Um guia prático de cookies de internet

Este guia explica cookies de internet na prática, com foco em decisões de analytics que respeitam a privacidade.

As regras de cookies existem porque um pequeno arquivo do navegador pode realizar tarefas muito diferentes. Um cookie pode manter um usuário conectado. Outro pode acompanhar esse usuário em milhares de sites para publicidade. Tratar ambos como “apenas cookies” ignora a questão da privacidade.

Um cookie de internet é um pequeno dado armazenado pelo navegador de um site. Quando o navegador solicitar posteriormente uma página ou recurso do mesmo domínio, ele poderá enviar o cookie de volta. Isso permite que os sites se lembrem de sessions, preferências, carrinhos, opções de consentimento e identificadores.

Principais Tipos de Cookies

Cookies primários são definidos pelo site que o visitante está usando. Eles podem oferecer suporte a login, carrinhos de compras, preferências, análises ou estado do produto.

Cookies de terceiros são definidos por outro domínio incorporado na página, como uma rede de anúncios, plug-in social ou provedor de análise. Eles são frequentemente usados ​​para rastreamento entre sites.

Cookies de sessão expiram quando a sessão do navegador termina. Cookies persistentes permanecem até uma data de expiração definida ou exclusão.

Cookies essenciais são necessários para um serviço solicitado pelo usuário, como autenticação, segurança, balanceamento de carga ou carrinho de compras. Cookies não essenciais suportam análises, publicidade, personalização ou outros fins opcionais.

Os atributos Secure, HttpOnly e SameSite são controles de segurança. Eles afetam a forma como os cookies são transmitidos e acessados, mas por si só não tornam a finalidade de rastreamento favorável à privacidade.

Por que os cookies se tornaram controversos

Os cookies não são inerentemente ruins. A controvérsia vem da identificação persistente e do rastreamento entre sites.

Um cookie de publicidade de terceiros pode reconhecer o mesmo navegador em muitos sites. Com o tempo, isso pode revelar interesses, hábitos, compras, preocupações com a saúde, leitura política, padrões de localização e acontecimentos da vida. Mesmo os cookies primários podem ser arriscados se scripts de terceiros os escreverem ou lerem para criação de perfil.

Os navegadores responderam. O WebKit do Safari possui recursos de prevenção de rastreamento e bloqueia cookies de terceiros por padrão em contextos modernos (WebKit). A proteção total de cookies do Firefox isola cookies por site para reduzir o rastreamento entre sites (Mozilla).

Chrome é diferente de Safari e Firefox. Google não planeja mais o mesmo prompt completo de eliminação de cookies de terceiros discutido anteriormente; em abril de 2025, disse que Chrome manteria a abordagem atual de escolha do usuário nas configurações de privacidade e segurança (atualização do Sandbox de privacidade). Isso não torna o rastreamento de terceiros durável. Isso significa que Chrome permanece mais dependente das configurações do usuário, consentimento, política de plataforma e futuras mudanças de privacidade, enquanto Safari e Firefox já restringem o rastreamento entre sites de forma mais agressiva por padrão.

Regras de consentimento de cookies

Na UE e no Reino Unido, as regras sobre cookies provêm principalmente das leis ePrivacy, com GDPR estabelecendo o padrão para consentimento quando dados pessoais estão envolvidos. O princípio fundamental é que o armazenamento ou acesso a informações no dispositivo de um usuário requer consentimento, a menos que seja estritamente necessário para o serviço solicitado.

A ICO do Reino Unido afirma que as organizações precisam de um mecanismo de consentimento que permita aos usuários controlar cookies não essenciais e tecnologias semelhantes (ICO). O EDPB explica o consentimento GDPR como dado livremente, específico, informado e inequívoco, com retirada gratuita posteriormente (EDPB).

Isso significa que um banner de cookie compatível não deve:

• Defina cookies opcionais antes do consentimento.
• Use caixas pré-marcadas.
• Torne “aceitar” muito mais fácil do que “rejeitar”.
• Agrupe análises e publicidade em uma escolha vaga.
• Ocultar retirada.
• Descreva o rastreamento com linguagem pouco clara.

Cookies de analytics

Os cookies analíticos muitas vezes não são essenciais porque o site pode funcionar sem eles. Alguns reguladores permitem isenções restritas para medição de audiência quando condições estritas são atendidas, como medição limitada original, retenção curta, nenhum rastreamento entre sites e nenhum compartilhamento para outros fins. CNIL descreve tais condições para ferramentas de medição de audiência (CNIL).

A maioria das configurações convencionais de análise e publicidade não se qualifica automaticamente para essas isenções. Se os dados analíticos forem compartilhados com um ecossistema de terceiros ou usados ​​para publicidade, as obrigações de consentimento e divulgação aumentam.

O que os proprietários de sites devem auditar

Crie um inventário de cookies e rastreamento:

• Nome do biscoito.
• Provedor.
• Domínio.
• Propósito.
• Expiração.
• Se é essencial.
• Se estão envolvidos dados pessoais.
• Se os dados são partilhados com terceiros.
• Se o consentimento é necessário.
• Como os usuários podem sacar.

Em seguida, verifique o site em uma nova sessão do navegador antes de aceitar o banner. Os cookies opcionais não devem aparecer antes que o usuário faça uma escolha válida.

Cookieless não significa automaticamente privado

Alguns sistemas de rastreamento evitam cookies, mas usam armazenamento local, pixels, impressão digital, identificadores do lado do servidor ou e-mails com hash. A lei dos cookies pode abranger tecnologias semelhantes, e a lei da privacidade ainda pode ser aplicada quando os dados se referem a uma pessoa identificável.

Uma abordagem genuinamente que prioriza a privacidade evita a substituição de cookies por identificadores mais sorrateiros. Ele usa medição agregada, minimização de dados, retenção curta e nenhum perfil entre sites.

Os cookies são uma ferramenta. A verdadeira questão é se o seu site os utiliza para algo que visitors razoavelmente espera e pode controlar.

Uma auditoria rápida do navegador

Você pode aprender muito sem ferramentas especiais. Abra o site em uma janela privada, limpe o armazenamento e carregue a página inicial antes de interagir com o banner. Nas ferramentas do desenvolvedor, verifique o armazenamento do aplicativo para cookies, localStorage e sessionStorage. Em seguida, verifique a rede para chamadas para domínios de análise, anúncio, mapa de calor, bate-papo e gerenciador de tags.

Repita o teste depois de rejeitar os cookies opcionais e depois de aceitá-los. A diferença deve corresponder às categorias do banner. Se as chamadas publicitárias acontecerem antes do consentimento, ou se a rejeição ainda deixar identificadores analíticos persistentes, o banner não controlará a implementação. Mantenha capturas de tela e solicite registros com seu inventário de cookies. Eles são uma evidência melhor do que uma planilha preenchida nas páginas de marketing do fornecedor.

Lista de verificação de auditoria de cookies

Para cada cookie ou tecnologia semelhante, registe:

• Nome, domínio, provedor, finalidade, validade e categoria.
• Seja primário ou de terceiros no contexto.
• Se suporta um serviço solicitado ou uma finalidade opcional.
• Se existe armazenamento semelhante em localStorage, sessionStorage, pixels, SDKs ou decoração de link.
• Se Safari, Firefox, modo regular Chrome e Chrome Incognito se comportam de maneira diferente.
• Se a rejeição do consentimento realmente impede o armazenamento e as solicitações opcionais.

Se a ferramenta reivindicar uma isenção de análise, documente a configuração exata: finalidade limitada de medição de audiência, sem rastreamento entre sites, sem reutilização de publicidade, retenção curta, informações claras do usuário e sem reaproveitamento do fornecedor além da necessidade de medição do editor.