Consentimento de Cookies na LGPD: Como Implementar Corretamente

Cookies como dados pessoais na LGPD

Cookies são pequenos arquivos de texto armazenados no dispositivo do visitante pelo navegador. Quando um cookie contém um identificador único que permite rastrear ou identificar uma pessoa natural, ele constitui dado pessoal nos termos do Art. 5º, I da Lei 13.709/2018. Isso significa que as regras da LGPD se aplicam integralmente ao uso desses cookies.

Quando cookies identificam um titular

Um cookie identifica um titular quando armazena um identificador único (como _ga do Google Analytics ou _fbp do Meta Pixel) que permite distinguir aquele visitante de outros ao longo do tempo ou entre sites diferentes. Mesmo sem nome ou email, a capacidade de singularizar um indivíduo já configura dado pessoal conforme a definição ampla da LGPD.

Classificação de cookies por finalidade

Cookies são classificados em quatro categorias principais: estritamente necessários (sessão, segurança), analytics/desempenho (métricas de uso), funcionalidade (preferências do usuário) e marketing/publicidade (rastreamento cross-site). Cada categoria possui implicações distintas para a LGPD, especialmente quanto à base legal aplicável e à necessidade de consentimento prévio.

Requisitos legais para consentimento de cookies

A LGPD não menciona cookies explicitamente, mas o tratamento de dados pessoais por meio de cookies está sujeito às mesmas regras gerais da lei. O Guia Orientativo sobre Cookies e Proteção de Dados Pessoais da ANPD (2024) consolidou o entendimento sobre como aplicar a LGPD ao uso de cookies em sites e aplicações.

Características do consentimento válido

O consentimento válido para cookies deve atender aos requisitos do Art. 5º, XII e Art. 8º da LGPD: ser livre (sem coerção ou prejuízo ao acesso), informado (com explicação clara sobre o que está sendo consentido), inequívoco (ação afirmativa do titular) e para finalidade determinada (cada categoria de cookie com consentimento separado). Caixas pré-marcadas ou scroll como consentimento não atendem esses requisitos.

Cookies que dispensam consentimento

Cookies estritamente necessários para o funcionamento técnico do site podem se enquadrar na base legal de execução de contrato (Art. 7º, V) ou legítimo interesse (Art. 7º, IX), dispensando consentimento. Exemplos incluem cookies de sessão de autenticação, tokens CSRF, preferências de acessibilidade e cookies de balanceamento de carga. A chave é que o site não funcione adequadamente sem eles.

Granularidade: consentimento por categoria

O Art. 8º, §4º da LGPD veda o consentimento genérico para o tratamento de dados pessoais. Aplicado a cookies, isso significa que o titular deve poder aceitar ou recusar cada categoria separadamente. Um botão único "Aceitar todos os cookies" é válido apenas como atalho, desde que a opção de configuração granular esteja igualmente acessível.

Implementação técnica do banner de cookies

A implementação técnica do consentimento de cookies envolve três pilares: bloqueio prévio de scripts não essenciais até obtenção do consentimento, registro da prova do consentimento obtido e mecanismo acessível de revogação. Falhas em qualquer um desses pilares comprometem a conformidade.

Bloqueio prévio de scripts não essenciais

O bloqueio prévio (prior blocking) garante que scripts de analytics e marketing não sejam executados antes do consentimento do titular. Tecnicamente, isso pode ser implementado alterando o atributo type dos scripts para "text/plain" e ativando-os via JavaScript somente após o consentimento, ou utilizando plataformas de gerenciamento de consentimento (CMPs) que automatizam esse processo.

Registro e prova do consentimento

O Art. 8º, §2º da LGPD atribui ao controlador o ônus de provar que o consentimento foi obtido. Para cookies, isso exige registrar: timestamp do consentimento, versão da política/banner apresentada, categorias aceitas e recusadas, identificador do visitante (cookie ID) e método de obtenção (clique em botão, configuração granular). Esses registros devem ser mantidos enquanto durar o tratamento.

Mecanismo de revogação

O Art. 8º, §5º garante ao titular o direito de revogar o consentimento a qualquer momento. O site deve oferecer um mecanismo permanentemente acessível (como link no footer ou ícone flutuante) que permita ao visitante alterar suas preferências de cookies com a mesma facilidade com que o consentimento foi originalmente fornecido.

Erros frequentes em banners de cookies

Banners de cookies mal implementados são uma das violações mais visíveis da LGPD em sites brasileiros. Além de não garantirem conformidade, podem gerar reclamações de titulares à ANPD e prejudicar a experiência do usuário.

Cookie walls e consentimento forçado

Cookie walls bloqueiam o acesso ao conteúdo do site até que o visitante aceite todos os cookies. Essa prática viola o requisito de consentimento livre (Art. 5º, XII), pois condiciona o acesso ao serviço à aceitação do tratamento de dados. O consentimento obtido sob coerção não é válido perante a LGPD.

Dark patterns em interfaces de consentimento

Dark patterns em banners de cookies incluem: botão "Aceitar" destacado com "Recusar" em texto pequeno ou escondido, múltiplos cliques necessários para recusar, categorias pré-selecionadas que exigem desmarcação manual e linguagem confusa que induz ao consentimento. Essas práticas violam o princípio da boa-fé (Art. 6º, caput) e podem invalidar o consentimento obtido.

Auditoria de cookies: como verificar conformidade

A auditoria de cookies deve verificar: (1) quais cookies são definidos antes do consentimento, (2) se o banner oferece opção real de recusa, (3) se o bloqueio prévio funciona corretamente, (4) se o consentimento é registrado com prova, (5) se existe mecanismo de revogação acessível e (6) se a política de cookies está atualizada com todos os cookies em uso.

Ferramentas como o DevTools do navegador (aba Application > Cookies), extensões como Cookie AutoDelete e scanners como Cookiebot ou OneTrust podem auxiliar na identificação de todos os cookies definidos pelo site e seus scripts de terceiros.