Um guia prático de Compreendendo os cookies do navegador
TL;DR — Resposta rápida
5 min de leituraOs cookies do navegador podem manter um site funcionando, lembrar preferências, medir o uso ou rastrear pessoas na web. O risco de privacidade depende da finalidade, design do identificador, retenção, compartilhamento e se o consentimento é necessário.
Este guia explica Compreendendo os cookies do navegador na prática, com foco em decisões de analytics que respeitam a privacidade.
Um cookie de navegador é um pequeno pedaço de texto que um site solicita que seu navegador armazene. Em solicitações posteriores, o navegador poderá enviar esse cookie de volta ao domínio relevante. Esse mecanismo simples torna possíveis sessões de login, carrinhos de compras, preferências de idioma, análises e rastreamento de publicidade.
Os cookies não são automaticamente ruins. Um cookie de sessão segura pode mantê-lo conectado. Um cookie de preferência pode lembrar o modo escuro. O problema da privacidade começa quando os cookies se tornam identificadores persistentes usados para observar pessoas ao longo do tempo, páginas, dispositivos ou sites.
Cookies primários versus cookies de terceiros
Um cookie primário é definido pelo site que você está visitando. Se você visitar example.com e example.com definir um cookie, ele será primário. Cookies primários são comumente usados para sessões, preferências, prevenção de fraudes e análises.
Um cookie de terceiros é definido por um domínio diferente incorporado na página, como uma rede de publicidade, widget social ou provedor de análise terceirizado. Os cookies de terceiros historicamente permitiam o rastreamento entre sites porque o mesmo domínio externo poderia reconhecer o navegador em muitos sites.
O comportamento do navegador mudou. A prevenção de rastreamento WebKit do Safari explica que o acesso a cookies de terceiros é fortemente restrito e que algum armazenamento gravável por script pode ser limitado, incluindo um limite de 7 dias em determinados contextos ITP. A Proteção Total de Cookies do Firefox isola cookies por site e é habilitada no padrão Enhanced Tracking Protection para muitos usuários, de acordo com a documentação do Firefox da Mozilla. O Chrome mudou de rumo em 2025 e disse que manteria sua abordagem atual de escolha de cookies de terceiros em vez de lançar um novo prompt independente, de acordo com a atualização do Privacy Sandbox do Google.
O ponto prático: os cookies de terceiros não são mais uma base estável para medição, e os cookies primários estão sob mais escrutínio quando usados para rastreamento.
Cookies de sessão, persistentes e seguros
Os cookies de sessão expiram quando a sessão do navegador termina. Eles são frequentemente usados para estado de login ou estado de fluxo de trabalho temporário.
Os cookies persistentes permanecem até à sua data de expiração ou até que o utilizador os apague. Eles podem durar minutos, dias, meses ou anos. Cookies persistentes de longa duração são mais sensíveis à privacidade porque facilitam o reconhecimento dos navegadores recorrentes.
Cookies seguros são enviados apenas pelo HTTPS. Os cookies HttpOnly não podem ser lidos por JavaScript, o que ajuda a proteger os cookies de sessão contra determinados ataques. SameSite controla se os cookies são enviados em contextos entre sites. Esses atributos são controles de segurança, não uma autorização de privacidade.
Cookies essenciais versus cookies não essenciais
A questão jurídica geralmente é o propósito. Na Europa, o Artigo 5(3) da Diretiva Privacidade Eletrônica exige consentimento antes de armazenar ou acessar informações no dispositivo de um usuário, a menos que o armazenamento seja estritamente necessário para um serviço solicitado pelo usuário. Reguladores como o ICO da UK resumem isso da seguinte forma: cookies não estritamente necessários precisam de um meio apropriado de consentimento, enquanto cookies estritamente necessários não. Consulte a orientação pública da OIC sobre cookies.
Cookies típicos estritamente necessários:
- Cookies de sessão de login.
- Biscoitos de carrinho de compras.
- Cookies de segurança para prevenção de fraudes.
- Cookies de balanceamento de carga.
- Cookies de preferência do usuário que suportam uma configuração solicitada.
Cookies não essenciais típicos:
- Cookies analíticos.
- Cookies publicitários.
- A/B testando cookies para otimização de negócios.
- Cookies de rastreamento de redes sociais.
- Cookies de personalização entre sites.
Alguns países permitem isenções restritas de consentimento para medição de audiência quando condições estritas são atendidas. A CNIL, por exemplo, descreve a medição de audiência isenta de consentimento como limitada a estatísticas para o editor, sem rastreamento entre sites ou reutilização para outros fins, em suas orientações sobre soluções de medição de audiência. Isso não é o mesmo que dizer que todos os cookies analíticos são essenciais.
Cookies e dados pessoais
Um valor de cookie pode ser aleatório e ainda ser um dado pessoal se destacar um navegador ou puder ser vinculado a outras informações. De acordo com GDPR, os identificadores online podem ser dados pessoais quando se referem a uma pessoa identificada ou identificável. É por isso que a análise exclusiva IDs, a publicidade IDs e o usuário pseudônimo IDs merecem tratamento cuidadoso.
Flowsery
Teste gratuito
Painel em tempo real
Rastreamento de metas
Rastreamento sem cookies
Não coloque nomes, e-mails, números de telefone, conta IDs, detalhes de saúde ou respostas de formulários em cookies, a menos que você tenha um motivo e um design de segurança muito específicos. Mesmo assim, evite-o sempre que possível.
Cookies em Análise da Web
A análise da web tradicional usa cookies para distinguir usuários e sessões. O Google diz que as tags JavaScript GA4 usam cookies primários, como _ga, para distinguir usuários e sessões em sua documentação de cookies GA4. Esse design pode dar suporte a relatórios familiares, mas também traz questões de consentimento, retenção, fornecedores e produtos cruzados.
A análise sem cookies segue um caminho diferente: conta visualizações de páginas, referenciadores, campanhas, países, dispositivos e eventos sem armazenar um identificador de navegador. A desvantagem é menos detalhes da jornada no nível do usuário, mas o benefício é uma conformidade mais simples, menos lacunas nos banners de consentimento e menos risco de transformar medições básicas em vigilância.
Uma simples auditoria de cookies
Para cada cookie, registre:
| Campo | O que capturar |
|---|---|
| Nome | O nome do cookie conforme mostrado nas ferramentas de desenvolvimento do navegador |
| Domínio | Domínio próprio ou de terceiros |
| Finalidade | Sessão, preferência, análises, anúncios, segurança |
| Duração | Apenas sessão ou expiração exata |
| Tipo de dados | ID aleatório, valor de preferência, token, dados de campanha |
| Fornecedor | Sistema interno ou fornecedor terceirizado |
| Categoria de consentimento | Estritamente necessário, preferências, análises, marketing |
Em seguida, remova o que você não precisa. Reduza a retenção sempre que possível. Bloqueie cookies não essenciais até consentimento, quando necessário. Se o único motivo do seu banner for a análise, considere substituir a análise baseada em cookies por uma configuração que prioriza a privacidade.
Perguntas para iniciantes que as equipes costumam perder
Um banner de cookie não é o mesmo que uma política de privacidade. O banner coleta uma escolha antes que o armazenamento opcional aconteça; a política explica o processamento mais amplo. Você pode precisar de ambos.
Um script sem cookies não é automaticamente isento de consentimento. Se ele ler o armazenamento do navegador, criar uma impressão digital ou enviar um identificador exclusivo do dispositivo, ainda poderá se enquadrar nas regras de privacidade eletrônica.
A exclusão de cookies não exclui os registros do servidor já criados. Se uma ferramenta de análise recebeu eventos antes da exclusão, esses eventos poderão permanecer no sistema do fornecedor até que as regras de retenção ou exclusão sejam aplicadas.
Lista de verificação de auditoria de cookies
Audite cada página antes de qualquer escolha de consentimento e novamente após a rejeição. Inspecione chamadas de rede, cookies, armazenamento local e de sessão, pixels, gatilhos do gerenciador de tags e eventos do lado do servidor. Se análises ou publicidade opcionais ainda forem disparadas antes de uma escolha válida, o banner será cosmético. Se uma ferramenta reivindicar isenção de análise, documente a configuração exata e certifique-se de que a configuração seja limitada, focada no editor e livre de reutilização de publicidade.
Este artigo foi útil?
Diga-nos o que pensa!
Antes de ir...
Flowsery
Analytics orientado para receitas para o seu site
Rastreie cada visitante, fonte e conversão em tempo real. Simples, poderoso e totalmente conforme com o RGPD.
Painel em tempo real
Rastreamento de metas
Rastreamento sem cookies
Artigos relacionados
Um guia prático de Como construir análises de sites compatíveis com
Como construir análises de sites compatíveis com GDPR sem cookies requer repensar a identificação, o armazenamento e os relatórios. Este guia explica as técnicas de preservação de privacidade por trás de uma configuração compatível.
Um guia prático de Marketing direto sob o GDPR
Marketing direto sob o GDPR: regras, bases legais e requisitos de conformidade explica quando o consentimento é necessário, quando interesse legítimo pode ser aplicado e como as regras ePrivacy restringem suas opções.
Um guia prático de Requisitos da política de privacidade ao usar
Requisitos da política de privacidade ao usar Google Analytics em seu site explica o que você precisa divulgar sobre cookies, coleta de dados, transferências, recursos de publicidade e direitos do usuário.