Uma política de cookies conforme em Portugal assenta em duas regras: os cookies não estritamente necessários exigem consentimento prévio do utilizador (artigo 5.º da Lei n.º 41/2004, que transpõe a diretiva ePrivacy), e esse consentimento tem de cumprir os requisitos do RGPD — livre, específico, informado e por ação afirmativa. Na prática, isto proíbe cookies analíticos ou publicitários antes do clique, caixas pré-marcadas e cookie walls. Este guia dá-lhe um modelo de política de cookies com tabela por categoria, o texto do banner e as regras de recolha válida.
O erro mais comum dos sites portugueses é depositar cookies de análise e marketing no carregamento da página, antes de qualquer consentimento — exatamente o que a lei proíbe.
Pontos essenciais
- Consentimento prévio para todos os cookies não essenciais (art. 5.º da Lei 41/2004).
- Só depois do clique — os cookies não essenciais não podem ser depositados no carregamento.
- Rejeitar tão fácil como aceitar — o banner precisa de botão de recusa no primeiro nível.
- Cookies técnicos essenciais dispensam consentimento, mas devem constar da política.
O enquadramento legal: Lei 41/2004 + RGPD
Duas normas regem os cookies em Portugal. A Lei n.º 41/2004 (privacidade nas comunicações eletrónicas) exige, no artigo 5.º, o consentimento prévio para armazenar ou aceder a informação no equipamento do utilizador, salvo os cookies estritamente necessários à prestação do serviço pedido. O RGPD define o que é um consentimento válido. Ambas se aplicam em simultâneo: a Lei 41/2004 diz quando é preciso consentimento; o RGPD e as Guidelines 05/2020 do CEPD dizem como esse consentimento tem de ser obtido.
A CNPD publicou orientações sobre cookies e tem fiscalizado banners não conformes. A tendência das autoridades europeias — em linha com as decisões da CNIL francesa e do EDPB — é clara: recusar tem de ser tão simples como aceitar.
As categorias de cookies
| Categoria | Consentimento | Exemplos |
|---|---|---|
| Estritamente necessários | Não exigido | Sessão, carrinho, segurança, idioma |
| Preferências / funcionais | Exigido | Personalização, layout guardado |
| Estatísticos / análise | Exigido | Google Analytics, Matomo com IP não anonimizado |
| Marketing / publicidade | Exigido | Pixéis de redes sociais, remarketing |
A única categoria que dispensa consentimento é a dos cookies estritamente necessários. Os cookies de análise não são essenciais — mesmo os «anónimos» exigem consentimento se permitirem seguir o utilizador. O critério não é o nome que a ferramenta usa, mas a função: se o cookie serve para medir audiência, personalizar publicidade ou reconhecer o visitante entre sessões, é não essencial e depende de consentimento prévio. A confusão mais frequente é tratar a analítica como «técnica»: não é. Só os cookies sem os quais o serviço pedido não funciona — manter a sessão, guardar o conteúdo do carrinho, garantir a segurança da ligação, recordar o idioma escolhido — cabem na isenção, e mesmo esses devem ser descritos com transparência na política.
Modelo de política de cookies
1. Introdução
«Este site utiliza cookies e tecnologias semelhantes. Os cookies estritamente necessários são usados por defeito; os restantes só são ativados com o seu consentimento, que pode retirar a qualquer momento nas definições de cookies.»
2. Tabela de cookies
Para cada cookie, indique: nome, finalidade, categoria, duração e se é próprio ou de terceiros. Exemplo:
| Cookie | Finalidade | Categoria | Duração |
|---|---|---|---|
sessao_id |
Manter a sessão | Necessário | Sessão |
_ga |
Análise de tráfego | Estatístico | 24 meses |
_fbp |
Publicidade dirigida | Marketing | 3 meses |
3. Gestão do consentimento
«Pode gerir as suas preferências em qualquer momento através do ícone de definições de cookies. A retirada do consentimento não afeta a licitude do tratamento efetuado até esse momento.»
4. Ligação à política de privacidade
A política de cookies articula-se com a política de privacidade do site: os cookies que tratam dados pessoais são também tratamentos a inscrever no registo de atividades de tratamento.
O texto e as regras do banner
O banner é onde a maioria dos sites falha. Um banner conforme respeita quatro regras:
- Não deposita cookies não essenciais antes do clique. Nada de análise a carregar «por precaução».
- Botão de recusar no primeiro nível, com o mesmo destaque visual do «aceitar». Um «aceitar» verde grande e um «rejeitar» escondido num submenu é não conforme.
- Sem caixas pré-marcadas e sem cookie walls que bloqueiem o acesso a quem recusa (Guidelines 05/2020 do CEPD).
- Granularidade — o utilizador pode aceitar por categoria, não só «tudo ou nada».
Texto-tipo do banner:
«Utilizamos cookies para o funcionamento do site e, com o seu consentimento, para análise e marketing. Pode aceitar, recusar ou personalizar. [Aceitar] [Recusar] [Personalizar]»
O consentimento dado no banner tem de respeitar os mesmos requisitos dos exemplos de consentimento válido: livre, específico, informado e inequívoco. Para textos prontos a adaptar, ver o modelo de consentimento RGPD.
Cookies numa loja online
Para o comércio eletrónico, os cookies cruzam-se com o marketing por email e com os dados de pagamento. Um pixel de remarketing, um cookie de carrinho abandonado ligado a email ou uma integração de análise são todos tratamentos que exigem base de licitude — consentimento no caso dos não essenciais. Veja o guia sobre RGPD para e-commerce para o quadro completo.
Manter o banner e a tabela sincronizados
O problema prático não é escrever a política uma vez, é mantê-la exata. Cada nova ferramenta de marketing acrescenta cookies que têm de aparecer na tabela e no gestor de consentimento. Um banner que promete recusar mas continua a depositar cookies de terceiros é uma não conformidade que a CNPD deteta com uma simples inspeção do site. Plataformas de conformidade como a Legiscope ajudam a manter o inventário de tratamentos — incluindo cookies — ligado à documentação, para que a política reflita o que o site realmente faz. Ainda assim, a configuração técnica do gestor de consentimento é sempre responsabilidade de quem opera o site.
Perguntas frequentes
Preciso de consentimento para o Google Analytics?
Sim. Os cookies de análise não são estritamente necessários, pelo que o artigo 5.º da Lei 41/2004 exige consentimento prévio. Só podem ser ativados após o clique afirmativo do utilizador, e a recusa não pode limitar o acesso ao site.
O botão «recusar» tem de estar no primeiro nível do banner?
Sim, na prática. As orientações europeias exigem que recusar seja tão fácil como aceitar. Um banner com «aceitar» imediato mas que obriga a navegar por menus para recusar é considerado não conforme, porque enviesa a liberdade do consentimento.
Os cookies estritamente necessários precisam de consentimento?
Não. Os cookies indispensáveis à prestação do serviço expressamente pedido pelo utilizador — sessão, autenticação, carrinho, segurança — estão isentos de consentimento pelo artigo 5.º da Lei 41/2004. Devem, ainda assim, ser descritos na política de cookies.
Um cookie wall é permitido?
Não, como regra. Condicionar o acesso ao site à aceitação de cookies não essenciais retira a liberdade ao consentimento. As Guidelines 05/2020 do CEPD consideram que um cookie wall, em geral, não produz um consentimento válido.
Conclusão
Uma política de cookies conforme em Portugal resolve-se com duas ideias: nada de cookies não essenciais antes do clique, e recusar tão fácil como aceitar. O resto é execução — tabela por categoria, banner granular, gestor de preferências e sincronização com a política de privacidade. Verifique o seu próprio site: se o inspetor do navegador mostrar cookies de análise ou marketing a carregar antes de qualquer escolha, está em incumprimento, por muito bem redigida que esteja a política.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial