Lei de Cookies da UE (Diretiva ePrivacy) Explicada (2026)

O Artigo 5(3) da Diretiva ePrivacy (Diretiva 2002/58/CE, alterada pela Diretiva 2009/136/CE) exige que os sites obtenham consentimento prévio e informado antes de colocar qualquer cookie não essencial no dispositivo de um visitante. Os cookies estritamente necessários estão isentos. A Diretiva opera ao lado do GDPR como lex specialis para as comunicações eletrônicas e os equipamentos terminais.
A Diretiva ePrivacy é a lei da UE que rege especificamente como os sites utilizam cookies e tecnologias de rastreamento semelhantes. Embora o GDPR concentre a maior parte da atenção nas discussões sobre privacidade, é a Diretiva ePrivacy o instrumento que diretamente exige os banners de consentimento de cookies em praticamente todos os sites acessíveis a partir da Europa.
Formalmente conhecida como Diretiva 2002/58/CE relativa à Privacidade e às Comunicações Eletrônicas, a lei foi adotada em 2002 e significativamente alterada em 2009 pela Diretiva 2009/136/CE. Essa alteração de 2009 introduziu o requisito de consentimento por opt-in que transformou a experiência on-line de centenas de milhões de usuários.
O panorama mudou significativamente desde 2024. O regulamento substituto, há muito paralisado, foi formalmente retirado, e uma nova proposta incorporou as regras de cookies diretamente ao GDPR. Este guia aborda o texto jurídico da Diretiva, os requisitos de consentimento, sua interação com o GDPR, as implementações por país, o Regulamento retirado, as propostas do Digital Omnibus de novembro de 2025, a fiscalização, e o que as organizações precisam fazer.
Resposta Rápida
A Diretiva ePrivacy exige que os sites obtenham o consentimento do usuário antes de colocar cookies não essenciais (de análise, publicidade, preferências) no dispositivo de um visitante. Os cookies estritamente necessários estão isentos. O GDPR estabelece o padrão de consentimento: deve ser livre, específico, informado e baseado em uma ação afirmativa clara. Caixas pré-marcadas e "continuar navegando" não contam. A lei é uma diretiva, transposta de forma diferente por cada Estado-membro da UE, de modo que as estruturas de penalidades variam. Uma proposta de Regulamento para substituir a Diretiva foi formalmente retirada em fevereiro de 2025. Uma proposta de Digital Omnibus de novembro de 2025 agora busca incorporar as regras de cookies ao GDPR por meio de novos Artigos 88a e 88b, mas ainda permanece como uma minuta pendente de aprovação legislativa.
O Que É a Diretiva ePrivacy?
A Diretiva ePrivacy (Diretiva 2002/58/CE) é um instrumento legislativo da UE que regula o tratamento de dados pessoais e a proteção da privacidade no setor das comunicações eletrônicas. Abrange cookies e rastreamento, marketing não solicitado, dados de tráfego, dados de localização e a confidencialidade das comunicações.
A Diretiva entrou em vigor em 31 de julho de 2002. Operou ao lado da Diretiva de Proteção de Dados original (95/46/CE), substituída pelo GDPR em maio de 2018. Embora o GDPR tenha substituído o marco geral de proteção de dados, a Diretiva ePrivacy foi mantida como a regra setorial específica para as comunicações eletrônicas.
A Alteração de 2009: O Nascimento do Consentimento de Cookies
A Diretiva original de 2002 permitia cookies com um simples mecanismo de opt-out. As configurações do navegador eram consideradas proteção suficiente.
A Diretiva 2009/136/CE alterou o padrão de opt-out para opt-in. O Artigo 5(3) da Diretiva alterada estabelece que armazenar informações ou acessar informações já armazenadas no equipamento terminal de um usuário só é permitido "na condição de que o assinante ou usuário em questão tenha dado seu consentimento, tendo recebido informações claras e abrangentes."
Essa única mudança desencadeou a onda de banners de consentimento de cookies que hoje aparece em sites em todo o mundo.
Artigo 5(3): A Disposição Central sobre Cookies
O Artigo 5(3) da Diretiva alterada estabelece:
"Os Estados-Membros devem assegurar que o armazenamento de informações, ou o acesso a informações já armazenadas, no equipamento terminal de um assinante ou usuário só seja permitido na condição de que o assinante ou usuário em questão tenha dado seu consentimento, tendo recebido informações claras e abrangentes, em conformidade com [o marco de proteção de dados], nomeadamente, sobre as finalidades do tratamento."
A disposição então prevê uma exceção restrita: "isso não impede o armazenamento ou acesso técnico com a única finalidade de realizar a transmissão de uma comunicação em uma rede de comunicações eletrônicas, ou quando estritamente necessário para que o fornecedor de um serviço da sociedade da informação, expressamente solicitado pelo assinante ou usuário, preste esse serviço."
Como a Diretiva ePrivacy é uma diretiva, e não um regulamento, cada Estado-membro da UE transpôs o Artigo 5(3) para sua própria legislação nacional. A substância é consistente, mas as estruturas de penalidades, as prioridades de fiscalização e alguns detalhes processuais variam de país para país.

Como a Diretiva ePrivacy e o GDPR Interagem
A Diretiva ePrivacy e o GDPR são instrumentos separados que atuam em conjunto, mas cobrem terrenos diferentes. A confusão entre os dois costuma gerar erros de conformidade.
Âmbito e a Relação de Lex Specialis
O GDPR é o regulamento geral de proteção de dados, aplicável a todo tratamento de dados pessoais. A Diretiva ePrivacy é uma lex specialis (lei específica) aplicável às comunicações eletrônicas e aos equipamentos terminais. Nos termos do Artigo 95 do GDPR, quando a Diretiva ePrivacy contém regras específicas sobre um tema, essas regras têm precedência sobre as disposições gerais do GDPR.
Em termos práticos: a Diretiva ePrivacy rege o ato de colocar um cookie em um dispositivo. O GDPR rege o que acontece posteriormente com quaisquer dados pessoais coletados por meio desse cookie.
Principais Diferenças em Resumo
| Aspecto | Diretiva ePrivacy | GDPR |
|---|---|---|
| Instrumento jurídico | Diretiva (exige transposição nacional) | Regulamento (diretamente aplicável) |
| Âmbito | Comunicações eletrônicas e equipamentos terminais | Todo tratamento de dados pessoais |
| Consentimento de cookies | Exigido para todos os cookies não essenciais | O consentimento é uma das seis bases legais |
| Aplica-se a | Qualquer dado armazenado em ou acessado a partir de um dispositivo | Apenas dados pessoais |
| Fiscalização | Reguladores nacionais, estruturas nacionais de penalidades | Autoridades de supervisão, multas harmonizadas do GDPR |
Por Que o Legítimo Interesse Não Pode Justificar Cookies de Publicidade
Uma consequência crítica dessa relação: as organizações não podem se apoiar na base de "legítimo interesse" do GDPR para configurar cookies de análise ou publicidade. Sob o marco do ePrivacy, o consentimento é a única base legal disponível para cookies não essenciais. A Diretiva ePrivacy também se aplica a cookies que não envolvem dados pessoais em nenhuma medida, o que o GDPR não abrangeria. Para orientações detalhadas sobre o que constitui consentimento válido sob o GDPR, consulte nosso guia sobre requisitos de consentimento do GDPR.
Categorias de Cookies Segundo a Diretiva
A Diretiva ePrivacy não define, por si só, categorias de cookies. O marco amplamente utilizado provém de orientações emitidas pelo Grupo de Trabalho do Artigo 29 (atual Comitê Europeu para a Proteção de Dados) e pelas autoridades nacionais de proteção de dados.
Cookies Estritamente Necessários
Esses cookies estão isentos do requisito de consentimento nos termos do Artigo 5(3). Permitem funcionalidades essenciais explicitamente solicitadas pelo usuário. Exemplos incluem:
- Cookies de sessão que mantêm um estado de login
- Cookies de carrinho de compras que memorizam itens durante uma compra
- Cookies de segurança que detectam abuso de autenticação ou fraude
- Cookies de balanceamento de carga que distribuem o tráfego entre servidores
- Cookies de configurações de acessibilidade solicitados pelo usuário
A isenção é restrita. Um cookie é estritamente necessário apenas se o serviço genuinamente falhar sem ele e o usuário tiver solicitado especificamente esse serviço. Um cookie que melhora o desempenho ou adiciona conveniência, mas não é essencial, não se qualifica.
Cookies Funcionais
Os cookies funcionais memorizam escolhas do usuário além do estritamente necessário. Preferências de idioma (quando o site pudesse funcionar em um idioma padrão), configurações do player de vídeo e escolhas de tamanho de fonte se enquadram aqui. Eles exigem consentimento.
Cookies de Análise
Os cookies de análise rastreiam o comportamento do usuário para fins estatísticos. Ferramentas como Google Analytics e Adobe Analytics dependem deles. Exigem consentimento. Alguns reguladores nacionais criaram isenções restritas para análises próprias (first-party), que preservam a privacidade, mas ferramentas de análise de terceiros que transferem dados externamente exigem consentimento de forma consistente em todas as jurisdições da UE.
Cookies de Publicidade e Rastreamento
Esses cookies constroem perfis de usuário para publicidade direcionada, retargeting e rastreamento entre sites. Incluem cookies de terceiros colocados por redes de publicidade, pixels de redes sociais e scripts de fingerprinting. Sempre exigem consentimento explícito e atraem a maior atenção regulatória em termos de fiscalização. Consulte nosso guia sobre leis de consentimento de cookies por país para detalhes jurisdição por jurisdição.

Requisitos de Consentimento
A alteração de 2009 alinhou o consentimento de cookies ao padrão mais amplo de consentimento da UE. O GDPR reforçou esse padrão por meio de sua definição de consentimento no Artigo 4(11) e das condições do Artigo 7. Para uma análise completa, consulte nosso artigo sobre requisitos de consentimento do GDPR.
O Que o Consentimento Válido Exige
O consentimento válido de cookies deve ser:
- Livre. Os usuários não podem ser forçados a aceitar cookies como condição para acessar o site.
- Específico. O consentimento deve ser solicitado separadamente para cada finalidade, e não agrupado em uma única caixa de "aceitar tudo".
- Informado. Os usuários devem receber informações claras sobre quais cookies são usados, quais dados coletam, quem recebe os dados e por quanto tempo os cookies persistem.
- Inequívoco. O consentimento exige uma ação afirmativa clara. Rolar a página, continuar navegando ou caixas pré-marcadas não constituem consentimento válido.
- Revogável. Os usuários devem poder retirar o consentimento com a mesma facilidade com que o concederam.
A Decisão Planet49
O Tribunal de Justiça da União Europeia (TJUE) esclareceu o padrão de consentimento no processo C-673/17 (Planet49), decidido em 1º de outubro de 2019. O tribunal decidiu que:
- Caixas pré-marcadas não constituem consentimento válido para cookies.
- O consentimento deve ser ativo e específico, não passivo.
- Os usuários devem ser informados sobre a duração da operação do cookie e se terceiros têm acesso a ele.
- O requisito se aplica independentemente de os dados do cookie constituírem, ou não, dados pessoais.
Essa decisão eliminou a ambiguidade remanescente quanto ao padrão de opt-in.
A Recusa Deve Ser Tão Fácil Quanto a Aceitação
Seguindo o relatório da Força-Tarefa de Banners de Cookies do EDPB (publicado em janeiro de 2023), diversas autoridades nacionais de proteção de dados agora exigem que recusar cookies não seja mais difícil do que aceitá-los. Um botão de "Aceitar tudo" com um único clique na primeira camada de um banner deve ser acompanhado por um botão de "Recusar tudo" igualmente proeminente. Esconder a opção de recusa atrás de um link de "gerenciar preferências" em uma segunda camada é, na maioria dos Estados-membros, não conforme.
Muros de Cookies com "Consentimento ou Pagamento"
Um muro de cookies (cookie wall) bloqueia o acesso ao site, a menos que o usuário consinta com todos os cookies. Uma variante, "consentimento ou pagamento", permite que os usuários evitem o rastreamento assinando um serviço pago em vez disso. Ambos permanecem contestados sob o direito da UE.
O Parecer do EDPB de Abril de 2024 sobre "Consentimento ou Pagamento"
No Parecer 08/2024, emitido em 17 de abril de 2024, o EDPB concluiu que, "na maioria dos casos", grandes plataformas on-line que oferecem apenas um modelo de "pagar ou consentir com publicidade comportamental" não produzem consentimento livremente concedido. O parecer afirma que os usuários deveriam ter à disposição uma alternativa equivalente que não exija o pagamento de uma taxa e não envolva publicidade comportamental.
A Comissão Europeia seguiu esse entendimento em abril de 2025, com uma decisão formal considerando a Meta em não conformidade com o Regulamento de Mercados Digitais nos mesmos fatos, sustentando que a assinatura paga da Meta não oferecia uma alternativa gratuita genuinamente equivalente, e que as taxas eram fixadas em nível alto o suficiente para não deixar aos usuários uma escolha significativa.
Sites e Editoras Menores
O parecer do EDPB tem como alvo "grandes plataformas on-line". As autoridades nacionais chegaram a conclusões diferentes sobre se sites de notícias e editoras menores podem operar modelos de consentimento ou pagamento. A Autoriteit Persoonsgegevens holandesa permite muros de cookies em algumas circunstâncias, quando conteúdo equivalente está acessível em outro lugar. A CNIL francesa exige que recusar o consentimento seja tão fácil quanto aceitá-lo, mas não proibiu categoricamente todos os modelos de consentimento baseados em paywall para editoras. Essa questão permanece sem solução no nível da UE.
Força-Tarefa de Banners de Cookies do EDPB
O EDPB estabeleceu uma força-tarefa sobre banners de cookies em setembro de 2021, em resposta a uma onda de reclamações da organização não governamental noyb (None of Your Business), direcionadas a 422 sites por banners de consentimento ilegais. A força-tarefa reuniu 21 autoridades de supervisão da UE e do EEE.
Seu relatório de janeiro de 2023 estabeleceu diversas posições comuns entre as autoridades participantes:
- A ausência de uma opção de "recusar tudo" no mesmo nível que "aceitar tudo" é uma violação do direito da UE.
- Um design enganoso (dark patterns) que direciona visualmente os usuários rumo ao consentimento não está em conformidade.
- O consentimento deve poder ser retirado a qualquer momento, com a mesma facilidade com que foi concedido.
- As informações sobre cookies devem ser fornecidas na primeira camada do banner, e não apenas em uma política acessível por meio de um link.
Após o relatório, as APDs nacionais conduziram operações de fiscalização e aplicaram multas a organizações cujos banners não atendiam a esses padrões.
Implementação País por País
Como a Diretiva ePrivacy é uma diretiva, cada Estado-membro a transpôs para o direito nacional. Principais variações:
França
A França implementa a Diretiva por meio do Artigo 82 da Loi Informatique et Libertés. A CNIL é uma das autoridades de fiscalização de cookies mais ativas da Europa. Em dezembro de 2021, a CNIL multou o Google em 150 milhões de euros e o Facebook em 60 milhões de euros por tornar a recusa de cookies mais difícil do que a aceitação. Em setembro de 2025, a CNIL multou o Google em 325 milhões de euros por violações relacionadas a cookies de publicidade envolvendo mecanismos de consentimento inválidos. A CNIL exige um botão de recusa tão proeminente quanto o botão de aceitação, e permite uma isenção limitada para cookies próprios (first-party) e agregados de medição de audiência, sob condições rígidas.
Alemanha
A Alemanha implementou as regras de consentimento de cookies por meio da Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). A BfDI e as autoridades estaduais de proteção de dados as fiscalizam. O Bundesgerichtshof (Tribunal Federal de Justiça) adotou o padrão do TJUE em Planet49 em sua decisão de outubro de 2020. A penalidade máxima prevista na TDDDG é de 300.000 euros, embora as multas do GDPR se apliquem quando dados pessoais estiverem envolvidos.
Irlanda
A Irlanda implementou a Diretiva por meio do S.I. nº 336 de 2011. A Comissão de Proteção de Dados (DPC) fiscaliza essas regras. Como as grandes empresas de tecnologia sediadas na Irlanda estão sujeitas à supervisão da DPC, as decisões de fiscalização irlandesas têm influência desproporcional em toda a UE.
Itália
O Garante per la protezione dei dati personali da Itália emitiu diretrizes atualizadas sobre cookies em junho de 2021, exigindo um botão de recusa visível na primeira camada do banner. A Itália também exige uma política de cookies separada da política geral de privacidade.
Espanha
A Espanha transpôs a Diretiva por meio da Lei 34/2002 (LSSI). A AEPD já aplicou multas à Vueling Airlines e à Vodafone Espanha por violações relacionadas a cookies, e esclareceu os períodos máximos de retenção para cookies de análise.
Países Baixos
Os Países Baixos implementaram a Diretiva por meio da Telecommunicatiewet. Em abril de 2025, a Autoriteit Persoonsgegevens emitiu avisos de conformidade a 50 organizações por banners de cookies enganosos ou rastreamento ilícito. A posição da autoridade holandesa sobre muros de cookies (permitindo-os em algumas circunstâncias, quando conteúdo equivalente está disponível) diverge da interpretação mais rígida do EDPB.
Bélgica
A autoridade de proteção de dados da Bélgica (APD) emitiu uma decisão histórica em fevereiro de 2022, concluindo que o Transparency and Consent Framework (TCF) da IAB Europe violava o GDPR. O TJUE confirmou a conclusão central em novembro de 2023, perturbando o mecanismo de consentimento mais amplamente utilizado pelo setor de publicidade programática.

O Regulamento ePrivacy Retirado
A Comissão Europeia propôs um Regulamento ePrivacy em janeiro de 2017 para substituir a Diretiva já ultrapassada por uma regra diretamente aplicável e uniforme em toda a UE. Ao contrário de uma diretiva, um regulamento teria eliminado por completo o mosaico de implementações.
Por Que um Regulamento Foi Proposto
A Comissão identificou diversos problemas na Diretiva:
- Implementações nacionais fragmentadas, gerando complexidade de conformidade
- Referências tecnológicas ultrapassadas (o texto de 2002 é anterior aos smartphones e ao rastreamento moderno)
- Fiscalização inconsistente entre os Estados-membros
- A necessidade de alinhamento com o marco de proteção de dados atualizado do GDPR
- "Fadiga do consentimento de cookies" causada por mecanismos de consentimento mal projetados
O Que a Minuta Teria Mudado
O Regulamento ePrivacy proposto teria sido diretamente aplicável em todos os Estados-membros, estendido o âmbito a comunicações over-the-top (WhatsApp, Signal, Messenger), introduzido o consentimento baseado em navegador como mecanismo válido, alinhado as penalidades ao marco do GDPR (até 4% do faturamento global), e regulado os metadados de forma mais abrangente.
Retirada Formal: Fevereiro de 2025
Após oito anos de negociações paralisadas, a Comissão Europeia retirou formalmente a proposta de Regulamento ePrivacy em seu Programa de Trabalho de 2025, publicado em 11 de fevereiro de 2025. A Comissão declarou que "não se espera acordo por parte dos colegisladores" e que "a proposta está ultrapassada, à luz de legislação recente tanto no cenário tecnológico quanto no legislativo".
A atual Diretiva ePrivacy e suas transposições nacionais permanecem plenamente em vigor. A retirada significa que nenhum novo Regulamento ePrivacy virá por meio da proposta de 2017. No entanto, em vez de simplesmente abandonar a modernização das regras de cookies, a Comissão perseguiu um caminho legislativo diferente por meio do Digital Omnibus.
O Digital Omnibus de Novembro de 2025: As Regras de Cookies Entram no GDPR
Em 19 de novembro de 2025, a Comissão Europeia adotou um pacote de emendas propostas ao marco regulatório digital da UE, publicado como Digital Omnibus. O pacote altera simultaneamente o GDPR, a Diretiva ePrivacy, o Data Act e diversos outros instrumentos.
A Proposta Central: Artigos 88a e 88b
O Digital Omnibus propõe dois novos artigos no GDPR que absorveriam a função de consentimento de cookies atualmente desempenhada pelo Artigo 5(3) da Diretiva ePrivacy.
O Artigo 88a regeria o consentimento para cookies e rastreamento dentro do marco do GDPR. Elementos-chave:
- O consentimento de cookies deve permanecer granular, específico e obtido antes de os cookies serem colocados.
- O titular dos dados deve poder recusar o consentimento "de maneira fácil e inteligível, com um botão de clique único ou meio equivalente".
- Quando um usuário tiver recusado o consentimento, o controlador não poderá solicitá-lo novamente para a mesma finalidade por, no mínimo, seis meses.
- A isenção de cookies estritamente necessários da Diretiva ePrivacy é preservada.
O Artigo 88b regularia a forma como os sinais de consentimento, recusa e oposição são expressos tecnicamente. Exigiria:
- Que as interfaces on-line aceitem e respeitem sinais automatizados e legíveis por máquina, provenientes de navegadores e sistemas operacionais.
- Que os fornecedores de navegadores (exceto PMEs) habilitem a infraestrutura técnica para esses sinais.
- Um cronograma de implementação de 24 meses para a conformidade dos sinais de navegador, mais longo do que o prazo de seis meses proposto para o Artigo 88a.
O Que Isso Significa na Prática
Se adotadas, as mudanças do Digital Omnibus significariam que um usuário poderia configurar seu navegador uma única vez para recusar o rastreamento em todos os sites, e os sites seriam legalmente obrigados a respeitar esse sinal. Os banners de cookies não desapareceriam completamente sob a proposta, mas se tornariam menos necessários à medida que os sinais legíveis por máquina entrassem em vigor.
O EDPB e a Autoridade Europeia para a Proteção de Dados (EDPS) publicaram uma declaração conjunta em 2026, apoiando de forma geral os objetivos de simplificação, ao mesmo tempo em que levantaram preocupações sobre algumas disposições e a velocidade do cronograma legislativo.
Situação Atual
O Digital Omnibus é uma proposta da Comissão, não lei. Entrou no procedimento legislativo ordinário em 19 de novembro de 2025 e precisa ser revisado e aprovado tanto pelo Parlamento Europeu quanto pelo Conselho da UE. Analistas esperam que as negociações se estendam até meados ou o fim de 2026, no mínimo, e a proposta pode mudar substancialmente durante esse processo. A Diretiva ePrivacy e o GDPR atuais continuam sendo o direito vigente até que qualquer substituto entre em vigor.
Fiscalização e Penalidades
Como a Diretiva ePrivacy é transposta por meio de leis nacionais, as penalidades máximas variam. Na prática, a maioria dos reguladores utiliza as estruturas de multas do GDPR (até 20 milhões de euros ou 4% do faturamento anual global) quando os cookies envolvem tratamento de dados pessoais.
Principais Ações de Fiscalização (2021 a 2026)
| Ano | Regulador | Alvo | Valor | Questão |
|---|---|---|---|---|
| 2021 | CNIL (França) | 150 M€ | Recusa de cookies mais difícil do que a aceitação | |
| 2021 | CNIL (França) | 60 M€ | Recusa de cookies mais difícil do que a aceitação | |
| 2022 | APD (Bélgica) | IAB Europe | Constatação de violação do GDPR | Marco de consentimento TCF inválido |
| 2023 | TJUE | TCF da IAB Europe | Violação central confirmada | Violação de dados pessoais no TCF confirmada |
| 2025 | AP (Países Baixos) | 50 organizações | Avisos de conformidade | Banners enganosos, rastreamento sem consentimento |
| 2025 | CNIL (França) | 325 M€ | Violações de consentimento em cookies de publicidade | |
| 2025 | CNIL (França) | Shein | 150 M€ | Violações relacionadas a cookies |
Tendências de Fiscalização
A fiscalização se intensificou em toda a Europa desde 2021. Diversos padrões se destacam:
- Exige-se paridade de design. A opção de recusa deve ser tão proeminente e acessível quanto a opção de aceitação. Designs assimétricos de botões, fontes menores e efeitos de esmaecimento no botão de recusa são tratados como dark patterns.
- Botão de recusa na primeira camada. França, Itália, Bélgica e diversas outras jurisdições agora exigem explicitamente uma opção de "Recusar tudo" no banner inicial, não apenas atrás de um link de configurações.
- Operações coordenadas. O EDPB coordena ações no âmbito do Marco de Fiscalização Coordenada (CEF), nas quais múltiplas APDs nacionais auditam simultaneamente o mesmo setor.
- Cookies de publicidade impulsionam as multas. As maiores penalidades monetárias envolveram consistentemente cookies de publicidade e rastreamento de terceiros colocados sem consentimento válido.
Passos Práticos para a Conformidade
Organizações com sites acessíveis a partir da UE devem seguir os passos abaixo.
Auditar Primeiro
Realizar uma varredura de cookies em seu site, incluindo todos os scripts de terceiros. Documentar o nome, a finalidade, o período de retenção e o destinatário dos dados de cada cookie. Classificar cada um como estritamente necessário, funcional, de análise ou de publicidade.
Construir um Banner Conforme
Exibir um banner de consentimento antes de colocar qualquer cookie não essencial. O banner deve:
- Bloquear cookies não essenciais até que o usuário faça uma escolha (consentimento prévio, não aviso posterior)
- Oferecer opções granulares por categoria
- Apresentar botões de aceitar e recusar com igual destaque visual na primeira camada
- Evitar caixas pré-marcadas para qualquer categoria
- Fornecer explicações claras e em linguagem simples para cada categoria de cookie
Manter Registros Contínuos
Armazenar registros de consentimento (o que o usuário escolheu, quando, e qual versão do banner foi exibida). Fornecer um mecanismo acessível para retirar o consentimento a qualquer momento. Reauditar os cookies regularmente, pois scripts de terceiros frequentemente adicionam novos cookies sem aviso.
Este conteúdo constitui informação jurídica geral, não consultoria jurídica. Os requisitos de conformidade dependem das jurisdições específicas atendidas pelo seu site, dos tipos de cookies utilizados e da natureza dos dados coletados. Consulte um advogado especializado em proteção de dados para orientação específica à sua situação.
Frequently Asked Questions
O que é a Diretiva ePrivacy e como ela se relaciona com o GDPR?
A Diretiva ePrivacy (2002/58/CE, alterada pela 2009/136/CE) é a lei da UE que rege cookies, tecnologias de rastreamento e comunicações eletrônicas. Ela opera como lex specialis ao lado do GDPR: a Diretiva controla o ato de colocar cookies em um dispositivo, enquanto o GDPR rege como os dados pessoais coletados por meio desses cookies são tratados. Quando ambas as leis se aplicam, as regras específicas da Diretiva ePrivacy têm precedência. O GDPR estabelece o padrão de consentimento que o requisito de consentimento de cookies da Diretiva ePrivacy deve atender.
O Regulamento ePrivacy foi retirado?
Sim. A Comissão Europeia retirou formalmente a proposta de Regulamento ePrivacy em seu Programa de Trabalho de 2025, publicado em 11 de fevereiro de 2025. A Comissão declarou que não se esperava acordo por parte dos colegisladores e que a proposta estava ultrapassada diante da legislação digital recente. A atual Diretiva ePrivacy permanece plenamente em vigor. Uma nova abordagem para atualizar as regras de cookies foi introduzida por meio do Digital Omnibus de novembro de 2025, que propõe incorporar as regras de consentimento de cookies ao GDPR, em vez de substituir a Diretiva por um regulamento separado.
O que o Digital Omnibus de novembro de 2025 propõe para os cookies?
O Digital Omnibus, publicado em 19 de novembro de 2025, propõe dois novos artigos no GDPR. O Artigo 88a exigiria opções de recusa com um único clique, com destaque igual ao da aceitação, proibiria pedidos repetidos de consentimento por seis meses após uma recusa, e preservaria a isenção de cookies estritamente necessários. O Artigo 88b exigiria que os sites respeitassem sinais de consentimento legíveis por máquina em nível de navegador, permitindo que os usuários definissem suas preferências de privacidade uma única vez no navegador, em vez de clicar em banners de cookies individuais. A proposta ainda está sujeita à aprovação do Parlamento Europeu e do Conselho, e ainda não é lei.
Quais cookies estão isentos do requisito de consentimento?
Apenas duas categorias são isentas nos termos do Artigo 5(3). Primeiro, cookies usados exclusivamente para transmitir uma comunicação em uma rede (roteamento técnico). Segundo, cookies estritamente necessários para prestar um serviço explicitamente solicitado pelo usuário, como cookies de autenticação, de carrinho de compras e de segurança. Cookies de análise, publicidade e a maioria dos cookies funcionais exigem consentimento. Alguns reguladores nacionais, notadamente a CNIL francesa, permitem uma isenção restrita para ferramentas próprias (first-party) de medição de audiência, que preservam a privacidade, sob condições rígidas.
Caixas de consentimento de cookies pré-marcadas são legais na UE?
Não. O TJUE decidiu, no processo C-673/17 (Planet49), em outubro de 2019, que caixas pré-marcadas não constituem consentimento válido para cookies. O consentimento exige uma ação afirmativa clara. Rolar a página ou continuar navegando no site também não conta como consentimento válido. Isso se aplica independentemente de os dados do cookie constituírem, ou não, dados pessoais.
Muros de cookies com 'consentimento ou pagamento' são legais?
Depende do contexto. O EDPB emitiu o Parecer 08/2024 em abril de 2024, concluindo que, 'na maioria dos casos', grandes plataformas on-line não podem utilizar um modelo de consentimento ou pagamento, porque os usuários não têm uma escolha verdadeiramente livre. A Comissão Europeia chegou à mesma conclusão em relação à Meta em abril de 2025. No entanto, o parecer tem como alvo principal grandes plataformas, e as autoridades nacionais não proibiram uniformemente todos os modelos de consentimento ou pagamento para editoras menores. A APD holandesa permite alguns muros de cookies quando conteúdo equivalente está acessível em outro lugar. A questão permanece sem solução no nível da UE.
Que penalidades um site pode enfrentar por violações da lei de cookies?
As penalidades variam por país. A França já aplicou multas de 325 milhões de euros (Google, 2025) e 150 milhões de euros (Google, 2021), utilizando as disposições sancionatórias do GDPR. A Espanha pode multar em até 300.000 euros nos termos da LSSI, ou aplicar as multas do GDPR quando dados pessoais estiverem envolvidos. O teto da TDDDG alemã é de 300.000 euros, com multas do GDPR disponíveis para violações envolvendo dados pessoais. Na prática, a maioria dos reguladores utiliza o marco do GDPR, de até 20 milhões de euros ou 4% do faturamento anual global, quando os cookies envolvem tratamento de dados pessoais.
Cookies de análise como o Google Analytics exigem consentimento?
Sob a Diretiva ePrivacy, os cookies de análise em geral exigem consentimento. No entanto, alguns reguladores nacionais flexibilizaram essa regra para análises próprias (first-party). A CNIL francesa permite uma isenção para cookies próprios de medição de audiência, sob condições rígidas: os dados devem ser agregados, não compartilhados com terceiros, e limitados em retenção. Ferramentas de terceiros como o Google Analytics, que transferem dados externamente, exigem consentimento de forma consistente em todas as jurisdições da UE.
Com que frequência os sites devem solicitar novamente o consentimento de cookies?
A Diretiva ePrivacy não especifica um intervalo de novo consentimento. As orientações nacionais variam. A CNIL recomenda solicitar novamente o consentimento a cada seis meses. Outras autoridades sugerem intervalos de 12 meses. A proposta do Digital Omnibus, se adotada, proibiria solicitar novamente o consentimento para uma finalidade que o usuário já tenha recusado, por pelo menos seis meses. As organizações também devem solicitar novamente o consentimento sempre que adicionarem novas categorias de cookies ou alterarem as finalidades de tratamento.
Sources and References
- Diretiva 2002/58/CE relativa à Privacidade e às Comunicações Eletrônicas (Diretiva ePrivacy)(eur-lex.europa.eu).gov
- Diretiva 2009/136/CE que Altera a Diretiva ePrivacy (Emenda de Cookies)(eur-lex.europa.eu).gov
- Processo C-673/17 do TJUE (Planet49): Padrão de Consentimento de Cookies(curia.europa.eu).gov
- Parecer 04/2012 do Grupo de Trabalho do Artigo 29 sobre Isenções de Consentimento de Cookies(ec.europa.eu).gov
- Diretrizes 05/2020 do EDPB sobre Consentimento no GDPR(edpb.europa.eu).gov
- Regulamento (UE) 2016/679: Regulamento Geral sobre a Proteção de Dados (GDPR)(eur-lex.europa.eu).gov
- Programa de Trabalho da Comissão Europeia 2025: Retirada do Regulamento ePrivacy(commission.europa.eu).gov
- Pacote Digital da UE: Comissão Europeia (Digital Omnibus)(digital-strategy.ec.europa.eu).gov
- Relatório da Força-Tarefa de Banners de Cookies do EDPB (Janeiro de 2023)(edpb.europa.eu).gov
- Declaração do EDPB e da EDPS sobre o Digital Omnibus (2026)(edpb.europa.eu).gov
- CNIL: Diretrizes sobre Cookies e Outros Dispositivos de Rastreamento(cnil.fr).gov
- Diretrizes de Cookies do Garante da Itália (2021)(garanteprivacy.it).gov
- LSSI da Espanha (Lei 34/2002): Lei sobre Serviços da Sociedade da Informação(boe.es).gov
- BfDI da Alemanha: Comissário Federal para a Proteção de Dados(bfdi.bund.de).gov
- Irlanda, S.I. nº 336/2011: Regulamento de Comunicações Eletrônicas(irishstatutebook.ie).gov
- Telecommunicatiewet dos Países Baixos(wetten.overheid.nl).gov
- França, Loi Informatique et Libertés: Artigo 82(legifrance.gouv.fr).gov