Em 2026, os cookies continuam a ser um dos temas mais controlados pela Comissão Nacional de Proteção de Dados (CNPD). A Lei n.º 41/2004, de 18 de agosto, que transpõe a Diretiva ePrivacy 2002/58/CE para o direito português, estabelece no seu artigo 5.º o princípio do consentimento prévio para o armazenamento de cookies no equipamento terminal do utilizador, com exceções limitadas para cookies técnicos. Com coimas que podem atingir os 20 milhões de euros ou 4 % do volume de negócios mundial ao abrigo do RGPD, a política de cookies deixou de ser um assunto secundário: é uma obrigação legal de pleno direito.
O enquadramento jurídico dos cookies em Portugal
A regulação dos cookies em Portugal assenta em dois pilares: a Lei n.º 41/2004, de 18 de agosto (que transpõe a Diretiva ePrivacy 2002/58/CE) e o RGPD. O artigo 5.º da Lei n.º 41/2004 consagra o princípio: o armazenamento de informações e a possibilidade de acesso à informação armazenada no equipamento terminal de um assinante ou utilizador só é permitido se estes tiverem dado o seu consentimento prévio, com base em informações claras e completas, salvo exceções para cookies estritamente necessários.
A CNPD tem emitido orientações e deliberações que concretizam as condições deste consentimento, alinhadas com a posição do Comité Europeu para a Proteção de Dados (CEPD). Estas orientações aplicam-se a todos os sites acessíveis a partir de Portugal, independentemente da localização do editor.
O RGPD (artigos 5, 6 e 7) estabelece as condições de validade do consentimento: deve ser livre, específico, informado e inequívoco. O artigo 13 impõe a obrigação de fornecer aos utilizadores informações completas sobre os tratamentos de dados associados aos cookies. Para verificar se o seu site está sujeito a estas obrigações, consulte o nosso guia completo sobre o âmbito de aplicação do RGPD.
Os tipos de cookies e as suas regras
Nem todos os cookies estão sujeitos ao mesmo regime. A CNPD distingue claramente:
Cookies isentos de consentimento
Determinados cookies são estritamente necessários ao funcionamento do site e não requerem consentimento. Trata-se dos cookies de sessão (carrinho de compras, autenticação), dos cookies de preferência de idioma, dos cookies de distribuição de carga do servidor e dos cookies de medição de audiência quando configurados de modo a não permitir o rastreamento entre sites (como uma configuração restrita do Matomo).
Cookies que requerem consentimento explícito
O consentimento prévio é obrigatório para os cookies publicitários e de segmentação, os cookies de redes sociais (botões de partilha, widgets integrados), os cookies de análise de navegação para fins comerciais (Google Analytics na sua configuração padrão), os cookies de personalização de conteúdo baseados no perfil do utilizador e os pixéis de rastreamento de terceiros.
A CNPD sublinha um ponto fundamental: a simples continuação da navegação não constitui um consentimento válido. O utilizador deve realizar um ato positivo claro para cada finalidade de tratamento.
O banner de cookies conforme: as exigências
O banner de cookies é o mecanismo através do qual se recolhe o consentimento dos utilizadores. As autoridades de proteção de dados impõem requisitos precisos para que seja considerado conforme:
Informar claramente o utilizador: o banner deve mencionar as finalidades dos cookies, a identidade dos responsáveis pelo tratamento (ou um link para a lista completa) e a possibilidade de aceitar ou recusar.
Oferecer uma escolha real: o botão «Recusar» (ou «Continuar sem aceitar») deve ser tão visível e acessível como o botão «Aceitar». As autoridades têm sancionado numerosas empresas por designs enganosos onde a recusa era deliberadamente dificultada.
Permitir um consentimento granular: o utilizador deve poder aceitar ou recusar os cookies finalidade por finalidade (publicidade, estatísticas, redes sociais, etc.), quer diretamente a partir do primeiro ecrã, quer através de um segundo nível acessível com um clique.
Não instalar cookies antes do consentimento: os cookies não essenciais não devem ser instalados até que o utilizador tenha dado o seu acordo. O carregamento de scripts de terceiros (Google Analytics, Facebook Pixel, etc.) deve estar condicionado ao consentimento.
Conservar a prova do consentimento: deve ser possível demonstrar que o utilizador consentiu, quando e para que finalidades. A validade do consentimento deve ser renovada periodicamente, em conformidade com as orientações do CEPD.
A política de cookies: o que deve conter
Para além do banner, a política de cookies é um documento autónomo que detalha toda a prática em matéria de cookies. Nos termos dos artigos 12 e 13 do RGPD, deve incluir:
- A identidade e os dados de contacto do responsável pelo tratamento
- A lista exaustiva dos cookies utilizados (nome, finalidade, duração, emissor)
- As finalidades de cada cookie, descritas de forma clara e compreensível
- A base jurídica do tratamento (consentimento para cookies não essenciais, interesse legítimo para cookies técnicos)
- Os destinatários dos dados recolhidos (parceiros publicitários, ferramentas de análise, etc.)
- As eventuais transferências de dados para fora da UE
- Os prazos de conservação dos dados
- Os direitos dos utilizadores (acesso, retificação, apagamento, oposição) e como exercê-los
- As modalidades de gestão dos cookies (como modificar ou retirar o consentimento)
Esta política deve estar acessível em permanência, geralmente através de um link no rodapé do site, e deve ser distinta da sua política de privacidade, mesmo que os dois documentos se complementem.
Os erros mais comuns
Muitos sites continuam a cometer erros que os expõem a sanções:
O «cookie wall» sem alternativa. Bloquear o acesso ao site se o utilizador recusar os cookies é geralmente considerado não conforme, pois vicia o carácter livre do consentimento. Existem exceções limitadas para sites de imprensa que oferecem uma subscrição alternativa.
O design enganoso (dark patterns). Um botão «Aceitar tudo» de cor viva junto a um link «Configurar» discreto em cinzento constitui um dark pattern. As autoridades exigem um nível de visibilidade equivalente para a aceitação e a recusa.
A impossibilidade de retirar o consentimento. O utilizador deve poder retirar o seu consentimento a qualquer momento, de forma tão simples como o deu. Um link permanente para as definições de cookies (frequentemente através de um pequeno widget no fundo da página) é indispensável.
A instalação de cookies antes do consentimento. Numerosos sites carregam Google Analytics, Facebook Pixel ou outros rastreadores assim que se acede à página, antes de qualquer interação com o banner. Isto constitui uma violação direta do artigo 5.º da Lei n.º 41/2004.
Confundir a política de cookies com o aviso legal. São documentos distintos que respondem a obrigações jurídicas diferentes. Um não substitui o outro.
As sanções: o que arrisca
A CNPD dispõe de um arsenal de sanções proporcionadas à gravidade das infrações:
As advertências: a CNPD pode determinar a adoção de medidas corretivas num prazo fixado, geralmente de 1 a 3 meses. É frequentemente o primeiro passo, mas pode ser tornado público e prejudicar a reputação.
As coimas administrativas: ao abrigo do RGPD, as coimas podem atingir os 20 milhões de euros ou 4 % do volume de negócios anual mundial. As autoridades de proteção de dados têm aplicado coimas significativas por infrações relacionadas com cookies, afetando tanto grandes empresas como PME. Para uma visão completa das sanções mais relevantes, consulte o nosso ranking das 15 maiores coimas.
As injunções: a CNPD pode ordenar a cessação imediata do tratamento não conforme, o que pode implicar a desativação de todas as ferramentas de análise e publicidade.
As sanções pecuniárias compulsórias: em caso de incumprimento de uma injunção, podem ser impostas sanções de até 100 000 € por dia de atraso.
Em 2026, os controlos da CNPD são mais frequentes do que nunca, com campanhas temáticas dirigidas especificamente às práticas de cookies. As queixas apresentadas pelos utilizadores através do site da CNPD constituem também um importante fator desencadeante destas investigações.
Como ficar em conformidade: as suas opções
Contratar um advogado especializado (300-800 €): um advogado especializado em direito digital redigirá uma política de cookies à medida e poderá auditar o seu banner de consentimento. É a solução mais personalizada, mas o custo é elevado e o prazo de várias semanas. Justifica-se para sites de elevado tráfego ou com tratamentos de dados complexos.
Usar modelos gratuitos online (0 € mas arriscado): existem modelos de políticas de cookies, mas raramente estão atualizados com as últimas exigências da CNPD e requerem 3 a 5 horas de personalização. Sem competências técnicas, é difícil compilar a lista exata dos cookies instalados pelo seu site.
Usar IA genérica (ChatGPT, Claude) (0 € + revisão advogado 150-300 €): estas ferramentas podem produzir um primeiro rascunho, mas a política de cookies exige informações técnicas precisas (lista de cookies, durações, scripts de terceiros) que a IA não pode conhecer sem uma auditoria prévia. Uma revisão jurídica continua a ser necessária.
Usar IA jurídica especializada (14,90-19,90 €): soluções como WebLegal.ai geram uma política de cookies conforme em minutos, guiando-o através das perguntas certas. O documento cobre as exigências do RGPD e da Lei n.º 41/2004, inclui uma lista estruturada de cookies por finalidade e está pronto para publicação. Para uma proteção completa, combine-o com os 4 documentos legais obrigatórios para o seu site.
Conclusão
A política de cookies e o banner de consentimento conforme já não são opcionais em 2026: são obrigações legais cujo incumprimento expõe a coimas substanciais e a um risco reputacional grave. Com a intensificação dos controlos da CNPD, todo site deve imperativamente dispor de um banner conforme e de uma política de cookies completa e atualizada. Não espere que uma inspeção o apanhe desprevenido — garanta a sua conformidade hoje mesmo.