Aviso de cookies no site: o que precisa estar lá para ser válido pela LGPD

A coleta de cookies em sites brasileiros deixou de ser detalhe técnico e passou a ocupar o centro da fiscalização da Lei Geral de Proteção de Dados. Cookies de rastreamento, de publicidade comportamental e de análise mantida por terceiros só podem operar após consentimento livre, informado e específico do visitante, enquanto os cookies estritamente necessários ao funcionamento da página permanecem dispensados dessa autorização. Compreender com precisão essa fronteira é o que separa um banner de cookies juridicamente válido de uma porta aberta para autuação.

Quais cookies exigem consentimento específico do usuário

O critério decisivo não é o nome do cookie, mas a finalidade do tratamento de dados que ele viabiliza. Sempre que o cookie servir para acompanhar o comportamento da pessoa, montar perfis ou alimentar terceiros com informação sobre navegação, o consentimento prévio se torna obrigatório. Trata-se de exigência que decorre diretamente da base legal escolhida para esse tipo de tratamento.

Os cookies de rastreamento enquadram-se nessa categoria. Eles registram páginas visitadas, tempo de permanência, cliques e itinerário do usuário dentro do site e, muitas vezes, entre sites diferentes. Como permitem reconstruir hábitos individuais, dependem de manifestação afirmativa antes de qualquer captura.

Os cookies de publicidade comportamental vão além: cruzam dados de navegação para exibir anúncios direcionados conforme interesses inferidos. Por interferirem de modo sensível na esfera da pessoa, reclamam consentimento granular e destacado, jamais presumido a partir do simples acesso à página.

Há, ainda, os cookies analíticos de terceiros, instalados por ferramentas externas de medição de audiência. Quando esses serviços recebem identificadores capazes de singularizar o visitante, ou combinam dados entre clientes distintos, deixam de ser meramente estatísticos e passam a exigir autorização específica, com informação clara sobre quem recebe os dados e para qual finalidade.

Quais cookies são dispensados de consentimento

Nem todo cookie depende de autorização. Os cookies estritamente necessários, aqueles sem os quais o site não funciona, dispensam consentimento porque sustentam serviço expressamente solicitado pelo próprio usuário. Sua base legal não é o consentimento, e sim a execução daquilo que o visitante pediu ao acessar a página.

Entram nesse grupo os cookies de sessão que mantêm o login ativo, os que preservam itens no carrinho de compras, os responsáveis por equilíbrio de carga entre servidores e os que guardam preferências básicas de segurança durante a navegação. Sem eles, a funcionalidade requisitada simplesmente não se realiza.

A dispensa, contudo, é estreita e não pode ser usada como atalho. Rotular como necessário um cookie que, na prática, alimenta marketing ou medição de audiência configura desvio de finalidade e fragiliza toda a política de privacidade. A boa regra é restringir essa etiqueta ao que for tecnicamente indispensável.

Mesmo dispensados de consentimento, esses cookies não escapam do dever de transparência. O usuário tem direito de saber que eles existem, qual função cumprem e por quanto tempo permanecem armazenados, informação que deve constar da política de cookies do site de forma acessível e compreensível.

Essa distinção entre finalidade necessária e finalidade acessória organiza toda a arquitetura de um banner de cookies em conformidade. Quem domina a separação consegue construir camadas de escolha coerentes, oferecendo aceitação por categoria e respeitando a recusa sem prejudicar a experiência essencial de navegação.

A dispensa, contudo, é estreita e não pode ser usada como atalho.

O que deve constar no registro de consentimento para auditoria da ANPD

Obter o consentimento é apenas metade da obrigação. A outra metade é conseguir demonstrar, depois, que ele foi colhido de forma válida. A capacidade de comprovar o consentimento recai sobre o controlador dos dados, e é justamente o registro que materializa essa prova diante de uma fiscalização.

Um registro de consentimento robusto deve guardar o identificador da sessão ou do usuário, a data e a hora exatas da manifestação e as categorias de cookies efetivamente aceitas e recusadas. Sem esse detalhamento por categoria, torna-se impossível provar que houve granularidade real na escolha.

O registro também precisa preservar a versão do banner e do texto informativo vigente no momento do aceite. Como políticas de privacidade mudam ao longo do tempo, vincular cada consentimento à redação então apresentada demonstra que a pessoa foi informada exatamente sobre aquilo que autorizou.

Convém armazenar, ainda, a evidência do mecanismo utilizado, ou seja, a prova de que a aceitação exigiu ação afirmativa e de que a recusa era igualmente possível e simples. Esse conjunto permite reconstruir a manifestação caso a autoridade questione a integridade do processo.

Erros mais comuns e risco de autuação

O equívoco mais frequente é substituir o consentimento prévio pela lógica de opt-out, em que os cookies já disparam no carregamento da página e cabe ao usuário desativá-los depois. Esse modelo inverte a regra: o tratamento começa sem autorização, o que descaracteriza o consentimento como manifestação prévia e livre.

Outro erro recorrente é o checkbox pré-marcado, com a opção de aceite já assinalada por padrão. A aceitação válida pressupõe conduta ativa da pessoa; uma caixa previamente preenchida não traduz vontade real, apenas inércia, e por isso não produz consentimento juridicamente eficaz.

A ausência de granularidade completa o trio de falhas mais vistas. Banners que oferecem somente o botão de aceitar tudo, sem permitir escolha por categoria nem recusa em pé de igualdade, retiram do usuário o controle que a lei pretendeu assegurar e tornam a coleta vulnerável a questionamento.

Esses defeitos têm consequência concreta. A legislação prevê desde advertência, com prazo para correção, até multa que pode alcançar dois por cento do faturamento do grupo no Brasil, limitada a cinquenta milhões de reais por infração, além de publicização da penalidade e bloqueio dos dados tratados de forma irregular.

O caminho seguro combina três medidas: bloquear cookies não necessários até o aceite, oferecer escolha por categoria com recusa simples e manter registro auditável de cada manifestação. Revisar periodicamente o banner e a política de cookies, à luz das orientações da autoridade, mantém o site alinhado e reduz de forma sensível a exposição a sanção.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.