O que o RGPD exige de um banner de cookies

O RGPD e a Diretiva ePrivacy estabelecem cinco regras inegociáveis para o consentimento de cookies:

• Dado livremente: Recusar cookies deve ser tão fácil quanto aceitá-los.
• Específico: O consentimento deve ser solicitado separadamente para cada finalidade.
• Informado: Os utilizadores devem saber com o que concordam antes de concordar.
• Inequívoco: Caixas pré-selecionadas e navegação continuada não contam.
• Revogável: Os utilizadores devem poder retirar o consentimento a qualquer momento.

Exemplo 1: O banner "Apenas Aceitar" (Não Conforme)

Como se parece

Uma pequena barra com "Utilizamos cookies para melhorar a sua experiência" e um único botão "OK". Sem opção de recusa, sem definições.

Por que falha

Sem escolha real, sem informação sobre cookies, sem forma de recusar. A CNIL multou a Google em 150 milhões EUR e o Facebook em 60 milhões EUR em 2022 por exatamente este padrão.

Veredito: Ilegal segundo o RGPD.

Exemplo 2: Aceitar Tudo + pequeno link "Gerir Preferências" (Não Conforme)

Como se parece

Um botão proeminente "Aceitar Tudo" com um pequeno link cinzento "Gerir Preferências". Sem botão "Rejeitar Tudo".

Por que falha

A hierarquia visual empurra os utilizadores para a aceitação. Recusar requer dois cliques, aceitar um. Várias autoridades de proteção de dados determinaram que isto não é consentimento dado livremente.

Veredito: Não conforme. Rejeitar deve ser tão acessível quanto Aceitar.

Exemplo 3: Botões iguais de Aceitar e Rejeitar (Conforme)

Como se parece

Dois botões do mesmo tamanho: "Aceitar Tudo" e "Rejeitar Tudo". Abaixo, um link "Gerir Preferências". Breve explicação das finalidades dos cookies.

Por que funciona

Escolha livre genuína, ambas opções igualmente proeminentes, um clique cada. Este é o padrão que a CNIL recomendou explicitamente.

Veredito: Conforme. A base que todo site deve cumprir.

Exemplo 4: O Muro de Cookies (Não Conforme)

Como se parece

Sobreposição em ecrã inteiro bloqueando todo o conteúdo. A única opção é "Aceitar Cookies".

Por que falha

Artigo 7(4) do RGPD — o consentimento não é livre se o acesso ao serviço estiver condicionado. A autoridade holandesa concluiu que muros de cookies geralmente não são permitidos.

Veredito: Não conforme na maioria das jurisdições da UE.

Exemplo 5: Caixas Pré-selecionadas (Não Conforme)

Como se parece

Banner detalhado mostrando categorias de cookies com caixas de seleção — mas todas pré-selecionadas.

Por que falha

O acórdão Planet49 do TJUE (2019) resolveu isto definitivamente: caixas pré-selecionadas não constituem consentimento válido. O consentimento requer uma ação afirmativa clara.

Veredito: Explicitamente ilegal segundo a jurisprudência do TJUE.

Exemplo 6: A Abordagem em Camadas (Conforme — Melhor Prática)

Como se parece

Primeira camada: banner compacto com botões Aceitar Tudo, Rejeitar Tudo e Personalizar. Segunda camada: centro de preferências detalhado com interruptores por categoria e lista de fornecedores. Terceira camada: política de cookies completa.

Por que funciona

Equilibra informação com usabilidade. A primeira camada oferece escolha, a segunda detalhe, a terceira transparência total. Recomendado explicitamente pelo CEPD.

Veredito: Melhor prática. O padrão de ouro para conformidade.

Exemplo 7: Rótulos de Botões Enganosos (Não Conforme)

Como se parece

"Concordo" versus "Não concordo em rejeitar cookies não essenciais". Ou: "Aceitar definições recomendadas" versus "Usar versão limitada".

Por que falha

O considerando 42 do RGPD exige linguagem clara e simples. Duplas negações, consequências implícitas e rótulos manipuladores não são conformes.

Veredito: Não conforme. Use rótulos claros e neutros.

Exemplo 8: O Banner Conforme Bem Feito

Como se parece

Uma barra inferior limpa com: título claro, explicação breve, três botões com o mesmo estilo (Aceitar Tudo, Rejeitar Tudo, Gerir Preferências) e um link para a política de cookies. Gerir Preferências abre um centro de preferências com interruptores individuais, lista de fornecedores e botão Guardar.

Por que funciona

Cumpre todos os requisitos: escolha livre, botões simétricos, informação em camadas, linguagem simples, sem caixas pré-selecionadas, fácil revogação através do ícone de definições de cookies.

Veredito: Totalmente conforme.

Multas Reais por Banners Incorretos

• Google (França, 2022): 150 milhões EUR — opção de recusa mais difícil de encontrar que aceitação.
• Facebook (França, 2022): 60 milhões EUR — mesmo problema de assimetria.
• Microsoft (França, 2022): 60 milhões EUR — cookies publicitários definidos sem consentimento válido.
• TikTok (França, 2023): 5 milhões EUR — recusar cookies exigiu mais passos que aceitar.

Lista de Verificação de Conformidade

• Existe um botão "Rejeitar Tudo" visível na primeira camada?
• Aceitar e Rejeitar são igualmente proeminentes?
• Todas as caixas estão desmarcadas por defeito?
• O banner aparece antes de cookies não essenciais serem definidos?
• Os utilizadores podem aceder a controlos granulares por categoria?
• O consentimento é registado com marca temporal?
• Os utilizadores podem alterar o consentimento a qualquer momento?
• O banner está no idioma do utilizador?
• Clicar em Rejeitar previne efetivamente cookies não essenciais?

Como o FlexyConsent Lida com Isto Nativamente

O FlexyConsent é uma CMP certificada pela Google com suporte IAB TCF 2.3. Aborda todos os requisitos de conformidade:

• Botões iguais de Aceitar e Rejeitar na primeira camada
• Abordagem em camadas incorporada (primeira camada para escolha, segunda para controlos granulares)
• Sem caixas pré-selecionadas — todas as categorias opcionais desmarcadas por defeito
• Google Consent Mode V2 integrado nativamente
• 43 idiomas com deteção automática
• Geolocalização para banners específicos por região
• Registo de consentimento e provas para auditorias
• Planos a partir de 0 EUR/mês

Configure um banner conforme em menos de cinco minutos em panel.flexyconsent.com.