O utilizador instalou um banner de cookies no seu site e pensa estar em conformidade. Infelizmente, um banner que mostra um botão “Aceitar” não é suficiente. Este deve bloquear efetivamente os scripts de terceiros até que o utilizador dê o seu consentimento. E é aí que a maioria das soluções gratuitas — e até algumas pagas — falham.
Em 2026, um site médio carrega 20 a 40 scripts de terceiros: analytics, publicidade, chat, embeds de vídeo, heatmaps, ferramentas de marketing. Se o banner permitir que apenas alguns passem antes do consentimento, está em infração com o artigo 5.º da Lei n.º 41/2004 e potencialmente com o RGPD. A CNPD (Comissão Nacional de Proteção de Dados) e as restantes autoridades europeias sancionaram centenas de empresas entre 2020 e 2025 com base neste motivo.
Este artigo enumera os 37 rastreadores mais frequentemente esquecidos pelos banners gratuitos, explica como verificar a sua configuração atual e compara as abordagens técnicas das principais soluções do mercado.
Teste o seu site gratuitamente em 10 segundos →
Porquê 37 serviços? A check-list 2026
Auditámos os cem sites mais visitados em Portugal e elaborámos a lista dos serviços de terceiros que colocam sistematicamente problemas de conformidade com o RGPD. O resultado: 37 serviços que qualquer banner de cookies sério deve detetar e bloquear por predefinição.
Analytics & heatmaps (14 serviços)
| Serviço | Editor | Cookie sem consentimento? |
|---|---|---|
| Google Analytics 4 | ❌ Ilegal | |
| Google Tag Manager | ❌ Ilegal (se despoletar tags não consentidas) | |
| Hotjar | Contentsquare | ❌ Ilegal |
| Microsoft Clarity | Microsoft | ❌ Ilegal |
| Matomo (alojado) | Matomo | ⚠️ Isento se configurado em modo cookieless |
| Plausible | Plausible | ✅ Isento (cookieless) |
| Mixpanel | Mixpanel | ❌ Ilegal |
| Segment | Twilio | ❌ Ilegal (depende dos destinos) |
| Amplitude | Amplitude | ❌ Ilegal |
| Heap | Heap | ❌ Ilegal |
| FullStory | FullStory | ❌ Ilegal |
| LogRocket | LogRocket | ❌ Ilegal |
| Pendo | Pendo | ❌ Ilegal |
| Smartlook | Smartlook | ❌ Ilegal |
A reter: apenas Plausible e Matomo em modo cookieless podem ser carregados sem consentimento. Todos os outros exigem um opt-in ativo.
Publicidade & marketing social (12 serviços)
| Serviço | Editor | Cookie sem consentimento? |
|---|---|---|
| Meta Pixel (Facebook) | Meta | ❌ Ilegal |
| TikTok Pixel | TikTok | ❌ Ilegal |
| Google Ads | ❌ Ilegal | |
| LinkedIn Insight Tag | Microsoft | ❌ Ilegal |
| Pinterest Tag | ❌ Ilegal | |
| Twitter/X Pixel | X | ❌ Ilegal |
| Snapchat Pixel | Snap | ❌ Ilegal |
| Reddit Pixel | ❌ Ilegal | |
| Quora Pixel | Quora | ❌ Ilegal |
| Outbrain | Outbrain | ❌ Ilegal |
| Taboola | Taboola | ❌ Ilegal |
| Marketo | Adobe | ❌ Ilegal |
Um Meta Pixel carregado sem consentimento é uma das violações mais frequentemente sancionadas pelas autoridades europeias de proteção de dados. A CNIL francesa publicou várias decisões públicas entre 2023 e 2025 por este motivo, e a CNPD segue orientação idêntica.
Embeds de vídeo & mapas (3 serviços)
| Serviço | Editor | Cookie sem consentimento? |
|---|---|---|
| YouTube | ❌ Ilegal (exceto modo youtube-nocookie.com) | |
| Vimeo | Vimeo | ❌ Ilegal |
| Google Maps | ❌ Ilegal |
Muitos sites integram um vídeo do YouTube na sua página inicial sem se aperceberem que o iframe do YouTube carrega cerca de trinta cookies antes mesmo de o utilizador clicar em Play. Um banner conforme deve substituir o iframe por um ecrã de espera (consent wall) até ao consentimento.
Chat & apoio ao cliente (7 serviços)
| Serviço | Editor | Cookie sem consentimento? |
|---|---|---|
| Intercom | Intercom | ❌ Ilegal |
| Crisp | Crisp | ❌ Ilegal |
| Tawk.to | Tawk | ❌ Ilegal |
| Zendesk Messaging | Zendesk | ❌ Ilegal |
| Drift | Drift | ❌ Ilegal |
| Olark | Olark | ❌ Ilegal |
| HubSpot | HubSpot | ❌ Ilegal |
Os chats de apoio colocam um problema particular: são vistos como “funcionais” pelos webmasters quando, na realidade, recolhem dados de identificação, localização e navegação — estando portanto sujeitos a consentimento.
Isenção estrita (1 serviço)
Apenas um serviço escapa ao consentimento: Stripe para os cookies estritamente necessários à segurança do pagamento (antifraude). Mesmo aí, apenas os cookies de sessão de segurança estão isentos, não os cookies de marketing associados.
O comparativo dos banners de cookies (abril 2026)
Antes de instalar um banner, verifique objetivamente o que este cobre. Eis um comparativo das soluções mais comuns, segundo critérios técnicos e verificáveis.
| Critério | WebLegal CCB | Banner gratuito típico | Solução comercial (Termly / Iubenda / Cookiebot free tier) |
|---|---|---|---|
| Preço | Gratuito, sem limite de sites nem páginas | Gratuito mas frequentemente limitado (1 domínio, < 100 páginas, watermark) | Pago logo no 1.º site sério ou limitado a 1 domínio |
| Rastreadores detetados por predefinição | 37 serviços + regex extensíveis | 5 a 15 em geral | 20 a 30 |
| Línguas mantidas | 14 línguas UE + 16 fallbacks | 1 a 3 (inglês + 2 outras) | 10 a 50 consoante o plano |
| Consent Mode v2 Google | 7 sinais em 7 (incluindo security_storage) | Frequentemente incompleto (3 a 5 sinais) | 7 em 7 na versão paga |
| Ecrã de substituição (consent wall) para embeds | 9 embeds localizados (YouTube, Vimeo, Maps, TikTok, Twitter, Instagram, Facebook, Spotify, SoundCloud) | Raro, frequentemente ausente | Parcial, depende dos planos |
| Peso do script | 40 KB não-minificado (~12 KB gzip) | 30 a 60 KB | 80 a 300 KB (OneTrust: 300+ KB) |
| Código aberto / auditável | ✅ Código legível, não-minificado deliberadamente | Variável | Raramente (ofuscado, minificado) |
| Deteção automática de CMP existente | ✅ 36 CMPs reconhecidos (para scanner anticonflito) | Não | Parcial |
| Alojamento terceiro (RGPD) | Script servido a partir de weblegal.ai (EEE) | Variável (frequentemente CDN US) | Frequentemente CDN US (transferência fora da UE a declarar) |
Pontos distintivos do WebLegal CCB:
- O mais leve do mercado entre as soluções completas. Um script de 40 KB (12 KB gzip) contra 80 a 300 KB das alternativas. Menor latência, melhor pontuação Core Web Vitals, impacto SEO positivo.
- Não-minificado deliberadamente. O código é legível por um programador, um DPO ou um técnico da CNPD. É um argumento de transparência e conformidade: pode justificar exatamente o que o banner faz no seu site.
- Localização real dos ecrãs de substituição. Quando um utilizador alemão se depara com um vídeo do YouTube bloqueado, o ecrã de espera está em alemão, não em inglês por predefinição. A mesma lógica para Vimeo, Spotify, Instagram, TikTok, etc.
- Consent Mode v2 completo desde abril de 2026. Os 7 sinais Google são emitidos desde o primeiro carregamento e depois atualizados após o consentimento. Zero perda de conversão Google Ads associada a um sinal em falta.
Como testar o seu banner atual
Antes de mudar de solução, teste o que o seu banner faz realmente hoje. Dois métodos práticos:
Método 1 — Scanner automático (30 segundos)
Introduza o seu URL no nosso scanner de conformidade. Este analisa a sua página num navegador headless, deteta os cookies colocados antes do clique em “Aceitar” e lista os serviços carregados sem consentimento. Resultado em 10 segundos, sem registo.
Método 2 — DevTools Chrome (5 minutos)
- Abra o seu site em modo navegação privada
- F12 → separador Application → Cookies (antes de qualquer interação)
- Observe os cookies já colocados: se vir outra coisa além dos seus próprios cookies de sessão +
wl_cc_consent(ou equivalente), tem um problema - Separador Network, filtro
XHR/Fetch→ observe os pedidos paragoogle-analytics.com,facebook.net,tiktok.com,hotjar.com: qualquer pedido antes do clique é uma infração
Método 3 — Extensão dedicada
A extensão Chrome CMP Verifier (gratuita) simula um visitante que recusou e depois aceitou, dizendo-lhe se as regras de consentimento foram respeitadas. Muito útil para documentar a conformidade junto do seu DPO.
Os quatro erros mais frequentes
Erro 1 — O banner é exibido mas não bloqueia nada
É o erro mais difundido entre os plugins WordPress gratuitos “coloque um banner em 1 clique”. O plugin exibe o banner, regista o consentimento… mas não toca nos scripts. O Google Analytics continua a carregar. Resultado: fez o esforço do banner sem qualquer benefício jurídico.
Como verificar: aplique o Método 2 acima. Se vir cookies _ga ou _fbp antes de ter clicado, está confirmado.
Erro 2 — Os embeds YouTube/Vimeo carregam na mesma
Mesmo que o seu banner bloqueie o Google Analytics, frequentemente deixa passar os iframes <iframe src="https://www.youtube.com/embed/..."> integrados diretamente nas suas páginas. Cada um carrega 20 a 30 cookies Google.
Solução: o banner deve substituir dinamicamente o iframe por um ecrã de espera com a mensagem “Este vídeo utiliza cookies. Aceite para o visualizar.” É o consent wall — padrão no WebLegal CCB, opcional ou ausente em muitos outros.
Erro 3 — O modo “rejeitar tudo” não equivale ao “aceitar tudo”
As autoridades europeias, desde 2021, exigem que recusar seja tão simples como aceitar. Se o seu banner propuser um botão verde grande “Aceitar tudo” mas esconder “Recusar” atrás de uma hiperligação de três cliques, está fora da lei. As coimas documentadas na UE entre 2022 e 2025 por este motivo ultrapassam as 50 decisões públicas.
Erro 4 — O banner bloqueia o Googlebot
Alguns banners também são exibidos aos robôs de indexação, o que pode ser interpretado como um intersticial abusivo pelo Google e prejudicar o seu SEO. Um banner moderno deve detetar os User-Agents conhecidos (Googlebot, Bingbot, DuckDuckBot) e não perturbar o seu crawl.
Estado no WebLegal CCB: funcionalidade em planeamento — ver a nossa roadmap pública (issue #174).
Instalar o WebLegal CCB em 2 minutos
Se após esta leitura decidir migrar, eis o procedimento:
- Aceda a weblegal.ai/pt/cookie-banner/
- Indique o nome do seu site e as categorias de cookies que utiliza
- Copie o snippet (uma linha
<script src="...">) - Cole-o antes de qualquer outro script de terceiros na tag
<head>do seu site - Teste através do Método 1 acima
Zero registo, zero cartão bancário, zero limite de páginas ou de domínios. O snippet é um único script de 40 KB alojado em weblegal.ai — o seu site não carrega mais nada enquanto o visitante não interagir com o banner.
FAQ
O meu banner WordPress gratuito é suficiente?
Provavelmente não. A maioria dos plugins gratuitos exibe um banner mas não bloqueia os scripts. Teste com o Método 2 (DevTools) para ter a certeza. Se vir _ga, _fbp, _gcl_au ou cookies .hotjar.com antes de ter clicado, está em infração.
Podemos contentar-nos com “cookies estritamente necessários”?
Sim, desde que efetivamente não utilize nenhum rastreador analítico, publicitário ou chat de terceiros. Concretamente: nada de Google Analytics, nada de Facebook Pixel, nada de YouTube integrado, nada de Google Maps, nada de Intercom. Um site de blogue sem qualquer ferramenta de marketing pode dispensá-los. Um site de comércio eletrónico: nunca.
Os banners pagos são melhores?
Não automaticamente. Um banner pago oferece geralmente mais línguas e interfaces de administração mais sofisticadas, mas não forçosamente uma melhor qualidade de bloqueio. O peso do script (por vezes 200-300 KB no OneTrust) pode também prejudicar o seu SEO através dos Core Web Vitals.
Como provar a conformidade do meu banner junto da CNPD?
Guarde três elementos:
- o código do script utilizado (ou o URL público como
https://weblegal.ai/js/wl-cookie-consent.js) - uma verificação periódica do seu próprio site (captura de ecrã + relatório)
- um registo de consentimento — a prova de que armazena a escolha do utilizador
No WebLegal, o consentimento é armazenado num cookie wl_cc_consent com data e categorias, cujo formato está documentado publicamente.
Deve o banner ser exibido a visitantes de fora da UE?
Sim por predefinição. É tecnicamente possível restringir o banner aos visitantes da UE, mas não é recomendado:
- se um visitante de fora da UE se autenticar com uma conta UE, deve respeitar os seus direitos
- regulamentações similares existem agora no Reino Unido (UK GDPR), na Califórnia (CCPA), no Brasil (LGPD), e estendem-se a outras jurisdições
- a coerência UX é melhor com um banner universal
Em resumo
A conformidade de um banner de cookies assenta em três critérios técnicos:
- Deve detetar e bloquear efetivamente os 20 a 40 scripts de terceiros comuns — não apenas exibir um banner.
- Deve implementar o Consent Mode v2 completo (7 sinais Google) para preservar os seus dados de marketing.
- Deve substituir os embeds (YouTube, Vimeo, Maps, etc.) por ecrãs de espera localizados.
Um teste de 10 segundos com o nosso scanner indica-lhe onde se encontra. Uma migração para o WebLegal CCB demora 2 minutos, custa zero euros e cobre os 37 serviços aqui listados.