Cookies e Consentimento: Como o Site Deve Tratar os Dados do Visitante
O rastreamento de usuários por meio de cookies configura tratamento de dados pessoais e se sujeita às exigências da Lei Geral de Proteção de Dados Pessoais. Para operar em conformidade, os sites precisam coletar consentimento válido antes de instalar cookies não essenciais, garantir transparência sobre as finalidades e assegurar ao visitante mecanismos efetivos de recusa.
Cookies como dados pessoais: o enquadramento jurídico
Cookies são pequenos arquivos de texto gravados no navegador do usuário para registrar preferências, sessões de autenticação, comportamento de navegação e outros parâmetros. Quando associados a um indivíduo identificável, passam a constituir dados pessoais na acepção do artigo 5º, inciso I, da Lei 13.709/2018, submetendo-se a todo o regime de proteção nela previsto.
A distinção relevante para fins jurídicos é entre cookies estritamente necessários e cookies não essenciais. Os primeiros garantem o funcionamento técnico do site, como autenticação e segurança de sessão, e dispensam consentimento, pois o tratamento encontra amparo na base legal da execução de contrato ou do legítimo interesse devidamente documentado. Os demais, como cookies analíticos, de publicidade comportamental e de personalização, só podem ser instalados mediante consentimento prévio, livre, informado e inequívoco do visitante.
O Marco Civil da Internet (Lei 12.965/2014) já estabelecia o respeito à privacidade como fundamento do uso da internet no Brasil. A LGPD aprofundou esse imperativo ao exigir base legal específica para cada operação de tratamento, incluindo a simples leitura de cookies por scripts de terceiros incorporados às páginas.
Consentimento válido: requisitos que a lei não flexibiliza
O artigo 8º da LGPD estabelece que o consentimento deve ser manifestado de forma livre, informada e inequívoca. No contexto de cookies, isso significa que o banner ou painel de preferências não pode apresentar caixas pré-marcadas, nem esconder a opção de recusa em menus secundários ou com contraste visual reduzido. A facilidade de aceitar e a facilidade de recusar devem ser equivalentes, sob pena de invalidade da manifestação obtida.
O consentimento genérico, que engloba todas as categorias de cookies em uma única aceitação sem discriminação de finalidades, contraria a exigência de granularidade imposta pelo princípio da finalidade, previsto no artigo 6º, inciso I, da LGPD. A manifestação deve permitir ao visitante aceitar apenas os cookies analíticos, por exemplo, sem precisar autorizar os de rastreamento publicitário. Essa separação por categoria é a expressão prática do princípio da adequação entre os dados coletados e a finalidade declarada.
Um banner que cobre a tela e só oferece o botão “Aceitar todos” não é uma solicitação de consentimento: é uma coação digital que a LGPD não admite.
Outro requisito frequentemente negligenciado é a documentação do consentimento. O controlador deve ser capaz de demonstrar que o consentimento foi obtido validamente, com registro da data, da versão da política de cookies vigente e das categorias aceitas pelo usuário. Sem esse registro, a presunção em caso de litígio administrativo ou cível pende contra o site.
Obrigações do controlador e riscos do descumprimento
O responsável pelo site deve elaborar e disponibilizar uma política de cookies clara, redigida em linguagem acessível e atualizada sempre que houver mudança nas finalidades de coleta. Essa política precisa indicar quais cookies são utilizados, suas finalidades, o prazo de retenção e, quando aplicável, os terceiros que receberão os dados gerados pelo rastreamento, incluindo plataformas de anúncio e ferramentas de métricas externas.
A retirada do consentimento deve ser tão simples quanto a sua concessão. O parágrafo 5º do artigo 8º da LGPD é expresso: o titular pode revogar o consentimento a qualquer momento, mediante manifestação expressa, sem que isso lhe cause qualquer prejuízo. Sites que só permitem revogar cookies por meio de configurações avançadas do navegador, sem oferecer painel próprio de gerenciamento, não cumprem essa exigência e expõem o controlador a responsabilidade.
As sanções pelo descumprimento das regras de consentimento para cookies vão de advertência com prazo de adequação à multa de até 2% do faturamento da pessoa jurídica no último exercício, limitada a cinquenta milhões de reais por infração, conforme o artigo 52 da LGPD. Além das sanções administrativas da Autoridade Nacional de Proteção de Dados, o titular prejudicado pode pleitear reparação de danos no âmbito cível com base no artigo 42 da mesma lei, o que amplia consideravelmente a exposição jurídica do controlador.
Perguntas Frequentes
Todo site, independentemente do porte, é obrigado a exibir um banner de cookies?
A obrigação decorre do uso de cookies que processem dados pessoais, não do porte ou faturamento do site. Um blog pessoal que incorpore o código de uma plataforma de análise de tráfego já está processando dados pessoais dos visitantes e deve solicitar consentimento antes de instalar esses cookies. A LGPD não prevê isenção para microempresas ou pessoas físicas quando o tratamento envolve dados de terceiros, ainda que o volume de visitantes seja reduzido.
O visitante pode retirar o consentimento para cookies depois de tê-lo concedido?
Sim, e essa possibilidade é um direito garantido pelo artigo 8º, parágrafo 5º, combinado com o artigo 18, inciso IX, da LGPD. O site deve oferecer um mecanismo acessível de revogação, como um painel de preferências de cookies alcançável a partir de qualquer página. Após a revogação, o controlador deve cessar o tratamento baseado naquele consentimento e, no que for tecnicamente viável, excluir os dados já coletados, respeitado o prazo de retenção legal eventualmente aplicável.
Quais são as consequências jurídicas para um site que ignora as regras de consentimento para cookies?
O descumprimento pode gerar sanções administrativas aplicadas pela ANPD, que incluem advertência, publicização da infração, bloqueio dos dados envolvidos e multa de até 2% do faturamento anual, limitada a cinquenta milhões de reais por infração. No plano cível, o titular que demonstrar dano concreto decorrente do tratamento irregular pode exigir indenização com base no artigo 42 da LGPD, independentemente do desfecho na esfera administrativa. Há, ainda, o risco de ação coletiva promovida por entidades de defesa do consumidor ou pelo Ministério Público quando a violação atingir número expressivo de usuários.
— 17/05/2026, 13h00min
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
