Atualização de maio de 2020: O Comité Europeu para a Proteção de Dados (CEPD) atualizou as suas diretrizes especificamente relacionadas com os mecanismos recomendados de recolha de consentimento. Informações adicionais aqui.
Quando pensa em legislação sobre dados e privacidade, lembra-se facilmente dos cookies, uma vez que estes estão diretamente relacionados com ambos. Tal leva frequentemente ao equívoco comum de que a Lei dos Cookies (Diretiva Privacidade e Comunicações Eletrónicas) foi revogada pelo Regulamento Geral sobre a Proteção de Dados (RGPD), o que, de facto, não aconteceu. Pelo contrário, pode pensar na Diretiva Privacidade e Comunicações Eletrónicas e no RGPD como funcionando em conjunto e complementando-se mutuamente.
A Diretiva Privacidade e Comunicações Eletrónicas 2002/58/CE (ou Lei dos Cookies) foi criada para estabelecer diretrizes para a proteção da privacidade eletrónica, incluindo relativa ao marketing por correio eletrónico e a utilização de cookies, encontrando-se atualmente ainda em vigor. Tal como referido acima, pode pensar atualmente na Diretiva Privacidade e Comunicações Eletrónicas como “complementando”, de certo modo, o RGPD, e não como sendo revogada por este.
Crie o seu banner de cookies de forma gratuita
Gira o consentimento de cookies (Google Partner CMP)
Guarde as preferências dos seus utilizadores
Crie o seu banner de cookies em minutos
Em rigor, se utilizar cookies, deve considerar o cumprimento da Lei dos Cookies antes de considerar o RGPD. Deverá fazê-lo porque a Lei dos Cookies é o que se designa em jargão jurídico como uma “lex specialis“, ou seja, tem precedência sobre o RGPD.
De um modo geral, as diretivas estabelecem determinados objetivos e diretrizes acordados, sendo os Estados-Membros mandatados para transpor tais diretivas para a legislação nacional. Por outro lado, os regulamentos são juridicamente vinculativos em todos os Estados-Membros a partir do momento em que entram em vigor, sendo aplicados de acordo com as regras estabelecidas ao nível da UE.
💡 Para saber mais sobre que regras de consentimento de cookies se aplicam nos países da UE, consulte aqui o nosso Documento informativo sobre consentimento de cookies.
Dito isto, a Diretiva Privacidade e Comunicações Eletrónicas será, de facto, revogada em breve pelo Regulamento ePrivacy. Espera-se que o Regulamento ePrivacy seja concluído em breve, trabalhando em conjunto com o RGPD no sentido de regular os requisitos da utilização de cookies, comunicações eletrónicas e a respetiva proteção de dados/privacidade.
Na realidade, a Lei dos Cookies aplica-se não apenas aos cookies mas, de um modo geral, a qualquer outro tipo de tecnologia que armazene ou aceda a informações num dispositivo do utilizador (por exemplo, etiquetas de píxeis, impressões digitais em dispositivos, identificadores únicos, etc.). Para simplificar, todas essas tecnologias, incluindo os cookies, são, por norma, definidos como rastreadores*.
Acresce ainda que a Lei dos Cookies é, por assim dizer, neutra do ponto de vista tecnológico, o que significa que abrange não só o website e o meio de navegação, como outros tipos de tecnologia, incluindo aplicações em smartphones, tablets, smart TV ou outros dispositivos.
*Contudo, no presente guia, os termos cookie(s) e rastreador(es) serão utilizados indistintamente.
A Lei dos Cookies exige o consentimento informado dos utilizadores antes de armazenar ou aceder a informações nos dispositivos do utilizador.
O que significa que, se utilizar cookies, deve:
Na prática, deve apresentar um banner de cookies (igualmente designado aviso de cookies) na primeira visita do utilizador, implementar uma política de cookies e permitir que o utilizador preste o seu consentimento – exceto se o seu website utilizar apenas cookies isentos, o que é pouco provável. Antes do consentimento, nenhum cookie — com exceção dos isentos — deve ser executado ou ser instalado.
Deve apresentar um banner de cookies na primeira visita do utilizador, implementar uma política de cookies e permitir que o utilizador preste o seu consentimento. Antes do consentimento, nenhum cookie — com exceção dos isentos — deve ser executado ou ser instalado.
O aviso de cookies deve:
Tenha em atenção que os requisitos acima constituem requisitos mínimos básicos. Os requisitos relativos ao conteúdo de banners de cookies poderão variar consoante o país, dependendo das posições das respetivas APD.
A política de cookies deve:
Os cookies próprios são geridos diretamente por si, o proprietário do site/aplicação. Pelo contrário, os cookies de terceiros são geridos por terceiros e ativam serviços prestados por estes. Por norma, existem cookies de terceiros quando o seu site/aplicação utiliza serviços de terceiros para incorporar, por exemplo, imagens, plugins de redes sociais ou publicidade.
De acordo com os princípios gerais da legislação sobre privacidade, que impedem o tratamento antes do consentimento, a Lei dos Cookies não permite o armazenamento de informações ou o acesso a informações armazenadas em dispositivos dos utilizadores antes da obtenção do consentimento dos utilizadores. Na prática, tal significa que poderá ter de utilizar um método de bloqueio de scripts antes do consentimento do utilizador.
O consentimento para os cookies deve ser prestado de forma livre, específica, informada e com base num ato positivo claro (aceitação). Assim, caso utilize mecanismos como opções de verificação, estas não devem estar pré-validadas.
O documento do Grupo de Proteção sobre a Lei dos Cookies refere que:
De modo a assegurar que qualquer mecanismo de consentimento para os cookies preenche os requisitos em cada Estado-Membro, tal mecanismo de consentimento deve incluir cada um dos principais elementos de informação específica, consentimento prévio, indicação dos desejos manifestados pelo comportamento ativo do utilizador e a possibilidade de escolher livremente.
Várias Autoridades de Proteção de Dados da UE emitiram diretrizes relativas a cookies e tecnologias semelhantes que incluem conselhos e recomendações sobre métodos válidos para obter o consentimento.
A APD italiana atualizou diretrizes sobre a utilização de cookies e outros rastreadores. As diretrizes foram adotadas em junho de 2021. Pode ler o resumo aqui.
O Comité Europeu para a Proteção de Dados (CEPD) atualizou as suas diretrizes relativas ao consentimento: Diretrizes 05/2020 relativas ao consentimento na aceção do Regulamento 2016/679. Esta atualização é importante, uma vez que visa eliminar qualquer ambiguidade relativamente à posição oficial relativa a diversos aspetos da utilização de cookies. O mais significativo é provavelmente o facto de estas últimas diretrizes afirmarem claramente que as Barreiras de Testemunhos de Conexão são proibidas e que o CEPD não considera válido o consentimento através da navegação ou da navegação contínua.
📌Para saber mais sobre que regras de consentimento de cookies se aplicam nos países da UE, consulte aqui o nosso Documento informativo sobre consentimento de cookies.
Relativamente à recusa do consentimento ou à recusa após o consentimento ter sido prestado, a lei determina que os utilizadores “devem dispor da possibilidade” de recusar ou retirar o seu consentimento. O documento do Grupo de Proteção aprofunda esta questão, afirmando que, relativamente à retirada ou recusa do consentimento, deve fornecer:
Tal meio ou mecanismo pode não ter de ser alojado diretamente por si. Em alguns casos, nos termos da legislação dos Estados-Membros, as definições do navegador são consideradas um meio aceitável para retirar o consentimento.
Os mecanismos específicos de recolha do consentimento considerados válidos variam consoante o Estado-Membro.
De um modo geral, a diretiva não exige especificamente que enumere os cookies um a um. Ao invés, é-lhe expressamente exigido que indique de forma clara o seu tipo, a sua finalidade e, caso sejam cookies de terceiros, o terceiro que os gere e estabelecer um link para a política de privacidade/cookies do terceiro em causa.
Tal decisão por parte da Autoridade é provavelmente deliberada, uma vez que exigir uma enumeração dos cookies um a um implicaria que os proprietários individuais de websites/aplicações assumiriam o ónus de monitorizar constantemente cada um dos cookies de terceiros, procurando alterações que estão fora do seu controlo. Tal seria, em grande medida, pouco razoável, ineficiente e não teria provavelmente qualquer utilidade para os utilizadores.
Para aprofundar esta questão, segue-se um excerto do Guia de Cookies do ICO:
Fornecer longas listas de todos os cookies implementados poderia ser uma opção. Contudo, para a maioria dos utilizadores, será útil uma explicação mais detalhada sobre como funcionam os cookies e as categorias de cookies utilizadas. Uma descrição dos tipos de coisas para as quais os cookies analíticos são utilizados no site terá mais probabilidades de satisfazer os requisitos do que simplesmente listar todos os cookies que utiliza com referências básicas à sua função.
este sentimento é elaborado em maior detalhe pela Autoridade de Proteção de Dados Italiana (a Garante Privacy) que refere o seguinte:
Há várias razões pelas quais pareceria impossível requerer a um editor que fornecesse informação e obtivesse o consentimento para a instalação de cookies no seu próprio website, igualmente relativamente aos instalados por “terceiros”.
Em primeiro lugar, um editor seria obrigado a ter sempre as ferramentas e as competências jurídicas e comerciais para assumir as obrigações de terceiros – como tal, o editor seria obrigado a verificar periodicamente que o que é declarado pelos terceiros corresponde às finalidades que efetivamente pretendem através dos seus cookies. Esta tarefa é assustadora, pois os editores muitas vezes não têm qualquer contacto direto com todos os terceiros que instalam cookies através dos seus websites nem conhecem a lógica inerente ao respetivo tratamento.
Além disso, não é raro que os detentores de licenças intervenham entre um editor e tais terceiros, tornando, em última análise, muito difícil para o editor acompanhar as atividades de todos os interessados.
Em segundo lugar, os cookies de terceiros podem ser alterados por tais terceiros ao longo do tempo, revelando-se bastante disfuncional exigir aos editores que se mantenham a par de todas estas alterações subsequentes.
Além disso, deve ainda considerar-se que os editores – uma categoria que inclui pessoas singulares e PME – são muitas vezes a parte “fraca” neste contexto. Pelo contrário, os terceiros são normalmente grandes empresas com receitas económicas substanciais que trabalham, por regra, com vários editores. Nesse sentido, um editor poderá ter de lidar muitas vezes com um número considerável de terceiros.
Pelo exposto, a presente APD considera que os editores não poderão ser obrigados a incluir igualmente, na página inicial dos seus websites, os avisos relativos aos cookies instalados por terceiros através dos websites dos editores.
Poderá saber mais sobre este tema aqui.
A lei dispõe que o consentimento recolhido deve ser prestado pelo utilizador de forma livre para que seja considerado válido. A utilização de métodos coercivos para obter o consentimento pode tornar o consentimento recolhido inválido. A lei prevê umas exceções (dentro do razoável) nos casos em que a capacidade efetiva de fornecer determinados serviços no site seja diretamente afetada pelo consentimento ou falta do mesmo.
O documento do Grupo de Proteção refere o seguinte:
Os websites não devem condicionar o “acesso geral” ao site à aceitação de todos os cookies, podendo apenas limitar determinados conteúdos se o utilizador não prestar o seu consentimento para os cookies.
Assim, apesar de determinado conteúdo (dentro do razoável) poder ser limitado com base nas preferências dos cookies, a capacidade de os utilizadores acederem, de um modo geral, ao seu site, não deverá ser coagida pelo seu consentimento ou condicionada pelo mesmo.
A este respeito, note que, nas suas diretrizes e recomendações, o CEPD, bem como várias APD da UE, proibiram expressamente a utilização das denominadas “barreiras de testemunhos de conexão” com base numa “abordagem pegar ou largar” que exige que os utilizadores prestem necessariamente o seu consentimento para aceder ao conteúdo de um serviço online. As barreiras de testemunhos de conexão são consideradas inválidas, uma vez que o utilizador, na realidade, não tem escolha.
Atualização A APD italiana (Garante Privacy) declarou nas suas últimas Diretrizes sobre cookies e outras ferramentas de rastreamento que proíbe atualmente a utilização de barreiras de testemunhos de conexão, exceto se o website proporcionar ao utilizador uma alternativa equivalente para aceder ao conteúdo ou serviços sem prestar o consentimento para cookies ou outros mecanismos de rastreamento, que terão de ser avaliados caso a caso.
Estamos a acompanhar os desenvolvimentos sobre esta matéria desde que a Garante publicou um comunicado de imprensa em que refere estar a analisar esta solução tal como implementada por algumas editoras italianas.
A iubenda irá, como sempre, acompanhar este assunto em constante evolução, mantendo-o atualizado relativamente a quaisquer novas decisões.
A Lei dos Cookies prevê duas isenções à exigência de consentimento, nomeadamente:
Exemplo: utiliza um cookie de balanceamento de carga para distribuir o tráfego da rede por diferentes servidores. A única finalidade do cookie é identificar um dos servidores (ou seja, um ponto final de comunicação) sendo, como tal, abrangido pela exceção de comunicação.
Exemplo: o seu site de comércio eletrónico utiliza um cookie de sessão que permite que os utilizadores “guardem” artigos no seu carrinho enquanto utilizam o site ou durante uma sessão. Neste cenário, o cookie é necessário para o funcionamento do serviço de compra que foi expressamente solicitado pelo utilizador quando indica que pretende adicionar o artigo ao carrinho. De igual modo, os cookies utilizados para registar as preferências linguísticas de um utilizador podem ser abrangidos pela exceção do estritamente necessário.
É fundamental ter em conta que, mesmo nos casos em que se apliquem estas exceções à exigência de consentimento, deverá ainda informar o utilizador da sua utilização de cookies e tecnologias similares através de uma política de cookies. O banner não é necessariamente exigido nestes casos específicos se a política de cookies for facilmente acessível e visível em todas as páginas do site.
Os cookies e outros rastreadores utilizados para efeitos de análise de dados estatísticos podem estar abrangidos por uma exceção?
Não existe uma resposta linear. De facto, as Autoridades de Proteção de Dados da UE têm interpretações diferentes a este respeito. Por exemplo, de acordo com as diretrizes do ICO do Reino Unido, os cookies de análise de dados estatísticos não são abrangidos pela exceção do estritamente necessário. Como tal, exigem sempre o consentimento. A APD belga e irlandesa partilham opiniões semelhantes. Pelo contrário, as APD francesa, alemã, holandesa e italiana consideram que os cookies de análise de dados estatísticos podem ser abrangidos pela exceção do estritamente necessário desde que se verifiquem determinadas condições (por exemplo, se forem cookies próprios, a recusa seja anonimizada, o rastreamento cruzado não esteja ativado). Concluindo, deve verificar atentamente que regras são aplicáveis aos cookies de análise de dados estatísticos no seu país de referência.
Depois de exibir o banner de cookies na primeira visita do utilizador, não tem de o repetir sempre que o utilizador o visita. Contudo, deve considerar a possibilidade de permitir que os utilizadores façam ressurgir o banner caso necessitem de alterar as suas preferências.
Caso o utilizador não tenha prestado o consentimento ou tenha prestado o consentimento apenas para a utilização de certos cookies, o banner não deve voltar a ser exibido, exceto nos seguintes casos específicos:
Existem várias razões pelas quais poderá ter de permitir que os utilizadores retirem o consentimento. Algumas Autoridades de Proteção de Dados exigem que os utilizadores possam aceder facilmente à atualização das suas preferências. Por exemplo, a APD italiana (a Garante) recomenda apresentar um ícone sempre visível durante a navegação que resuma as escolhas do utilizador. Para informações adicionais sobre esta questão, e para saber o que as outras APD exigem, consulte o nosso Documento Informativo sobre o Consentimento de Cookies do RGPD. Importa sublinhar que este é igualmente um ponto de interesse para ONG dedicadas à privacidade, como a Noyb, que exige que os utilizadores possam retirar o consentimento.
Certifique-se de que permite que os seus utilizadores reabram o seu banner de cookies, ativando o widget de privacidade nos seus Controlos de Privacidade e Cookie Solution.
Deve ainda ter em consideração que há uma série de razões e circunstâncias que podem desencadear a necessidade de solicitar aos visitantes que “voltem a prestar o consentimento” e, consequentemente, voltar a apresentar o banner.
Um exemplo prático é quando utiliza um novo cookie de terceiros não abrangido por uma exceção. Nessa situação, deve obter um novo consentimento, uma vez que o consentimento previamente obtido junto do utilizador seria apenas aplicável aos terceiros que declarou no momento da recolha inicial.
Para o ajudar com este requisito, damos-lhe a possibilidade de atualizar facilmente a recolha de consentimento a cada atualização da políticas de cookies.
Note que algumas APD da UE especificaram o que pode ser considerado um período de tempo razoável relativamente à validade do consentimento de cookies (por exemplo, segundo a APD francesa, 6 meses é considerado um período de tempo razoável). Os nossos Controlos de Privacidade e Cookie Solution permitem-lhe definir facilmente este período de tempo. Para saber mais sobre os períodos de validade do consentimento de cookies, consulte o nosso Documento Informativo sobre o Consentimento de Cookies.
Apesar de a Lei dos Cookies não exigir expressamente que sejam conservados registos de consentimento (apenas provas), na maioria dos casos os cookies tratam dados pessoais, motivo pelo qual se aplicam os requisitos de conservação de registos previstos no RGPD. Como tal, várias Autoridades de Proteção de Dados em toda a UE alinharam as suas regras em matéria de cookies e rastreadores com os requisitos do RGPD.
O Registo de Preferências de Consentimento e Cookies encontra-se atualmente disponível nos nossos Controlos de Privacidade e Cookie Solution. Basta integrar esta funcionalidade com um clique, podendo facilmente guardar e gerir as provas do consentimento dos seus utilizadores no âmbito do RGPD.
A nossa solução completa de gestão de cookies simplifica o cumprimento da Lei dos Cookies da UE. Como Plataforma de Gestão de Consentimento (CMP) verificada pelo IAB, os nossos Controlos de Privacidade e Cookie Solution permitem-lhe cumprir as normas da indústria e transmitir as preferências de consentimento aos anunciantes cumprindo os requisitos legais.
💡Utilizador do WordPress? Veja o nosso plugin da lei dos cookies da EU.
Não utiliza o WordPress? Continue a ler
As nossas soluções funcionam com todos os websites e aplicações, permitindo-lhe:
Os nossos Controlos de Privacidade e Cookie Solution informam o utilizador de forma adequada sobre:
A nossa solução permite obter o consentimento ativo através de:
Confere-lhe opções adicionais:
Os cookies são pequenos ficheiros de texto que são armazenados no dispositivo de um utilizador (como um computador ou um smartphone) quando visita um website. Estes ficheiros contêm dados que ajudam o website a memorizar informações relativas ao utilizador, como o seu histórico de preferências e de navegação.
O consentimento de cookies refere-se ao ato de obter a permissão dos visitantes de um website antes de colocar os cookies nos seus dispositivos. A obtenção de consentimento explícito por parte do utilizador para a utilização de cookies é um requisito legal em muitas jurisdições.
Várias leis e regulamentos requerem que os websites obtenham o consentimento de cookies dos seus utilizadores. Alguns exemplos relevantes compreendem:
Sim, é recomendável que tenha uma política de cookies no seu website se utilizar cookies. A política de cookies é um documento que explica ao utilizador a forma como o seu website utiliza cookies, que tipos de cookies são utilizados e como o utilizador pode gerir as suas preferências de cookies. Esta ajuda a cumprir os requisitos legais e proporciona transparência aos visitantes do seu website.
Os requisitos específicos para o consentimento de cookies podem variar dependendo das leis aplicáveis na sua jurisdição. No entanto, alguns elementos comuns do consentimento de cookies incluem:
Os popups de consentimento de cookies são um método comum utilizado para obter o consentimento do utilizador para a utilização de cookies. Quando um utilizador visita um website pela primeira vez, surge um popup ou um banner, normalmente na parte inferior ou superior da página, informando o utilizador sobre a utilização de cookies e oferecendo a possibilidade de os aceitar ou rejeitar.
Os exemplos de consentimentos de cookies podem variar em termos de conceção e funcionalidade, podendo alguns exemplos comuns incluir:
