Skip to main content

Categorias de Cookies: Como Classificar Cookies para Consentimento

O consentimento de cookies não é uma decisão de tudo ou nada. As regulamentações de privacidade exigem que os utilizadores possam fazer escolhas granulares sobre que tipos de cookies aceitam. Para tornar isto possível, os cookies são organizados em categorias — grupos definidos com base na sua finalidade, cada um com os seus próprios requisitos de consentimento.

Acertar na categorização é crucial. Classificar erradamente um cookie de marketing como «estritamente necessário» não é apenas um erro técnico — é uma violação de conformidade que os reguladores procuram e penalizam ativamente.

Porque É Que a Categorização É Importante

O GDPR exige que o consentimento seja «específico» (Artigo 4.º, n.º 11). O Grupo de Trabalho do Artigo 29.º (atualmente o EDPB) clarificou que isto significa que o consentimento deve ser dado separadamente para cada finalidade distinta. Agrupar todos os cookies num único «aceitar tudo» sem oferecer uma escolha por categoria não cumpre este critério.

Na prática, isto significa que o seu mecanismo de consentimento de cookies deve apresentar os cookies agrupados por finalidade e permitir que os utilizadores aceitem ou rejeitem cada categoria de forma independente. O padrão que se impôs no setor — e que os reguladores esperam — utiliza quatro categorias.

As Quatro Categorias Padrão de Cookies

1. Cookies Estritamente Necessários

Estes cookies são essenciais para o funcionamento básico do site. Sem eles, o serviço que o utilizador solicitou explicitamente não pode ser prestado.

Consentimento necessário: Não. Os cookies estritamente necessários estão isentos do requisito de consentimento ao abrigo do Artigo 5.º, n.º 3, da Diretiva ePrivacy, que estabelece que o consentimento não é necessário para cookies que sejam «estritamente necessários para que o prestador de um serviço da sociedade da informação explicitamente solicitado pelo assinante ou utilizador possa fornecer o serviço».

Exemplos de cookies estritamente necessários:

  • Cookies de sessão que mantêm o estado de início de sessão
  • Cookies de carrinho de compras num site de comércio eletrónico
  • Tokens de proteção CSRF (cross-site request forgery)
  • Cookies de balanceamento de carga que distribuem o tráfego pelos servidores
  • Cookies de preferência de consentimento (o cookie que memoriza a sua escolha de consentimento)
  • Cookies de segurança que detetam abusos de autenticação

O que NÃO é estritamente necessário:

  • Cookies de análise — mesmo os de origem própria. Medir o tráfego é útil para o operador do site, mas não é necessário para prestar o serviço que o utilizador solicitou.
  • Plugins de redes sociais — botões de partilha e feeds incorporados servem os interesses do proprietário do site, e não uma função que o utilizador solicitou explicitamente.
  • Cookies de publicidade — por definição, servem uma finalidade que vai além do serviço a que o utilizador está a aceder.
  • Cookies de teste A/B — servem os objetivos de otimização do operador do site, e não o pedido explícito do utilizador.

O teste fundamental é a perspetiva: necessário para quem? Se o cookie serve os interesses do operador do site em vez de uma função que o utilizador solicitou explicitamente, não é estritamente necessário — independentemente da importância que possa ter para o negócio.

2. Cookies de Análise / Estatística

Estes cookies recolhem informação sobre a forma como os visitantes utilizam o site: que páginas são visitadas, quanto tempo os utilizadores permanecem, de onde vêm e onde abandonam. Os dados são normalmente agregados e utilizados para melhorar o site.

Consentimento necessário: Sim, na maioria das jurisdições. No entanto, algumas autoridades de proteção de dados (nomeadamente a CNIL francesa e a AP neerlandesa) indicaram que determinadas ferramentas de análise de origem própria podem beneficiar de uma isenção limitada, desde que sejam cumpridas condições específicas (consulte a nossa secção sobre quando é necessário consentimento).

Cookies de análise comuns:

Cookie Serviço Finalidade Duração Predefinida
_ga Google Analytics Distingue utilizadores únicos 2 anos
_ga_* Google Analytics 4 Mantém o estado da sessão 2 anos
_gid Google Analytics Distingue utilizadores (24h) 24 horas
_pk_id.* Matomo ID de visitante 13 meses
_pk_ses.* Matomo Monitorização de sessão 30 minutos
_hjSessionUser_* Hotjar Identificador de utilizador 1 ano

Note que os cookies do Google Analytics são de natureza terceira, mesmo que possam surgir como cookies de origem própria — porque a Google processa os dados nos seus próprios servidores e pode utilizá-los para os seus próprios fins. Esta distinção tem sido relevante em várias ações de fiscalização na Europa.

3. Cookies de Marketing / Publicidade

Estes cookies acompanham os visitantes através de vários sites para construir um perfil do seu comportamento de navegação. Este perfil é utilizado para veicular publicidade direcionada, medir a eficácia das campanhas publicitárias e limitar o número de vezes que um utilizador vê um determinado anúncio.

Consentimento necessário: Sempre. Não existe qualquer exceção para cookies de publicidade em nenhuma interpretação da Diretiva ePrivacy ou do GDPR.

Cookies de marketing comuns:

Cookie Serviço Finalidade Duração Predefinida
_fbp Meta (Facebook) Acompanha visitas para direcionamento de anúncios 3 meses
_gcl_au Google Ads Monitorização de conversões 3 meses
IDE Google DoubleClick Remarketing e veiculação de anúncios 13 meses
_uetsid Microsoft Advertising Monitorização de conversões 1 dia
li_fat_id LinkedIn Identificador indireto de membro 30 dias

Os cookies de marketing são quase sempre de terceiros. Representam o risco de privacidade mais elevado e constituem a categoria mais fortemente regulamentada. Qualquer mecanismo de consentimento que torne mais fácil aceitar cookies de marketing do que rejeitá-los corre o risco de sofrer ações regulatórias.

4. Cookies de Preferências / Funcionalidade

Estes cookies permitem funcionalidades melhoradas e personalização que vão além do estritamente necessário. Memorizam escolhas feitas pelo utilizador, mas não são necessários para o funcionamento do serviço principal.

Consentimento necessário: Sim, embora o nível de risco seja inferior ao dos cookies de análise ou de marketing. Alguns reguladores tratam os cookies de preferências com maior flexibilidade, mas a posição jurídica é que o consentimento continua a ser necessário.

Exemplos:

  • Preferência de idioma (quando o site funciona sem ela, recorrendo simplesmente a outro idioma por predefinição)
  • Seleção de região ou moeda
  • Preenchimento prévio do nome de utilizador nos formulários de início de sessão
  • Preferências do leitor de vídeo (volume, qualidade)
  • Estado do widget de chat (aberto/fechado, histórico de conversas)
  • Tamanho de letra ou preferências de acessibilidade

A distinção entre «estritamente necessário» e «preferências» pode ser subtil. Um cookie de idioma num site de um só idioma não tem qualquer sentido. Um cookie de idioma num site multilingue que, sem ele, recorre por predefinição a um idioma funcional é uma preferência. Um cookie de idioma num site que não funciona de todo sem ele — porque o conteúdo não carrega sem uma seleção de idioma — poderia, em rigor, ser considerado estritamente necessário. O contexto é determinante.

Como Categorizar Corretamente os Seus Cookies

Siga este processo para cada cookie do seu site:

  1. Identifique o cookie. Qual é o seu nome, quem o define (origem própria ou terceiros) e quanto tempo dura?
  2. Determine a sua finalidade. Por que motivo existe este cookie? O que acontece se for removido?
  3. Aplique o teste do estritamente necessário. Este cookie é essencial para uma função que o utilizador solicitou explicitamente? Se o utilizador pediu para iniciar sessão, um cookie de sessão é necessário. Se pretende acompanhar o seu comportamento, essa é a sua necessidade, não a dele.
  4. Atribua a categoria. Se não for estritamente necessário, classifique-o com base na sua finalidade principal: análise, marketing ou preferências.
  5. Documente o seu raciocínio. Para cada cookie, registe por que motivo o categorizou dessa forma. Esta documentação é valiosa caso um regulador venha alguma vez a solicitá-la.

Erros Comuns de Categorização

Com base em ações de fiscalização regulatória e em conclusões de auditorias, estes são os erros mais frequentes:

  • Classificar o Google Analytics como estritamente necessário. Este é, isoladamente, o erro mais comum. O GA é uma ferramenta de análise. Nunca é estritamente necessário para prestar um serviço ao utilizador. Várias APD chamaram especificamente a atenção para isto.
  • Colocar todos os cookies de terceiros em «funcionalidade». Vídeos do YouTube incorporados, botões de partilha em redes sociais e widgets de chat não são estritamente necessários, e os seus cookies servem normalmente finalidades de análise ou marketing que vão além da funcionalidade visível.
  • Ignorar cookies definidos por plugins e integrações. Um site WordPress com 20 plugins pode definir dezenas de cookies dos quais o operador do site nem sequer tem conhecimento. Continua a ser responsável por todos eles.
  • Tratar cookies de marketing como cookies de análise. O Facebook Pixel e a monitorização de conversões do Google Ads são cookies de marketing, e não de análise — a sua finalidade principal é a publicidade, mesmo que utilize os dados para fins analíticos.
  • Categorizar erradamente cookies de teste A/B. Ferramentas como o Optimizely e o VWO definem cookies para atribuir os utilizadores a grupos de teste. Estes não são estritamente necessários e devem ser categorizados como análise ou preferências.

Automatize o Processo

As auditorias manuais de cookies são morosas e propensas a erros. Os sites mudam constantemente — um novo plugin, um script atualizado, uma equipa de marketing a adicionar um pixel de monitorização — e cada alteração pode introduzir novos cookies que precisam de ser categorizados.

O Passiro analisa e categoriza automaticamente todos os cookies do seu site, deteta novos cookies quando surgem e assinala potenciais erros de categorização. Isto garante que o seu mecanismo de consentimento de cookies reflete sempre os cookies que o seu site realmente utiliza — e não apenas aqueles de que tinha conhecimento na última vez que verificou.

Agora que compreendemos as categorias, vejamos o que significa efetivamente o consentimento de cookies em termos jurídicos — os requisitos são mais específicos do que a maioria das pessoas imagina.

O seu website cumpre as regras de cookies?

Analise o seu website gratuitamente e encontre todos os cookies em poucos minutos.

Analise os seus cookies gratuitamente