Legislação de Cookies: Resumo com Checklist de Conformidade

CHECKLIST

1. Base Legal – Assegurar cumprimento da Lei 41/2004 (e alterações) e do RGPD.
2. Mapeamento Rápido – Identificar e classificar todos os cookies (necessários vs. não essenciais).
3. Bloqueio Prévio – Garantir que cookies não essenciais só iniciam após consentimento ativo.
4. Banner Claro – Exibir “Aceitar” e “Rejeitar” com igual destaque e linguagem simples em português.
5. Consentimento Granular – Disponibilizar opção “Gerir Preferências” por categorias de cookies.
6. Política de Cookies – Página acessível com nome, finalidade, origem e prazo de cada cookie.
7. Registo e Revogação – Guardar escolha do utilizador, renová-la a cada 6-12 meses e permitir revogação com um clique.

RESUMO DE BASE LEGAL

A legislação portuguesa sobre cookies baseia-se em normas europeias e nacionais. A Diretiva ePrivacy (Diretiva 2002/58/CE, alterada pela Diretiva 2009/136/CE) estabelece regras específicas para privacidade nas comunicações eletrónicas, incluindo o uso de cookies. Em Portugal, esta diretiva foi transposta pela Lei n.º 41/2004, de 18 de agosto, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, posteriormente alterada pela Lei n.º 46/2012, de 29 de agosto (que incorporou as novas exigências de consentimento introduzidas em 2009) e mais recentemente pela Lei n.º 16/2022, de 16 de agosto. Além disso, o Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se sempre que os cookies impliquem tratamento de dados pessoais – o que, na prática, é muito comum. Em suma, os cookies em Portugal estão sujeitos tanto à Lei “ePrivacy” nacional (Lei 41/2004 e suas alterações) quanto ao RGPD, devendo cumprir os requisitos de ambas as leis.

Os websites são obrigados a obter consentimento prévio e informado dos utilizadores antes de armazenar ou aceder a informações no dispositivo – o que inclui colocar cookies não essenciais. Em concreto, a Lei 41/2004 (alterada em 2012) determina que a gravação/leitura de cookies só pode ocorrer com o consentimento prévio do utilizador, depois de este receber informações claras e completas sobre o respetivo uso, nomeadamente as suas finalidades. Os utilizadores devem ser informados de forma transparente sobre que dados serão recolhidos via cookies e para que fins, quem terá acesso a esses dados e por quanto tempo os cookies permanecerão ativos. A informação deve ser fornecida em linguagem clara, inteligível e em português, evitando termos técnicos confusos, dado que a maioria dos utilizadores não é especialista em tecnologias. Importa notar que estas obrigações aplicam-se mesmo que os dados recolhidos não sejam dados pessoais, pois a lei visa proteger a privacidade do utilizador no seu dispositivo em qualquer caso. Quando os cookies resultam em tratamento de dados pessoais, torna-se ainda necessário cumprir os deveres de informação previstos nos artigos 12º-14º do RGPD (por exemplo, indicar na política de privacidade todos os detalhes exigidos sobre o tratamento).

A regra geral é que todos os cookies não essenciais exigem consentimento ativo do utilizador antes da sua utilização. Existem, no entanto, exceções limitadas em que os cookies podem ser utilizados sem recolher consentimento prévio: (a) cookies tecnicamente necessários para efetuar ou facilitar a transmissão de uma comunicação através da rede (por exemplo, cookies indispensáveis ao funcionamento técnico do site), e (b) cookies estritamente necessários para fornecer um serviço da sociedade da informação explicitamente solicitado pelo utilizador (por exemplo, lembrar itens adicionados ao carrinho numa loja online, durante a mesma sessão). Nesses casos excecionais, os cookies podem ser colocados sem consentimento para essas finalidades estritamente necessárias. Importante: mesmo os cookies isentos de consentimento devem ser comunicados ao utilizador – ou seja, o site deve informar que tais cookies existem e explicar a sua finalidade, permitindo ao utilizador compreender por que são legítimos. Fora dessas exceções, qualquer cookie de funcionalidades, preferências, estatísticas (analytics) ou de marketing só pode ser ativado após o utilizador ter dado consentimento livre, específico e informado.

O consentimento do utilizador para cookies deve obedecer aos critérios rigorosos do RGPD. Isso significa que deve ser uma manifestação de vontade livre, específica, informada e explícita, dada através de um ato positivo inequívoco. Em termos práticos, não são permitidos mecanismos de consentimento implícito: o simples continuar a navegar no site não pode ser interpretado como consentimento válido, nem se podem usar caixas pre-selecionadas que o utilizador tenha de desmarcar (o consentimento não pode ser obtido por omissão). Também não é válido forçar o utilizador a aceitar cookies como condição para aceder ao site (as chamadas “cookie walls”), sobretudo em sites públicos ou serviços essenciais – tal prática compromete a liberdade do consentimento. O utilizador deve ter uma escolha real: é necessário possibilitar tanto a aceitação como a recusa dos cookies não necessários, em igualdade de condições. As autoridades destacam que interfaces enganosas ou coercitivas – conhecidas como “dark patterns”, por exemplo apresentar um botão “Aceitar” muito destacado enquanto a opção de recusar está escondida ou menos acessível – violam o requisito de consentimento livre. Portanto, o banner de cookies ou mecânica equivalente do site deve ser desenhado de forma neutra e equilibrada, permitindo ao utilizador escolher facilmente entre “Aceitar” e “Rejeitar” cookies, bem como configurar preferências granulares se desejado, sem pressão ou truques linguísticos.

A Comissão Nacional de Proteção de Dados (CNPD), autoridade supervisora portuguesa, tem um papel central na fiscalização do cumprimento destas normas. À CNPD cabe emitir orientações, responder a queixas e poderá inspecionar sites (tanto do setor privado como público) para verificar se cumprem as regras de cookies. Em 2021, a CNPD assinalou haver “práticas muito diferenciadas” no uso de cookies por várias entidades e anunciou a intenção de publicar diretrizes gerais para uniformizar a conformidade, tanto no setor privado quanto no público. A CNPD salientou especial preocupação com sites de entidades públicas que usam cookies de terceiros (p.ex. analytics ou publicidade) sem alternativas para os cidadãos, estando a realizar um levantamento geral dessas situações. Em termos sancionatórios, a CNPD possui poderes para aplicar coimas por infrações: a violação das regras de consentimento de cookies, quando envolve dados pessoais, configura uma infração ao RGPD e pode levar a multas até 20 milhões de euros ou 4% do volume de negócios anual (no caso de empresas, para as infrações mais graves). Mesmo no âmbito da Lei 41/2004 (que prevê sanções próprias), os valores das coimas podem ser significativos, sobretudo após a entrada em vigor do RGPD. Embora até à data não sejam públicas multas de relevo aplicadas pela CNPD apenas por questões de cookies, outras autoridades europeias já atuaram nesta matéria – o que sinaliza as consequências potenciais. Por exemplo, a autoridade espanhola (AEPD) multou uma companhia aérea em €18.000 por não permitir que os utilizadores recusassem facilmente os cookies não essenciais (o site apenas instruía a alterar definições do navegador) E em França, a CNIL aplicou multas recorde (como €100 milhões à Google e €35 milhões à Amazon em 2020) por instalarem cookies publicitários sem consentimento prévio dos utilizadores. Mais recentemente, a CNIL sancionou novamente empresas (Google em €150 milhões e Facebook em €60 milhões) por não oferecerem um mecanismo de recusa de cookies tão simples quanto o de aceitação, exigindo vários cliques para rejeitar. Estes casos ilustram que o incumprimento das obrigações de cookies pode acarretar penalizações sérias. Em Portugal, a CNPD deverá adotar postura semelhante, aliando ações de sensibilização (orientações e recomendações de boas práticas) com a possibilidade de sanções em caso de incumprimento flagrante. Resumindo, cabe às empresas e entidades adequar urgentemente os seus websites às exigências legais de cookies, garantindo transparência e respeito pela escolha do utilizador, sob pena de sofrerem consequências legais e financeiras.

Conformidade em sites/e-commerce (Portugal)

1. Base legal e responsabilidade: Verifique que a sua empresa conhece e cumpre a base legal aplicável aos cookies: a Lei n.º 41/2004 (e alterações da Lei 46/2012 e Lei 16/2022) e o RGPD. Designe claramente quem, na sua organização, é responsável por assegurar a conformidade de cookies (p.ex. o encarregado de proteção de dados, se houver). Lembre-se de que cookies que recolham dados pessoais acionam as obrigações do RGPD e estão sob supervisão da CNPD.
2. Mapeamento de cookies: Faça um levantamento completo de todos os cookies e tecnologias de rastreio utilizadas no seu site. Identifique para cada cookie: o seu provedor/origem (cookie próprio do site ou de terceiros), a sua finalidade específica (ex.: autenticação de utilizador, memorização de preferências, analytics, publicidade), os dados que recolhe, o tempo de vida/expiração e, se for de terceiros, quem é essa entidade e se os dados saem fora da UE. Este mapeamento é essencial para preparar a informação clara a fornecer aos utilizadores e para decidir quais cookies são estritamente necessários e quais requerem consentimento.
3. Classificação e necessidade: Categorize os cookies identificados de acordo com a necessidade de consentimento. Separe os cookies estritamente necessários (aqueles sem os quais o serviço ou funcionalidade pedida pelo utilizador não funciona – normalmente isentos de consentimento) dos cookies não essenciais (como os de análise de tráfego, preferências não essenciais, ou de marketing/perfilação). Confirme que os cookies necessários encaixam nas exceções legais (transmissão de comunicação ou serviço expressamente solicitado). Se algum cookie supostamente “necessário” não for verdadeiramente indispensável, trate-o como não essencial e sujeite-o a consentimento do utilizador.
4. Consentimento prévio obrigatório: Garanta que nenhum cookie não essencial é instalado antes de obter consentimento explícito do utilizador. Isto implica configurar o seu site ou plataforma de gestão de consentimento para bloquear por padrão todos os cookies opcionais até que o utilizador escolha aceitá-los. Teste na prática: ao aceder ao site pela primeira vez, apenas os cookies isentos (ex.: sessão, carrinho de compras, login) devem estar ativos; cookies de analytics, publicidade etc. devem aguardar a ação do utilizador. Dica: Utilize ferramentas ou extensões de navegador para verificar quais cookies são carregados sem consentimento e ajuste as definições conforme necessário.
5. Banner de cookies com escolha clara: Implemente um banner de consentimento de cookies no seu website que apresente de forma clara as opções ao utilizador logo no primeiro acesso. Este banner deve estar em linguagem simples em português, explicando resumidamente para que fins o site utiliza cookies (ex.: “utilizamos cookies para melhorar a experiência, analisar o tráfego e personalizar conteúdos/ publicidade”). Inclua botões visíveis tanto para “Aceitar todos” como “Rejeitar todos” os cookies não essenciais, lado a lado ou em destaque equivalente. Não torne a recusa mais difícil do que a aceitação – ambas as escolhas devem estar facilmente acessíveis, sem o utilizador ter de procurar escondido um botão de “rejeitar”. Evite designs enganadores (dark patterns): por exemplo, não use cores que tornem o botão “rejeitar” menos visível nem formulários que induzam ao clique em “aceitar” inadvertidamente.
6. Consentimento granular (preferências): Ofereça uma opção de consentimento granular para que o utilizador possa selecionar categorias de cookies em vez de uma escolha “tudo ou nada”. Por exemplo, além dos botões aceitar/rejeitar todos, disponibilize um botão “Gerir Preferências” ou “Personalizar cookies”. Nele, liste categorias como “Cookies de funcionalidade”, “Cookies de estatística”, “Cookies de marketing”, com uma breve descrição de cada categoria, permitindo ao utilizador ativar ou desativar conforme a sua preferência. Todas as categorias não essenciais devem estar desativadas por omissão até consentimento. Esta abordagem assegura que o consentimento é específico – o utilizador pode consentir apenas no que deseja, cumprindo o requisito de granularidade. Se tecnicamente viável, permita até a seleção cookie a cookie (pelo menos na política detalhada), mas o mínimo exigido é possibilitar escolha por finalidade.
7. Informação completa (Política de Cookies): Para complementar o banner resumido, disponibilize um Documento de Política de Cookies detalhado (pode ser uma página dedicada ou parte da política de privacidade). Nesse documento, inclua todas as informações exigidas: lista de cada cookie (nome, domínio), sua finalidade exata, se é próprio ou de terceiro (identificando o terceiro e eventualmente link para a política deste), o prazo de retenção/validade do cookie no dispositivo do utilizador, e que dados (pessoais ou não) são coletados através dele. Indique também como o utilizador pode alterar as preferências posteriormente ou retirar consentimento. A política deve mencionar explicitamente as bases legais: por exemplo, “cookies X e Y são estritamente necessários ao serviço solicitado, isentos de consentimento nos termos da Lei 41/2004; cookies Z são opcionais e só serão utilizados com o seu consentimento, conforme o RGPD”. Toda esta informação detalhada deve estar facilmente acessível – por exemplo, através de um link “Saiba mais” ou “Política de Cookies” no próprio banner e no rodapé do site.
8. Não utilizar consentimento implícito: Certifique-se de que o método de obtenção de consentimento requer uma ação afirmativa clara do utilizador. Evite práticas inválidas, tais como: banners que dizem “Ao continuar a navegar, aceita os cookies” sem um clique explícito; caixas já selecionadas presumindo consentimento; ou meramente informar o utilizador que pode bloquear cookies via configurações do navegador. Essas abordagens não cumprem os requisitos legais de consentimento válido. O consentimento deve ser dado ativamente, por exemplo clicando num botão “Aceitar” no banner, após ter a oportunidade de ler a informação e escolher. Da mesma forma, não condicione o acesso ao site/funcionalidades à aceitação de cookies não necessários (evite os “muro de cookies” que impeçam o uso do site caso o utilizador rejeite cookies), pois isso compromete a liberdade de escolha.
9. Registro e gestão de consentimentos: Mantenha um registro das preferências de cookies de cada utilizador (na medida do possível, sem identificar indevidamente o utilizador – por exemplo, armazenando um token anônimo que guarda as opções dadas). Este registro serve para duas finalidades: (a) respeitar as escolhas do utilizador em visitas subsequentes (um utilizador que rejeitou cookies não essenciais não deve ser rastreado indevidamente nem ver o banner a cada página sem necessidade), e (b) comprovar conformidade em caso de auditoria – demonstrar que obteve consentimento para os cookies X, Y em determinada data/hora. Muitas plataformas de gestão de consentimento (CMPs) oferecem já funcionalidades de log de consentimento. Atenção: o consentimento para cookies deve ter uma duração limitada – é recomendável renovar o pedido de consentimento após algum tempo. As autoridades frequentemente sugerem um período máximo de 6 a 12 meses de validade para um consentimento de cookies, após o qual o banner deve voltar a aparecer para confirmar ou atualizar a escolha do utilizador. Também deve reaparecer se mudar substancialmente qualquer coisa (por exemplo, adicionar novos cookies ou finalidades não previamente consentidas).
10. Facilitar a retirada de consentimento: Além de obter o consentimento inicial, forneça ao utilizador um meio fácil para revogar ou alterar o consentimento a qualquer momento. Isto pode ser feito, por exemplo, mantendo no site um ícone fixo de “configurações de privacidade/cookies” ou um link “Alterar preferências de cookies” no rodapé. Ao clicar, o utilizador deve poder reabrir o painel de preferências e ajustar as escolhas (aceitar ou revogar consentimentos dados) com igual simplicidade. Lembre-se: retirar o consentimento deve ser tão simples quanto dá-lo. Não force o utilizador a percorrer caminhos complexos (como apagar manualmente cookies no navegador) – a opção de opt-out deve estar ao alcance de um clique semelhante ao opt-in. Implemente a mudança imediatamente: se o utilizador desativa uma categoria de cookies que antes aceitara, o site deve parar de usar esses cookies e, idealmente, removê-los do dispositivo (quando possível) ou pelo menos não voltar a acioná-los.
11. Cookies de terceiros e transferências internacionais: Tenha cuidado redobrado com cookies de terceiros (por exemplo, de redes sociais, anunciantes, ferramentas analíticas externas tipo Google Analytics). Sendo cookies inseridos via seu site mas operados por entidades externas, a responsabilidade legal é compartilhada entre a sua empresa (responsável pelo site) e o terceiro. Deve haver um acordo com os terceiros definindo como garantirão o cumprimento da lei (por ex., que não ativarão cookies sem seu gatilho de consentimento, e que não usarão dados para finalidades não autorizadas). Informe os utilizadores claramente sobre esses terceiros, nomeando-os na política de cookies e explicando as suas finalidades. Se os dados coletados por cookies forem enviados para fora do Espaço Económico Europeu (por exemplo, servidores nos EUA de fornecedores como Google, Facebook, etc.), assegure a conformidade com as regras de transferência internacional de dados do RGPD. Isso poderá implicar a adoção de cláusulas contratuais-tipo com o destinatário, avaliações de adequação ou adoção de ferramentas que anonimizem os dados antes da transferência. Em certos casos, considere alternativas que mantenham os dados dentro da UE (por exemplo, usar serviços de analytics que garantam armazenamento europeu) para facilitar a conformidade.
12. Seguir orientações da CNPD e melhores práticas: Esteja atento a guidelines e recomedações emitidas por autoridades de proteção de dados. A CNPD portuguesa tem publicadas recomendações gerais (e planeia diretrizes específicas sobre cookies) – convém segui-las de perto quando forem disponibilizadas. Também o Comité Europeu de Proteção de Dados (EDPB) e o antigo Grupo de Trabalho do Artigo 29 divulgaram opiniões úteis, por exemplo, clarificando que não é permitido usar cookie walls ou considerar scroll no site como consentimento válido. As melhores práticas incluem: minimizar a duração e quantidade de cookies (princípio de minimização), avaliar a real necessidade de cada cookie de terceiros (por exemplo, usar recursos locais se possível, em vez de plugins que enviam dados a terceiros), e manter documentação dessa avaliação de necessidade (demonstrando por que cada cookie que usa é justificado e como cumpre a lei). Em caso de dúvida, consulte assessoria jurídica especializada ou os materiais educativos da CNPD. Lembre-se de que implementar um bom mecanismo de cookies não é apenas uma obrigação legal, mas também uma forma de ganhar a confiança dos utilizadores, mostrando respeito pela privacidade desde o primeiro contacto com o seu site.

Fontes: Lei n.º 41/2004 (alterada pelas Leis 46/2012 e 16/2022); Regulamento (UE) 2016/679 (RGPD); Orientação do EPD/U. Minho sobre cookies; Diretiva 2002/58/CE (ePrivacy) art. 5º(3); CNPD – Nota informativa sobre cookies (2021); CNIL (FR) – Decisão sancionatória cookies Google; AEPD (ES) – Caso Vueling (PS-00300/2019); Mafalda Correia Advogados – “A importância do cookie banner”; U. Minho – Orientação “Consentimento de Cookies” (2023); WP29 Opinion 04/2012 – Cookie Consent; Plano de Atividades CNPD 2021/22.