aceder ao seu sistema de ficheiros nem instalar seja o que for. São dados passivos — cadeias de texto que circulam entre o navegador e o servidor.

Para Que Servem os Cookies

Os cookies cumprem quatro grandes finalidades na web moderna:

Autenticação e Gestão de Sessões

Quando inicia sessão num website, o servidor cria uma sessão e armazena um identificador de sessão único num cookie. Sem este cookie, o servidor não teria forma de saber que o seu pedido de página seguinte provém do mesmo utilizador com sessão iniciada. Cada carregamento de página pareceria uma primeira visita. Carrinhos de compras, contas de utilizador, painéis de administração — nenhum funciona sem cookies de sessão.

Preferências do Utilizador

Os cookies memorizam as suas escolhas. Preferências de idioma, definições de tema (modo escuro vs. modo claro), seleção de moeda, as próprias escolhas de consentimento de cookies — tudo isto é normalmente armazenado em cookies. Quando regressa a um site e este já sabe que prefere alemão, esse conhecimento reside num cookie.

Análise e Desempenho

Serviços como o Google Analytics, o Matomo e o Plausible utilizam cookies para distinguir entre visitantes únicos e visitantes recorrentes, para acompanhar quais as páginas visualizadas numa única sessão e para medir a forma como os visitantes navegam por um site. O cookie de análise não costuma conter informações pessoais diretamente — contém um identificador anónimo como _ga=GA1.2.123456789.1710000000.

Publicidade e Rastreio

É aqui que os cookies se tornam uma questão de privacidade. As redes publicitárias utilizam cookies para rastrear utilizadores em múltiplos websites, construindo perfis de comportamento de navegação que permitem publicidade direcionada. Quando visita um site de notícias e mais tarde vê anúncios de um produto que consultou noutro site, foram os cookies de rastreio entre sites que o tornaram possível. Estes cookies de terceiros são o principal alvo da regulamentação moderna em matéria de privacidade.

Uma Breve História dos Cookies

Os cookies foram inventados em 1994 por Lou Montulli, um programador da Netscape Communications. A finalidade original era modesta: a Netscape precisava de uma forma de implementar um carrinho de compras para um cliente de comércio eletrónico sem armazenar o conteúdo do carrinho de cada utilizador no servidor. Montulli adaptou o conceito de "magic cookies" da computação Unix — pequenos tokens transmitidos entre programas para manter o estado.

Os primeiros cookies foram uma solução de engenharia prática. Mas o seu potencial para rastreio foi rapidamente reconhecido. Já em 1996, o Financial Times publicava o primeiro artigo de grande divulgação a levantar preocupações de privacidade sobre os cookies. Em 2002, a UE tinha aprovado a Diretiva ePrivacy que os abordava especificamente.

Ao longo das duas décadas seguintes, os cookies evoluíram de uma simples ferramenta de gestão de sessões para a espinha dorsal da indústria da publicidade digital — e o principal alvo da legislação de privacidade em todo o mundo.

Por Que Motivo os Cookies São uma Questão de Privacidade

A questão da privacidade em relação aos cookies não tem a ver com a tecnologia em si. Um cookie que memoriza a sua preferência de idioma é inofensivo. A preocupação decorre de três utilizações específicas:

  1. Rastreio entre sites. Os cookies de terceiros permitem que as redes publicitárias sigam os utilizadores pela web, construindo perfis detalhados de comportamento de navegação. Um utilizador que visita um site de informação médica, o site de uma organização política e um site de encontros revelou informações sensíveis — e tudo isso pode ser interligado através de cookies.
  2. Falta de transparência. A maioria dos utilizadores não faz ideia de quantos cookies são definidos quando visita um website típico. Um único site de notícias pode definir 50 a 100 cookies provenientes de dezenas de domínios diferentes. O utilizador vê um website; nos bastidores, dezenas de empresas observam a sua visita.
  3. Persistência. Os cookies podem durar anos. Um cookie de rastreio definido em 2024 pode continuar a identificar o mesmo utilizador em 2026. Esta capacidade de rastreio a longo prazo, combinada com o alcance entre sites, cria uma infraestrutura de vigilância que opera sem o conhecimento ou o consentimento significativo da maioria dos utilizadores.

São estas preocupações que levam a Diretiva ePrivacy (Artigo 5.º, n.º 3) a exigir consentimento informado antes de colocar cookies não essenciais, e o GDPR (Artigos 4.º, n.º 11, e 7.º) a estabelecer condições rigorosas sobre o que constitui um consentimento válido.

Para Além dos Cookies: Outras Tecnologias de Rastreio

A regulamentação moderna em matéria de privacidade não abrange apenas os cookies. A Diretiva ePrivacy refere-se ao "armazenamento de informações ou à obtenção de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador". Esta formulação abrange deliberadamente qualquer mecanismo de armazenamento do lado do cliente, incluindo:

  • localStorage e sessionStorage — APIs de Web Storage que permitem aos websites armazenar maiores quantidades de dados no navegador. Ao contrário dos cookies, estes dados não são enviados automaticamente para o servidor, mas podem ainda assim ser utilizados para rastreio e exigem consentimento ao abrigo das mesmas regras.
  • IndexedDB — Uma base de dados do lado do cliente mais poderosa. Aplicam-se as mesmas regras de consentimento.
  • Fingerprinting do navegador — Recolha das características do dispositivo (resolução do ecrã, tipos de letra instalados, plugins do navegador, fuso horário) para criar um identificador único sem armazenar nada no dispositivo. Embora o fingerprinting não utilize cookies, é cada vez mais reconhecido como uma tecnologia de rastreio que exige consentimento. A CNIL francesa e várias outras autoridades de proteção de dados emitiram orientações que o confirmam.
  • Pixels de rastreio — Imagens minúsculas e invisíveis carregadas a partir de um servidor de terceiros. O próprio pedido revela o endereço IP do utilizador, o navegador e a página em que se encontra. Os pixels de rastreio funcionam frequentemente em conjunto com cookies, mas podem operar de forma independente.
  • ETags e rastreio baseado em cache — Técnicas que exploram a cache do navegador para armazenar e recuperar identificadores. São menos comuns, mas demonstram por que motivo a regulamentação se centra no resultado (o rastreio) e não na tecnologia específica.

A conclusão prática: se o seu website armazena ou acede a informações no dispositivo de um utilizador para fins não essenciais, ou se emprega técnicas para rastrear utilizadores ao longo de sessões, é quase certo que o consentimento é obrigatório — independentemente de o mecanismo ser tecnicamente um "cookie".

O scanner de cookies da Passiro deteta todos os cookies e tecnologias de rastreio no seu website, incluindo a utilização de localStorage, scripts de terceiros e pixels de rastreio — dando-lhe uma visão completa daquilo que o seu site recolhe.

Principais Conclusões

  • Os cookies são pequenos ficheiros de texto armazenados pelo navegador e reenviados para o servidor em cada pedido.
  • Servem finalidades legítimas (autenticação, preferências) e finalidades sensíveis em termos de privacidade (análise, publicidade).
  • Os cookies de rastreio de terceiros são a principal preocupação da regulamentação de privacidade.
  • Outras tecnologias (localStorage, fingerprinting, pixels) estão sujeitas aos mesmos requisitos de consentimento.
  • Compreender que cookies o seu website utiliza é o primeiro passo rumo à conformidade.

De seguida, vejamos em detalhe os diferentes tipos de cookies — porque é o tipo que determina os requisitos de consentimento.

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente