Leis de Consentimento de Cookies por País: Guia Completo (2026)

A legislação de consentimento de cookies segue três modelos no mundo: o padrão de opt-in (consentimento prévio) da UE, previsto na Diretiva ePrivacy, a abordagem de opt-out (exclusão) dos Estados Unidos, construída sobre leis estaduais de privacidade, e um modelo de mera notificação, utilizado em países como a Austrália. Aplicar o padrão de opt-in da UE a todos os visitantes satisfaz os requisitos de praticamente qualquer outra jurisdição.
Os requisitos de consentimento de cookies diferem em praticamente todas as jurisdições relevantes. Um site acessível em todo o mundo enfrenta um mosaico de leis que vai desde o rigoroso regime de opt-in da UE até países sem qualquer regra específica sobre cookies. As ações de fiscalização e as multas já ultrapassaram centenas de milhões de euros somente na UE, e o cenário regulatório mudou significativamente entre 2024 e 2026, com uma onda de novas leis e decisões de fiscalização.
Este guia examina as regras de consentimento de cookies em mais de 30 países e regiões, com foco especial no que mudou entre 2024 e 2026 e no que esperar a seguir.
Resposta Rápida: Como o Consentimento de Cookies Varia por País
A legislação de consentimento de cookies não funciona da mesma forma em todos os lugares. Existem três modelos distintos:
Modelo de opt-in (consentimento prévio): os cookies não podem ser instalados até que o usuário concorde ativamente. A UE, o Reino Unido, a Coreia do Sul e um número crescente de países na Ásia e na África adotam essa abordagem.
Modelo de opt-out (exclusão): os cookies são permitidos por padrão; os usuários precisam tomar uma atitude para impedi-los. Este é o modelo dominante nas leis estaduais dos Estados Unidos, em que o foco está em respeitar sinais de exclusão, como o Global Privacy Control, em vez de exigir consentimento prévio.
Modelo de mera notificação: as organizações devem informar os usuários de que cookies são utilizados (normalmente em uma política de privacidade), mas nenhum banner de consentimento é exigido. A Austrália vem operando sob esse modelo, embora reformas recentes estejam tornando as regras mais rígidas.
A implicação prática para sites globais é a seguinte: aplicar o padrão de consentimento prévio da UE a todos os visitantes é a política única mais segura. Qualquer site que atenda aos requisitos da UE satisfará praticamente as regras de todas as demais jurisdições.
Por Que o Consentimento de Cookies Varia por País
Essa variação reflete tradições jurídicas e prioridades de política pública fundamentalmente diferentes. A UE trata a privacidade como um direito fundamental e, historicamente, regula a tecnologia de forma proativa. Os Estados Unidos historicamente têm preferido uma abordagem setorial e baseada no mercado, apoiando-se nas assembleias legislativas estaduais e na FTC, em vez de uma lei federal abrangente de proteção de dados. As economias em desenvolvimento frequentemente adotaram arcabouços modernos de proteção de dados inspirados no modelo europeu (ou, em alguns casos, no Marco de Privacidade da APEC), mas com capacidade de fiscalização e cronogramas diferentes.
A tecnologia também importa. As regras de consentimento de cookies geralmente têm origem na Diretiva ePrivacy da UE, que foi uma resposta a preocupações específicas sobre rastreamento no início dos anos 2000. Países que adotaram arcabouços de proteção de dados mais tarde, como Brasil, Índia e Tailândia, normalmente tratam os cookies por meio de regras mais amplas sobre o tratamento de dados pessoais, em vez de legislação específica sobre cookies.
UE/EEE: O Definidor do Padrão Global
O arcabouço da UE sobre cookies apoia-se em dois instrumentos: a Diretiva ePrivacy (Diretiva 2002/58/CE, alterada pela Diretiva 2009/136/CE) e o GDPR (Regulamento 2016/679). Juntos, eles criam o regime de consentimento de cookies mais exigente do mundo.
Como Funciona o Arcabouço da UE
O artigo 5(3) da Diretiva ePrivacy exige consentimento prévio e informado antes de qualquer cookie não essencial ser instalado no dispositivo do usuário. O padrão de consentimento do GDPR exige que o consentimento seja livre, específico, informado e demonstrado por meio de uma ação afirmativa inequívoca.
Caixas de seleção previamente marcadas são ilegais desde a decisão do TJUE no caso Planet49 (Processo C-673/17). Rolar a página ou continuar navegando não constitui consentimento. A recusa deve ser tão fácil quanto a aceitação, princípio que já resultou em multas expressivas.
Os cookies estritamente necessários estão isentos de consentimento. Isso inclui cookies essenciais para o serviço expressamente solicitado pelo usuário, como cookies de sessão para um carrinho de compras ou tokens de segurança.
O Regulamento ePrivacy: Retirado em Fevereiro de 2025
Durante anos, a UE tentou substituir a Diretiva ePrivacy por um novo Regulamento. A proposta de Regulamento ePrivacy, apresentada em 2017, prometia harmonizar as regras entre os Estados-Membros e resolver lacunas da Diretiva.
Em fevereiro de 2025, o Programa de Trabalho de 2025 da Comissão Europeia retirou formalmente a proposta. A Comissão declarou que "não se espera acordo entre os colegisladores" e que a proposta estava "desatualizada diante de legislações recentes tanto no âmbito tecnológico quanto no legislativo". A atual Diretiva ePrivacy e suas transposições nacionais continuam sendo a legislação aplicável.
A Proposta do Digital Omnibus: Novas Regras de Cookies no Horizonte
Em 19 de novembro de 2025, a Comissão Europeia propôs o pacote Digital Omnibus, uma ampla iniciativa legislativa que reformularia fundamentalmente o funcionamento das regras de cookies na UE.
Principais mudanças propostas relevantes para os cookies:
- A Diretiva ePrivacy deixaria de reger o tratamento de dados pessoais. Somente o GDPR se aplicaria aos cookies que coletam dados pessoais, unificando o arcabouço jurídico.
- Novas isenções seriam criadas para cookies de segurança, cookies analíticos de primeira parte e cookies necessários para prestar um serviço solicitado pelo usuário. Esses cookies não exigiriam um banner de consentimento.
- Solicitações repetidas de consentimento para a mesma finalidade seriam proibidas dentro de uma janela de seis meses.
- As empresas seriam obrigadas a respeitar sinais de consentimento legíveis por máquina (como preferências definidas no nível do navegador).
Essas mudanças buscariam resolver uma reclamação antiga sobre a fadiga causada pelos banners de cookies. No entanto, o Digital Omnibus ainda está em análise legislativa. Cronogramas otimistas preveem a aprovação para o final de 2026, com entrada em vigor não antes de 2027.
Destaques da Fiscalização na UE
Cada um dos 27 Estados-Membros da UE fiscaliza as regras de cookies por meio de sua autoridade nacional de proteção de dados (APD). Vários se destacam pela intensidade da fiscalização.
França (CNIL): multou o Google em 150 milhões de euros e o Facebook em 60 milhões de euros em dezembro de 2021 por dificultar excessivamente a recusa de cookies. A CNIL exige um botão de recusa visível na primeira camada do banner e permite isenções limitadas para análises de primeira parte.
Itália (Garante): publicou diretrizes atualizadas sobre cookies em 2021 exigindo um botão de recusa visível no banner inicial e uma política de cookies separada, distinta do aviso geral de privacidade.
Alemanha (BfDI e autoridades estaduais): adotou o padrão Planet49 por meio do Tribunal Federal de Justiça em outubro de 2020. As 16 autoridades estaduais de proteção de dados da Alemanha, além do BfDI federal, fiscalizam as regras de cookies, criando um cenário de fiscalização em camadas.
Espanha (AEPD): fiscaliza a conformidade em matéria de cookies com base na LSSI (Lei 34/2002), em conjunto com o GDPR, com multas que podem chegar a 300.000 euros nos termos da LSSI, ou aos patamares do GDPR quando dados pessoais estão envolvidos.
Bélgica (APD): emitiu, em 2022, uma decisão histórica contra o Transparency and Consent Framework (TCF) da IAB Europe, concluindo que o próprio TCF violava o GDPR.

Força-Tarefa do EDPB sobre Banners de Cookies
O Comitê Europeu para a Proteção de Dados (EDPB) criou, em 2021, uma Força-Tarefa sobre Banners de Cookies para coordenar a fiscalização entre as autoridades nacionais. Seu relatório de janeiro de 2023 estabeleceu requisitos mínimos: o botão de recusa deve ser tão visível quanto o botão de aceitação; padrões enganosos (cores confusas, redação ambígua, aceitação pré-selecionada) violam o GDPR; e os usuários devem poder retirar o consentimento com a mesma facilidade com que o concederam. Desde então, autoridades de toda a UE emitiram notificações de fiscalização e multas, incluindo uma multa de 15.000 euros aplicada a um operador de comércio eletrônico em 2024 por um banner não conforme.
Reino Unido: PECR e as Mudanças da DUAA 2025
As regras de cookies do Reino Unido derivam do Privacy and Electronic Communications Regulations 2003 (PECR), que espelha o arcabouço ePrivacy da UE. Após o Brexit, o PECR opera de forma independente, ao lado do UK GDPR, sendo fiscalizado pelo Information Commissioner's Office (ICO).
O Que o PECR Exige
O artigo 6 do PECR exige consentimento prévio antes da instalação de cookies ou tecnologias semelhantes. O consentimento deve ser informado, específico e envolver uma ação afirmativa clara. Os cookies estritamente necessários estão isentos. O padrão de consentimento está alinhado ao GDPR do Reino Unido.
Data (Use and Access) Act 2025: Uma Mudança Significativa
A Data (Use and Access) Act 2025 (DUAA) recebeu sanção real em 19 de junho de 2025. As principais disposições relacionadas ao PECR entraram em vigor em 5 de fevereiro de 2026. A DUAA promoveu duas mudanças materiais nas regras de cookies:
Novas isenções de cookies: três categorias agora ficam fora da exigência de consentimento do PECR: (1) cookies analíticos cuja única finalidade é coletar estatísticas agregadas para melhorar um site ou serviço; (2) cookies de preferências que adaptam a aparência ou o comportamento de um site (como idioma ou tema); e (3) cookies estritamente necessários, como antes. Cookies de publicidade, segmentação, limitação de frequência e mensuração de anúncios continuam exigindo consentimento.
Multas significativamente mais altas: a penalidade máxima do PECR subiu ao patamar do UK GDPR: até 17,5 milhões de libras esterlinas ou 4% do faturamento anual mundial, o que for maior. Anteriormente, o máximo do PECR era de 500.000 libras esterlinas. Isso alinha o poder de fiscalização do PECR ao do UK GDPR e sinaliza que a fiscalização do ICO deve se intensificar.

Estados Unidos: Um Mosaico de Leis Estaduais
Os Estados Unidos não possuem uma lei federal que exija banners de consentimento de cookies. As obrigações relacionadas a cookies decorrem de um conjunto crescente de leis estaduais de privacidade voltadas a direitos de exclusão (opt-out), rastreamento on-line e publicidade direcionada. Veja nosso guia detalhado estado por estado dos EUA para mais detalhes.
O Modelo Central: Exclusão (Opt-Out), Não Consentimento Prévio (Opt-In)
Nenhum estado dos EUA exige consentimento prévio afirmativo, no estilo da UE, para cookies. O modelo americano é o de exclusão (opt-out): os cookies são permitidos, a menos que o usuário sinalize o contrário. Os principais mecanismos são:
Links de "Não Vender ou Compartilhar": a CCPA/CPRA da Califórnia exige um link que permita aos consumidores excluir a venda ou o compartilhamento de suas informações pessoais, incluindo cookies de publicidade.
Global Privacy Control (GPC): um sinal no nível do navegador que comunica preferências de exclusão. As empresas sujeitas à CCPA/CPRA da Califórnia devem respeitar o GPC como uma solicitação válida de exclusão.
Estados que Exigem Conformidade com o GPC (em maio de 2026)
A lista de estados que exigem que as empresas respeitem o sinal do GPC se ampliou significativamente:
- Califórnia: exige o respeito ao GPC nos termos da CCPA/CPRA; a California Privacy Protection Agency lançou operações coordenadas de fiscalização voltadas à não conformidade com o GPC em setembro de 2025, em conjunto com os procuradores-gerais de Colorado e Connecticut.
- Colorado: o procurador-geral de Colorado designou o GPC como um mecanismo universal aceitável de exclusão.
- Connecticut: desde 1º de janeiro de 2025, as empresas devem respeitar sinais universais de exclusão nos termos da Connecticut Data Privacy Act.
- Montana e Texas: também exigem o respeito a mecanismos universais de exclusão.
- Maryland: a Maryland Online Data Privacy Act (MODPA), em vigor desde 1º de outubro de 2025, exige o respeito a sinais de exclusão.
- Nova Jersey: nos termos da New Jersey Data Privacy Law, em vigor desde 15 de julho de 2025, as empresas devem respeitar o GPC.
- Oregon: nos termos da Oregon Consumer Privacy Act, em vigor desde 1º de janeiro de 2026, as empresas devem respeitar os sinais de exclusão qualificados.
Até julho de 2026, pelo menos 12 estados exigirão o reconhecimento de mecanismos universais de exclusão, como o GPC.
Panorama Federal
O Congresso já apresentou repetidamente projetos de lei federais abrangentes sobre privacidade, mas nenhum foi aprovado. A FTC exerce autoridade limitada sobre práticas enganosas relacionadas a cookies nos termos da Seção 5 do FTC Act.
Canadá: PIPEDA e a Reforma Paralisada
O Canadá regula os cookies por meio da Personal Information Protection and Electronic Documents Act (PIPEDA) e da Canada's Anti-Spam Legislation (CASL). O Office of the Privacy Commissioner (OPC) é responsável pela fiscalização e pela emissão de orientações.
Nos termos da PIPEDA, as organizações devem obter consentimento significativo para coletar ou utilizar informações pessoais. O OPC interpreta que cookies analíticos e de publicidade que rastreiam comportamento identificável exigem consentimento expresso. Cookies que coletam informações não identificáveis podem se basear em consentimento implícito.
O Projeto de Lei C-27 (Digital Charter Implementation Act 2022), que substituiria a PIPEDA por regras mais rígidas, caducou quando o Parlamento foi dissolvido (prorrogação) em 6 de janeiro de 2025. Até maio de 2026, ele não havia sido reapresentado. A PIPEDA continua sendo a legislação vigente.
Brasil: LGPD
A Lei Geral de Proteção de Dados (LGPD) do Brasil não contém uma disposição específica sobre cookies, mas seus requisitos de base legal para o tratamento de dados pessoais aplicam-se aos cookies que coletam informações pessoais. A Autoridade Nacional de Proteção de Dados (ANPD) trata o consentimento como a base adequada para cookies de publicidade e de análise. Na prática, os sites brasileiros adotaram amplamente banners de cookies no estilo europeu, em parte porque muitos também atendem usuários europeus e em parte porque a postura da ANPD favorece o consentimento para tecnologias de rastreamento.
China: PIPL
A Lei de Proteção de Informações Pessoais (PIPL) da China, em vigor desde novembro de 2021, regula os cookies como parte de seu arcabouço mais amplo de informações pessoais. A Administração do Ciberespaço da China (CAC) supervisiona a fiscalização.
A PIPL exige consentimento ou outra base legal especificada antes do tratamento de informações pessoais. Cookies de publicidade que compartilham dados com terceiros ou envolvem transferências internacionais enfrentam requisitos adicionais, incluindo avaliações de impacto da transferência de dados. A abordagem chinesa é notavelmente rígida quanto ao compartilhamento de dados com terceiros: cada transferência internacional de informações pessoais exige uma base legal própria e, em muitos casos, uma avaliação de segurança registrada junto à CAC.
Japão: APPI
A Lei de Proteção de Informações Pessoais (APPI) do Japão, significativamente emendada em abril de 2022, trata dos cookies por meio do conceito de "informações individualmente referenciáveis". A Comissão de Proteção de Informações Pessoais (PPC) fiscaliza a APPI.
Quando uma empresa fornece identificadores de cookies a um terceiro que pode combiná-los com outros dados para identificar indivíduos, a empresa fornecedora deve confirmar que o terceiro obteve o consentimento do indivíduo. O Japão não exige banners de consentimento no estilo europeu para cookies de primeira parte. O foco está no compartilhamento de dados com terceiros para fins de publicidade, e não na instalação inicial do cookie.
Coreia do Sul: PIPA
A Lei de Proteção de Informações Pessoais (PIPA) da Coreia do Sul é um dos arcabouços mais rígidos da Ásia. A Comissão de Proteção de Informações Pessoais (PIPC) a fiscaliza, em conjunto com a Network Act, que trata especificamente do rastreamento on-line.
A PIPA exige consentimento para a coleta de informações pessoais, o que abrange cookies que rastreiam usuários identificáveis. Os sites coreanos comumente exibem avisos de consentimento de cookies. A PIPC tem atuado ativamente na fiscalização, com multas que chegam a bilhões de wones sul-coreanos por violações envolvendo a coleta de dados pessoais por meio de tecnologias de rastreamento.
Índia: DPDPA e as Regras de 2025
A Digital Personal Data Protection Act 2023 (DPDPA) da Índia foi promulgada em agosto de 2023. O Ministério de Eletrônicos e Tecnologia da Informação publicou as Regras DPDP 2025 em 13 de novembro de 2025, ativando o arcabouço.
A DPDPA exige consentimento específico, inequívoco e que envolva uma ação afirmativa clara, redação que se assemelha bastante à do GDPR. Cookies que coletam dados pessoais exigem consentimento. Um novo arcabouço de "Gestor de Consentimento" (Consent Manager) permite que intermediários registrados junto ao Conselho de Proteção de Dados da Índia administrem o consentimento em nome dos titulares dos dados.
A implementação segue um cronograma faseado: o Conselho de Proteção de Dados foi criado em novembro de 2025; o registro de Gestores de Consentimento abre em novembro de 2026; todas as demais disposições, incluindo os requisitos de consentimento e segurança, entram em vigor em 13 de maio de 2027.
Austrália: Lei de Privacidade Emendada
A Austrália regula a coleta de dados on-line por meio do Privacy Act 1988 e dos Australian Privacy Principles, fiscalizados pelo Office of the Australian Information Commissioner (OAIC).
O Privacy and Other Legislation Amendment Act 2024, sancionado em dezembro de 2024, é a reforma mais significativa em anos. As principais mudanças que afetam os cookies são:
- O consentimento deve ser voluntário, informado, atual, específico e inequívoco. Caixas pré-marcadas e padrões enganosos são restringidos.
- Novas emendas estão previstas para 2026, que ampliariam a definição de informação pessoal para incluir expressamente identificadores técnicos, como endereços IP, identificadores de dispositivos e identificadores de cookies.
A Austrália ainda não exige um banner pop-up de consentimento de cookies; a notificação por meio de uma política de privacidade geralmente satisfaz o requisito atual. Mas a trajetória aponta para obrigações mais rígidas e específicas sobre cookies.

Panorama por Região
América Latina
Além do Brasil, vários países latino-americanos fortaleceram seus arcabouços de proteção de dados. O Chile reformou sua lei de proteção de dados em 2024. A Colômbia aplica sua Lei de Habeas Data (Lei 1581/2012) à coleta de dados on-line. A Argentina opera sob a Lei de Proteção de Dados Pessoais nº 25.326 e está desenvolvendo regras atualizadas. A tendência regional é de requisitos de consentimento mais rígidos para o rastreamento, com a ANPD do Brasil servindo como referência regional em matéria de fiscalização.
Ásia-Pacífico
Singapura: a Personal Data Protection Act (PDPA) exige consentimento para a coleta de dados pessoais, o que abrange cookies que identificam indivíduos. O PDPC tem atuado ativamente na fiscalização, com multas de até 1 milhão de dólares singapurenses, podendo chegar a 10% do faturamento local em casos de violações graves.
Tailândia: a Personal Data Protection Act (PDPA), plenamente em vigor desde junho de 2022, exige consentimento para a coleta de dados pessoais por meio de cookies. O consentimento deve ser livre, específico e informado.
Vietnã: o Decreto de Proteção de Dados Pessoais (2023) introduz requisitos de consentimento para o tratamento de dados pessoais, incluindo o rastreamento baseado em cookies.
Indonésia: a Lei de Proteção de Dados Pessoais (2022) exige base legal para o tratamento, sendo o consentimento a base principal para as tecnologias de rastreamento.
Nova Zelândia: o Privacy Act 2020 exige notificação sobre a coleta de dados, mas não exige um banner de consentimento de cookies. O Office of the Privacy Commissioner fornece orientações sobre boas práticas relativas a cookies.
Oriente Médio e África
Emirados Árabes Unidos: o Decreto-Lei Federal nº 45 de 2021, sobre proteção de dados pessoais, exige o consentimento do titular dos dados para o tratamento de dados pessoais, incluindo cookies.
Arábia Saudita: a Personal Data Protection Law (PDPL), em vigor desde setembro de 2023, exige consentimento para o tratamento de dados pessoais que não esteja de outra forma autorizado por lei.
África do Sul: a POPIA (Protection of Personal Information Act) exige consentimento para o tratamento de informações pessoais, o que o Information Regulator já interpretou como abrangendo cookies de rastreamento comportamental.
Nigéria: a Nigeria Data Protection Regulation (NDPR) e a Nigeria Data Protection Act 2023 exigem consentimento para a coleta de dados pessoais.
Quênia: o Data Protection Act 2019 exige consentimento para o tratamento de dados pessoais, incluindo o rastreamento baseado em cookies.
Israel: a Lei de Proteção da Privacidade exige aviso sobre a coleta de dados. Israel opera mais próximo do modelo de mera notificação, mas está modernizando seu arcabouço.
Turquia: a KVKK (Lei nº 6698) exige consentimento explícito para o tratamento de dados sensíveis e consentimento informado para dados pessoais em geral, incluindo cookies.
Suíça: a Lei Federal de Proteção de Dados revisada (revDSG), em vigor desde setembro de 2023, alinha o arcabouço suíço a padrões equivalentes ao GDPR, exigindo consentimento para cookies que coletam dados pessoais.
Tabela Comparativa Global
| País/Região | Modelo de Consentimento | Base Legal | Autoridade de Fiscalização | Multa Máxima |
|---|---|---|---|---|
| UE (27 países) | Opt-in | Diretiva ePrivacy + GDPR | Autoridades nacionais de proteção de dados | 20 milhões de euros / 4% do faturamento |
| Reino Unido | Opt-in (análise/preferências isentas após a DUAA) | PECR + UK GDPR | ICO | 17,5 milhões de libras / 4% do faturamento |
| EUA | Opt-out (nível estadual) | Leis estaduais de privacidade | Procuradores-gerais estaduais, FTC | Varia por estado |
| Canadá | Consentimento significativo | PIPEDA, CASL | OPC | 100 mil CAD |
| Brasil | Consentimento preferencial | LGPD | ANPD | 2% da receita, limite de R$ 50 milhões |
| China | Consentimento | PIPL | CAC | 50 milhões de CNY / 5% da receita |
| Japão | Consentimento de terceiros | APPI | PPC | 100 milhões de JPY |
| Coreia do Sul | Opt-in | PIPA + Network Act | PIPC | 3% da receita |
| Índia | Consentimento (fiscalização a partir de maio de 2027) | DPDPA + Regras DPDP 2025 | DPBI | 250 crore de INR |
| Austrália | Notificação (regras mais rígidas em curso) | Privacy Act 1988 (emendada em 2024) | OAIC | 50 milhões de AUD |
| Singapura | Consentimento | PDPA | PDPC | 10% do faturamento local |
| Tailândia | Consentimento | PDPA | PDPC da Tailândia | 5 milhões de THB |
| África do Sul | Consentimento | POPIA | Information Regulator | 10 milhões de ZAR |
| Nigéria | Consentimento | NDPR / NDP Act 2023 | NITDA / NDPC | 2% do faturamento |
| EAU | Consentimento | Decreto-Lei Federal 45/2021 | UAE Data Office | 5 milhões de AED |
| Turquia | Consentimento | KVKK | Conselho da KVKK | Multas administrativas |
| Suíça | Consentimento | revDSG (2023) | FDPIC | 250 mil CHF (pessoas físicas) |
| Israel | Notificação | Lei de Proteção da Privacidade | PPA | Multas administrativas |
| Nova Zelândia | Notificação | Privacy Act 2020 | OPC NZ | Multas modestas |
Fiscalização de Banners de Cookies e "Consentimento ou Pagamento"
Força-Tarefa do EDPB sobre Banners de Cookies
A Força-Tarefa sobre Banners de Cookies do EDPB coordena a fiscalização entre as autoridades nacionais. Seu relatório de 2023 estabeleceu padrões mínimos vinculantes: a opção de recusa deve ser tão fácil de acessar quanto a opção de aceitação; o design da interface não pode usar cores, tamanhos ou redação para induzir os usuários à aceitação; e o consentimento deve ser granular por finalidade, e não agrupado. As autoridades já emitiram notificações de fiscalização com base nesses padrões, e multas por banners de cookies enganosos continuam sendo aplicadas em todos os Estados-Membros.
Modelos de "Consentimento ou Pagamento"
Um modelo de "consentimento ou pagamento" apresenta aos usuários uma escolha binária: consentir com a publicidade comportamental ou pagar uma assinatura para acessar o serviço. A Meta introduziu esse modelo para o Facebook e o Instagram na UE em 2023.
Em abril de 2024, o Parecer 08/2024 do EDPB concluiu que os modelos de consentimento ou pagamento geralmente não resultam em consentimento válido e livremente concedido para grandes plataformas on-line. O EDPB constatou que apresentar aos usuários nenhuma alternativa genuína ao consentimento não atende ao padrão de "livremente concedido". O EDPB recomendou que as grandes plataformas ofereçam uma alternativa equivalente, sem publicidade comportamental e sem cobrança. O recurso judicial da Meta contra esse parecer foi rejeitado pelo Tribunal Geral da UE em 2025.
Para sites menores, o panorama é menos definido. A maioria das autoridades da UE adota uma visão restritiva quanto às barreiras de cookies (cookie walls). A abordagem mais segura para sites voltados ao público da UE é permitir o acesso independentemente das escolhas relativas a cookies.
Sinais de Consentimento no Navegador: o Global Privacy Control
O Global Privacy Control (GPC) é um sinal, emitido pelo navegador ou por uma extensão, que comunica a preferência de exclusão do usuário a todos os sites que ele visita. É suportado nativamente no Firefox e no Brave, e por meio de extensões no Chrome e no Safari.
Nos EUA, a conformidade com o GPC já é exigida por lei em uma lista crescente de estados. A CPPA da Califórnia lançou operações coordenadas de fiscalização voltadas à não conformidade com o GPC em setembro de 2025, em conjunto com os procuradores-gerais de Colorado e Connecticut. Até julho de 2026, pelo menos 12 estados exigirão o reconhecimento do GPC ou de mecanismos universais de exclusão equivalentes.
Na UE, a proposta do Digital Omnibus exigiria que os controladores de dados respeitassem sinais de consentimento legíveis por máquina, o que daria, pela primeira vez, peso jurídico a sinais semelhantes ao GPC no direito europeu.
A implicação prática é a seguinte: sites que ainda não detectam o sinal do GPC estão ficando atrás da curva regulatória nos EUA e podem precisar cumprir o consentimento baseado em sinal na UE até 2027.
Orientações Práticas de Conformidade para Múltiplos Países
Consentimento Baseado em Geolocalização
A maioria das plataformas de conformidade utiliza a geolocalização por IP para determinar quais regras de consentimento se aplicam a cada visitante. Um visitante da UE vê um banner completo de opt-in. Um visitante dos EUA proveniente de um estado com exigência de GPC vê opções de exclusão e tem o GPC respeitado. Um visitante australiano vê um aviso de política de privacidade. O roteamento baseado em geolocalização é a abordagem padrão para grandes editoras multinacionais.
A Estratégia do Piso Global
Para organizações que não conseguem implementar fluxos específicos por jurisdição, aplicar o padrão de consentimento prévio da UE a todos os visitantes é a abordagem mais segura e simples. Atender aos requisitos da UE satisfaz ou supera os requisitos de praticamente todas as demais jurisdições. A contrapartida é que as taxas de consentimento para cookies não essenciais costumam ser significativamente menores quando o opt-in é exigido, o que afeta a receita publicitária e a cobertura das análises.
Plataformas de Gestão de Consentimento
Plataformas dedicadas de gestão de consentimento (CMPs) automatizam a varredura de cookies, a exibição de banners, o registro do consentimento e o bloqueio de cookies com base no status do consentimento. Ao escolher uma CMP para conformidade em múltiplos países, verifique se ela oferece suporte às jurisdições específicas que seu site atende, se consegue respeitar o sinal do GPC e se os registros de consentimento são armazenados em um formato que atenda aos requisitos de auditoria do GDPR (artigo 7(1)).
Estas são informações jurídicas gerais, não consultoria jurídica. A conformidade em matéria de cookies depende das jurisdições específicas visadas pelo seu site, dos tipos de cookies utilizados e das atividades da sua organização. Consulte um advogado habilitado em cada jurisdição relevante para obter orientação específica sobre sua situação.
Frequently Asked Questions
Quais países exigem consentimento prévio (opt-in) para cookies?
Os 27 Estados-Membros da UE exigem consentimento prévio nos termos da Diretiva ePrivacy e do GDPR. O Reino Unido exige consentimento prévio nos termos do PECR (com novas isenções para análise e preferências previstas na DUAA 2025). A Coreia do Sul exige consentimento nos termos da PIPA. Brasil, China, Tailândia, África do Sul, Singapura e vários outros países exigem consentimento para cookies que tratam dados pessoais. Nenhum estado dos EUA exige consentimento prévio no estilo europeu para cookies.
O que aconteceu com a proposta de Regulamento ePrivacy da UE?
O Programa de Trabalho de 2025 da Comissão Europeia, publicado em fevereiro de 2025, retirou formalmente o projeto de Regulamento ePrivacy após anos de impasse legislativo. A Comissão citou a incapacidade de chegar a um acordo entre o Parlamento e o Conselho, além do fato de a proposta estar desatualizada diante de leis digitais mais recentes da UE. A atual Diretiva ePrivacy (2002/58/CE) e suas leis nacionais de transposição continuam em vigor.
O que é o Digital Omnibus da UE e como ele afeta os cookies?
A Comissão Europeia propôs o pacote Digital Omnibus em 19 de novembro de 2025. Para os cookies, as principais mudanças transfeririam integralmente as regras de tratamento de dados pessoais da Diretiva ePrivacy para o GDPR, criariam novas isenções para cookies analíticos de primeira parte e cookies funcionais, e exigiriam que as empresas respeitassem sinais de consentimento legíveis por máquina emitidos pelo navegador. O pacote continua em análise legislativa, e não se espera que entre em vigor antes de 2027, na melhor das hipóteses.
O que a DUAA 2025 do Reino Unido mudou em relação ao consentimento de cookies?
A Data (Use and Access) Act 2025 recebeu sanção real em 19 de junho de 2025, e as principais disposições entraram em vigor em 5 de fevereiro de 2026. A DUAA criou duas novas isenções de cookies no âmbito do PECR: cookies analíticos que coletam apenas estatísticas agregadas deixaram de exigir consentimento, e cookies de preferências (como idioma ou tema) também ficaram isentos. Cookies de publicidade, segmentação e mensuração continuam exigindo consentimento. A DUAA também elevou as multas máximas do PECR ao patamar do UK GDPR: até 17,5 milhões de libras esterlinas ou 4% do faturamento mundial.
Meu site sediado nos EUA precisa de um banner de cookies para visitantes da UE?
Se o seu site é acessível a visitantes da UE e trata os dados pessoais deles, o GDPR e a Diretiva ePrivacy se aplicam. O fato de o seu site ter como alvo específico usuários da UE afeta o risco prático de fiscalização, mas a obrigação legal existe para qualquer site que trate dados pessoais de residentes da UE. Exibir um banner de consentimento prévio para visitantes identificados na UE é a abordagem de conformidade padrão para organizações sediadas nos EUA com tráfego relevante proveniente da UE.
O que é o Global Privacy Control e quais estados dos EUA exigem que ele seja respeitado?
O Global Privacy Control é um sinal, no nível do navegador, que comunica a preferência de exclusão do usuário aos sites. Em maio de 2026, os estados que exigem que as empresas respeitem o GPC incluem Califórnia, Colorado, Connecticut, Montana, Texas, Maryland, Nova Jersey e Oregon. A CPPA da Califórnia realizou operações coordenadas de fiscalização voltadas à não conformidade com o GPC em setembro de 2025. Até julho de 2026, pelo menos 12 estados exigirão o reconhecimento do GPC ou de mecanismos universais de exclusão equivalentes.
As barreiras de cookies do tipo 'consentimento ou pagamento' são legais na UE?
Para grandes plataformas on-line, o Parecer 08/2024 do EDPB concluiu que elas geralmente não produzem consentimento válido nos termos do GDPR. O EDPB constatou que apresentar aos usuários apenas a opção de consentir com a publicidade comportamental ou pagar uma taxa não atende ao requisito de 'livremente concedido'. O recurso judicial da Meta contra esse parecer foi rejeitado pelo Tribunal Geral da UE em 2025. Para sites menores, a análise é menos definida, mas a maioria das autoridades da UE adota uma visão restritiva. A abordagem mais segura é permitir o acesso ao site independentemente das escolhas relativas a cookies.
Quando as regras de consentimento de cookies da DPDPA da Índia entrarão em vigor?
As Regras DPDP 2025 da Índia foram publicadas em 13 de novembro de 2025, criando o Conselho de Proteção de Dados da Índia. O registro de Gestores de Consentimento abre em novembro de 2026. Todas as disposições substantivas, incluindo os requisitos de consentimento, aviso de privacidade e segurança, entram em vigor em 13 de maio de 2027. Após essa data, as organizações que utilizam cookies para coletar dados pessoais de usuários indianos precisarão de consentimento específico, inequívoco e que envolva uma ação afirmativa clara.
A Austrália exige banners de consentimento de cookies?
A Austrália atualmente não exige banners pop-up de consentimento de cookies. O Privacy Act 1988 exige notificação sobre a coleta de dados pessoais, o que pode ser feito por meio de uma política de privacidade. O Privacy and Other Legislation Amendment Act 2024 (sancionado em dezembro de 2024) fortalece os padrões de consentimento, e novas emendas previstas para 2026 ampliariam a definição de informação pessoal para incluir expressamente identificadores de cookies. A trajetória aponta para requisitos de consentimento de cookies mais rígidos.
Aplicar as regras de consentimento de cookies da UE globalmente é a abordagem mais segura?
Sim. Aplicar o padrão de consentimento prévio da UE a todos os visitantes, independentemente da localização, satisfaz ou supera os requisitos de praticamente todas as demais jurisdições. A principal contrapartida é que os modelos de opt-in resultam em muitos usuários recusando cookies não essenciais, reduzindo a cobertura das análises e a receita publicitária. Organizações com tráfego relevante fora da UE às vezes implementam fluxos baseados em geolocalização para aplicar regras de exclusão ou de mera notificação a visitantes de jurisdições que não exigem consentimento prévio, preservando o desempenho de análises e anúncios nesses mercados.
Sources and References
- Diretiva ePrivacy 2002/58/CE(eur-lex.europa.eu).gov
- TJUE, Processo C-673/17 (Planet49)(curia.europa.eu).gov
- Relatório da Força-Tarefa do EDPB sobre Banners de Cookies(edpb.europa.eu).gov
- Parecer 08/2024 do EDPB sobre Consentimento ou Pagamento(edpb.europa.eu).gov
- Diretrizes sobre Cookies da CNIL(cnil.fr).gov
- Diretrizes sobre Cookies do Garante (Itália)(garanteprivacy.it).gov
- PECR 2003 do Reino Unido(legislation.gov.uk).gov
- ICO - Data Use and Access Act 2025(ico.org.uk).gov
- Guia sobre Cookies do ICO(ico.org.uk).gov
- CCPA da Califórnia(oag.ca.gov).gov
- Especificação W3C do Global Privacy Control(w3.org)
- PIPEDA do Canadá(laws-lois.justice.gc.ca).gov
- CASL do Canadá(laws-lois.justice.gc.ca).gov
- OPC do Canadá(priv.gc.ca).gov
- LGPD do Brasil(planalto.gov.br).gov
- ANPD do Brasil(gov.br).gov
- PIPL da China(npc.gov.cn).gov
- APPI / PPC do Japão(ppc.go.jp).gov
- PIPA / PIPC da Coreia do Sul(pipc.go.kr).gov
- Regras DPDP 2025 da Índia(meity.gov.in).gov
- Privacy Act 1988 da Austrália(legislation.gov.au).gov
- OAIC da Austrália(oaic.gov.au).gov
- LSSI Lei 34/2002 da Espanha(boe.es).gov