Voltar aos artigos
Consentement
Consentimento RGPD Cookies CMP

Gestão do consentimento de cookies: guia RGPD 2026

3 de dezembro de 2025 16 min de leitura DPLIANCE

A gestão do consentimento de cookies não é um assunto técnico secundário. É o ponto de contacto entre o seu site web, o direito europeu e a confiança dos seus utilizadores. Em 2025, a CNIL (autoridade francesa de proteção de dados) aplicou 83 sanções num montante total de quase 487 milhões de euros. A grande maioria das infrações diz respeito ao consentimento: cookies depositados antes do acordo, prova inexistente, recusa mal implementada.

Este guia abrange tudo o que um editor de site deve saber para implementar uma gestão do consentimento conforme ao RGPD em 2026.

Por que razão a gestão do consentimento é crucial

Um risco financeiro real

Os montantes das sanções da CNIL (autoridade francesa de proteção de dados) já não são simbólicos. Em setembro de 2025, a Google foi multada em 325 milhões de euros e a Shein em 150 milhões por infrações relacionadas com cookies. Em novembro de 2025, a Condé Nast (Vanity Fair) foi sancionada em 750 000 euros e a American Express em 1,5 milhões de euros. As PME e ETI não são poupadas: a CNIL convidou explicitamente todos os organismos privados e públicos a auditar os seus sites.

O cálculo é simples: o custo de uma conformidade séria cifra-se em centenas ou milhares de euros. O custo de uma sanção pode atingir 4% do volume de negócios anual mundial. Sem contar com os custos jurídicos, o tempo mobilizado pelas equipas e a publicidade negativa associada a uma decisão publicada. Em Portugal, a CNPD (Comissão Nacional de Proteção de Dados) tem igualmente reforçado a sua atividade de fiscalização em matéria de cookies e consentimento.

Um risco reputacional

Um banner de cookies não conforme é visível por cada visitante. É frequentemente o primeiro ponto de contacto com a sua marca. Um dark pattern — botão de recusa oculto, design manipulativo, caixas pré-selecionadas — envia um sinal claro: não respeita as escolhas dos seus utilizadores. Num contexto em que a sensibilidade às questões de privacidade não para de crescer, esta primeira impressão pode ser determinante.

As sanções são públicas. São retomadas pela imprensa especializada e generalista. Uma condenação por incumprimento das regras de cookies é um sinal de má governança de dados que pode afetar a confiança dos clientes, dos parceiros e dos investidores.

O artigo 7.º do RGPD e as orientações das autoridades de proteção de dados não deixam margem para interpretação. O consentimento deve ser livre, específico, esclarecido e inequívoco. A prova deve ser conservada. A retirada deve ser tão simples como a aceitação. Estas exigências não são recomendações opcionais — são obrigações cujo incumprimento é sancionado.

Como as autoridades de proteção de dados controlam

As autoridades de proteção de dados já não se limitam a tratar queixas. Conduzem controlos técnicos proativos, cada vez mais sofisticados, que vão muito além da simples verificação visual de um banner.

Controlos em linha automatizados

A CNIL (autoridade francesa de proteção de dados) analisa o tráfego de rede gerado pelos sites web. Utiliza ferramentas automatizadas que reproduzem o comportamento de um utilizador: carregamento da página, inspeção dos cookies depositados antes de qualquer interação, verificação dos pedidos de rede de saída. Verifica se cookies não essenciais são depositados antes da interação do utilizador com o banner.

Foi assim que a Shein foi apanhada em falta: cookies publicitários estavam ativos desde o carregamento da página, antes de qualquer ação do utilizador. Estas verificações podem ser efetuadas em qualquer site, sem aviso prévio e sem deslocação física. O volume de sites controláveis é, portanto, consideravelmente mais elevado do que com controlos presenciais tradicionais.

Verificação da efetividade das escolhas

As autoridades não se limitam a verificar a presença de um banner. Testam se a recusa é efetivamente respeitada na implementação técnica. No caso Condé Nast / Vanity Fair (novembro de 2025), a CNIL (autoridade francesa de proteção de dados) constatou que cookies ainda eram depositados e lidos após o utilizador ter clicado em “Recusar tudo”. A coima de 750 000 euros sancionava especificamente este desfasamento entre a aparência de conformidade e a realidade técnica.

Este tipo de controlo é particularmente temível: põe em evidência situações em que o editor instalou um banner conforme visualmente, mas onde a implementação técnica é deficiente. Um CMP mal configurado, um script de terceiros esquecido, uma atualização que reintroduz um cookie não condicionado ao consentimento — todas estas falhas são detetadas por inspeção de rede.

Abordagem técnica reforçada

As sanções de 2025 contra a Orange, a Shein, a Condé Nast e a American Express marcam uma mudança de abordagem fundamental: vigilância sistemática do tráfego de rede, verificação rigorosa da efetividade das escolhas do utilizador e responsabilização acrescida dos editores pela sua arquitetura técnica. A mensagem é clara: um banner decorativo já não é suficiente. A conformidade deve ser verificável ao nível do código e da rede.

As autoridades investiram igualmente em competências técnicas internas. Os agentes que efetuam os controlos são formados na análise do tráfego de rede, na inspeção de cookies através das ferramentas de desenvolvimento dos navegadores e na verificação do comportamento dos scripts JavaScript. O nível de perícia técnica dos controlos aumentou consideravelmente.

Intimações por dark patterns

Em dezembro de 2024, a CNIL (autoridade francesa de proteção de dados) intimou vários editores por dark patterns nos seus banners. As violações identificadas: botão de aceitação sobredimensionado em relação à recusa, linguagem ambígua para a recusa (“Configurar as minhas escolhas” em vez de “Recusar tudo”), recusa a exigir vários cliques enquanto um único basta para aceitar. Prazo de conformidade: um mês, sob pena de sanções financeiras.

Estas intimações constituem um sinal de alerta para todo o mercado: as autoridades já não toleram designs manipulativos, mesmo subtis. A assimetria entre aceitação e recusa tornou-se um critério de controlo prioritário.

TCF 2.2 vs recomendações das autoridades de proteção de dados

O Transparency and Consent Framework (TCF) do IAB Europe é um padrão técnico amplamente utilizado pela indústria publicitária. A versão 2.2 é o padrão atual. Mas estar em conformidade com o TCF não significa estar em conformidade com as exigências das autoridades de proteção de dados — e esta distinção é crucial.

O que o TCF traz

O TCF normaliza a forma como o consentimento é recolhido, armazenado e transmitido entre editores, CMP e fornecedores de tecnologias publicitárias. Define finalidades de tratamento, bases legais e um formato técnico (TC String) para codificar as escolhas do utilizador.

O TCF 2.2 melhorou a transparência em relação às versões anteriores: obrigação de exibir o número total de parceiros no primeiro ecrã, descrições mais acessíveis das finalidades, possibilidade de o utilizador modificar as suas escolhas a qualquer momento e supressão de certas bases legais contestadas.

Os limites face às exigências das autoridades

O interesse legítimo. O TCF permite que os fornecedores de tecnologias publicitárias invoquem o interesse legítimo como base legal para certas finalidades. A CNIL (autoridade francesa de proteção de dados) não o aceita para o depósito de cookies: apenas o consentimento é válido. Em Portugal, a CNPD adota uma posição semelhante, alinhada com as orientações do Comité Europeu para a Proteção de Dados. É uma divergência fundamental entre o padrão industrial e a exigência regulamentar.

A granularidade. O TCF lista dezenas, ou até centenas, de parceiros. As autoridades exigem que a informação seja clara e compreensível. Uma lista de 500 parceiros não preenche necessariamente este critério — pode até tornar o consentimento não “esclarecido” na aceção do RGPD, pois o utilizador não pode razoavelmente avaliar as implicações de cada parceiro.

A prova. O TCF codifica as escolhas numa cadeia técnica (TC String) armazenada do lado do cliente num cookie. As autoridades exigem uma prova demonstrável do lado do servidor. Um cookie local, modificável e eliminável, não constitui uma prova na aceção do artigo 7.º do RGPD.

O bloqueio efetivo. O TCF sinaliza aos parceiros publicitários as escolhas do utilizador, mas não bloqueia tecnicamente a execução dos scripts. Cabe aos parceiros respeitar as preferências transmitidas. As autoridades esperam um bloqueio técnico real, verificado ao nível do tráfego de rede, não uma simples sinalização.

A posição pragmática

O TCF é uma ferramenta útil se trabalha com o ecossistema publicitário programático. Mas não substitui as obrigações regulamentares. Um CMP conforme deve ir além do TCF: bloqueio real dos scripts, prova server-side, respeito pela simetria aceitação/recusa no design. Considere o TCF como um complemento à conformidade regulamentar, não como um substituto.

Escolher um CMP: os critérios que contam

Um CMP (Consent Management Platform) é a ferramenta que implementa concretamente a sua gestão do consentimento. A escolha é estruturante: determina o seu nível de conformidade real, não apenas a sua conformidade aparente. Eis os critérios a avaliar, por ordem de prioridade.

1. Bloqueio efetivo dos scripts

O CMP deve bloquear tecnicamente a execução de scripts de terceiros enquanto o utilizador não tiver consentido. Não um bloqueio simbólico — um bloqueio real, verificável por inspeção do tráfego de rede. É o ponto de controlo número um das autoridades.

Como verificar: abra as ferramentas de desenvolvimento do seu navegador (separador “Rede”), apague todos os cookies, recarregue a página e observe os pedidos de rede antes de interagir com o banner. Se vir chamadas para domínios de terceiros (Google Analytics, Facebook, serviços publicitários), o seu CMP não bloqueia efetivamente os scripts.

2. Prova de consentimento server-side

A prova do consentimento (artigo 7.º do RGPD) deve ser armazenada do lado do servidor, com um identificador único e um carimbo temporal. Um cookie local contendo “consent=true” não constitui uma prova. Em caso de controlo, deve poder fornecer a prova de que determinado utilizador consentiu determinadas finalidades em determinada data, com a versão do banner que lhe foi apresentada.

3. Localização dos dados

Onde são armazenados os dados de consentimento? Num fornecedor americano sujeito ao Cloud Act? Em servidores europeus? Nos seus próprios servidores? A questão não é teórica: os dados de consentimento são eles próprios dados pessoais (estão ligados a um identificador de utilizador). O seu alojamento num terceiro não europeu levanta questões de conformidade com o capítulo V do RGPD sobre as transferências internacionais de dados.

4. Desempenho

O widget de consentimento é carregado em cada página, para cada visitante. Um script pesado degrada os Core Web Vitals (LCP, FID, CLS), penaliza o seu SEO e deteriora a experiência do utilizador. O peso do widget e o seu impacto no rendering inicial são critérios técnicos não negligenciáveis. Um CMP que adiciona 200 KB de JavaScript e atrasa a exibição da página em 500 ms tem um custo real em termos de tráfego orgânico e de taxa de conversão.

5. Conformidade regulamentar real

Um CMP pode ser certificado IAB TCF e, no entanto, não estar em conformidade com as exigências das autoridades de proteção de dados. Verifique: o botão “Recusar tudo” está presente por defeito no primeiro ecrã? O design respeita a simetria? Os cookies são realmente bloqueados antes do consentimento, ou apenas sinalizados como devendo sê-lo? A distinção entre conformidade aparente e conformidade real é exatamente o que as autoridades testam durante os seus controlos.

6. Autonomia e manutenibilidade

O CMP é configurável sem dependência de um prestador? As atualizações regulamentares são integradas rapidamente? Pode adaptar o design à sua identidade visual sem contrariar as exigências legais? Um CMP que necessita da intervenção de um consultor a cada modificação é um custo recorrente e um risco de atraso nas conformidades.

Comparativo das soluções do mercado

Tarteaucitron

Solução open source francesa, gratuita. Pontos fortes: gratuidade, comunidade ativa, bloqueio de scripts por tags, controlo total do código. Pontos fracos: sem prova de consentimento server-side nativa, design por defeito básico que requer trabalho de integração, configuração técnica necessária (sem interface de administração), manutenção inteiramente a seu cargo, sem suporte em caso de controlo. Adaptada a equipas técnicas autónomas com orçamentos limitados.

Axeptio

Solução francesa, interface cuidada. Pontos fortes: UX trabalhada e original (formato conversacional), boa integração com os principais CMS (WordPress, Shopify). Pontos fracos: alojamento dos dados na Axeptio (sem auto-alojamento possível), tarifário que sobe rapidamente com o tráfego (modelo por número de visitantes), sem prova server-side com correlation IDs. Adaptada a sites de dimensão média à procura de uma solução chave na mão com bom design.

Didomi

Solução orientada para grandes contas e ecossistema publicitário. Pontos fortes: compatível TCF 2.2, interface de reporting avançada, suporte multi-país e multi-idioma, gestão centralizada para grupos multi-sites. Pontos fracos: complexidade de configuração que frequentemente necessita de acompanhamento, custo elevado (vários milhares de euros por ano), dados alojados na Didomi, abordagem centrada no ecossistema publicitário em vez da conformidade estrita. Adaptada a grandes empresas com necessidades publicitárias complexas.

CookieBot (Usercentrics)

Solução dinamarquesa, muito difundida na Europa. Pontos fortes: scan automático dos cookies, ampla base de dados de scripts conhecidos, interface de administração intuitiva. Pontos fracos: dados alojados fora de França (servidores Microsoft Azure), widget por vezes pesado com impacto no desempenho, personalização limitada do design, tarifário por número de páginas. Adaptada a sites à procura de uma solução padronizada com scan automático.

Cookilio (DPLIANCE)

Solução francesa, concebida especificamente para a conformidade com o RGPD. Pontos fortes:

  • Zero scripts antes do consentimento: bloqueio técnico real, verificado por inspeção de rede
  • Prova server-side: cada escolha é registada do lado do servidor com um correlation ID único, um carimbo temporal e o detalhe das finalidades
  • Auto-alojamento: os dados de consentimento permanecem nos seus próprios servidores. Soberania total — nenhum trânsito por um serviço de terceiros
  • Widget ultra-leve: construído em Preact, impacto mínimo no desempenho e nos Core Web Vitals
  • Banner multi-etapas: wizard que guia o utilizador sem dark pattern, com simetria perfeita entre aceitação e recusa
  • Tarifário simples: 9 EUR s/IVA/mês + 250 EUR s/IVA de instalação. Sem custo por tráfego, sem surpresas

Descubra o Cookilio

A obrigação de prova: o que as autoridades esperam concretamente

O artigo 7.º do RGPD dispõe que “quando o tratamento for baseado no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento.” Isto não é uma recomendação — é uma obrigação legal cujo incumprimento expõe a sanções.

O que a prova deve conter

  • Um identificador: quem consentiu? Não necessariamente um nome, mas um identificador técnico que permita encontrar a escolha de um determinado utilizador (cookie ID, session ID pseudonimizado).
  • Um carimbo temporal: quando foi recolhido o consentimento? A precisão deve ser suficiente (data, hora, minuto, segundo).
  • O detalhe das escolhas: que finalidades foram aceites, que finalidades foram recusadas? O detalhe por categoria é necessário.
  • A versão do banner: que informação foi apresentada ao utilizador no momento da escolha? Os textos, as categorias propostas, a lista dos parceiros.
  • O contexto técnico: em que página se encontrava o utilizador? Que terminal utilizava? (Particularmente pertinente desde a atualização cross-device de dezembro de 2025.)

O que a prova não deve ser

Um cookie local contendo “consent=accepted” não é uma prova. O utilizador pode apagá-lo, um script pode modificá-lo e, sobretudo, o editor não pode apresentá-lo às autoridades como prova de coisa alguma. Da mesma forma, um log de servidor que regista simplesmente “o utilizador clicou em Aceitar” sem identificador único nem detalhe das finalidades é insuficiente.

A implementação concreta

Na DPLIANCE, o Cookilio gera um correlation ID único para cada interação de consentimento. Este correlation ID é registado do lado do servidor com o carimbo temporal, o detalhe das escolhas por finalidade e a versão do banner. Em caso de controlo, pode fornecer às autoridades o histórico completo dos consentimentos recolhidos, com a certeza de que os dados não foram alterados.

O consentimento não é um obstáculo a contornar. É um compromisso a honrar.

Descubra o Cookilio — a partir de 9 EUR s/IVA/mês.

FAQ

Um CMP é obrigatório?

Tecnicamente, não. O RGPD e as autoridades de proteção de dados não impõem a utilização de um CMP enquanto tal. Impõem a recolha de um consentimento conforme, o bloqueio dos scripts antes do consentimento e a conservação de uma prova. Na prática, estas obrigações são quase impossíveis de cumprir sem uma ferramenta dedicada. A implementação manual é arriscada, dispendiosa de manter e difícil de auditar.

O TCF 2.2 é obrigatório?

Não. O TCF é um padrão da indústria publicitária (IAB Europe), não uma obrigação legal. É pertinente se trabalha com parceiros publicitários programáticos. Mas estar em conformidade com o TCF não significa estar em conformidade com as exigências regulamentares. Estas vão mais longe, nomeadamente no bloqueio efetivo dos scripts e na prova server-side.

Com que frequência as autoridades controlam os sites?

As autoridades intensificaram os seus controlos em linha nos últimos anos. Utilizam ferramentas automatizadas para analisar o tráfego de rede dos sites. Em 2024, a CNIL (autoridade francesa de proteção de dados) intimou vários editores por dark patterns. Em 2025, aplicou sanções maiores (Google, Shein, Condé Nast, American Express). Não há frequência fixa, mas o risco de controlo aumenta, sobretudo para sites com tráfego elevado e aqueles que são objeto de queixas de utilizadores. Em Portugal, a CNPD tem igualmente intensificado as suas ações de fiscalização.

É possível utilizar o interesse legítimo para cookies de analytics?

A CNIL (autoridade francesa de proteção de dados) não reconhece o interesse legítimo como base legal para o depósito de cookies. Para os cookies de medição de audiência, existe uma isenção de consentimento, mas sob condições estritas: dados estritamente anónimos, uso exclusivo pelo editor, sem transferência para terceiros, duração de vida limitada a 13 meses. Se estas condições não forem todas cumpridas, o consentimento é obrigatório.

Como verificar que o meu CMP bloqueia realmente os scripts?

Abra as ferramentas de desenvolvimento do seu navegador (separador “Rede”), apague todos os cookies, recarregue a página e observe os pedidos de rede antes de interagir com o banner. Se vir chamadas para domínios de terceiros (Google Analytics, Facebook, serviços publicitários), o seu CMP não bloqueia efetivamente os scripts. Pode igualmente utilizar ferramentas especializadas como scanners em linha dedicados.

Um cookie banner (banner de cookies) é a interface visual apresentada ao utilizador para recolher o seu consentimento. Um CMP (Consent Management Platform) é a ferramenta completa que gere o ciclo de vida do consentimento: exibição do banner, bloqueio dos scripts, registo das escolhas, prova do consentimento, retirada do consentimento. Um simples cookie banner sem CMP não cumpre as obrigações legais — exibe uma mensagem, mas não bloqueia tecnicamente os cookies e não conserva prova.

Fontes: CNIL (autoridade francesa de proteção de dados), Recomendação cookies de 17 de setembro de 2020 — CNIL, Dark patterns in cookie banners — CNIL, Sanção Google 325 M EUR — CNIL, Sanção Shein 150 M EUR — CNIL, Sanção Vanity Fair 750 000 EUR — CNIL, Sanção American Express 1,5 M EUR — CNIL, Ações 2025

Escreva-nos

contact@dpliance.com
Fale conosco