Conversar WhatsApp
LGPD · LGPD · 6 min de leitura

Banner de cookies: o erro que quase todo site brasileiro comete

A maioria dos sites brasileiros copiou o modelo europeu de banner de cookies, trocou a cor e achou que estava em conformidade com a LGPD. Não estava. LGPD e GDPR são leis diferentes, com exigências diferentes. Um botão "aceitar" sem equivalente de recusa já é prática ilegal, e a ANPD tem isso no radar.

Banner de cookies: o erro que quase todo site brasileiro comete
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

A maioria dos sites que a gente analisa tem o mesmo padrão: banner com botão "Aceitar todos" verde e grande, botão "Gerenciar preferências" em cinza discreto no canto, e política de cookies gerada por template automático. Parece compliance. Não é.

O problema começa na origem. Quem montou esse banner estava olhando pro modelo europeu, não pra lei brasileira. E as leis são diferentes, com exigências diferentes em pontos que importam bastante quando a ANPD bate na porta.

LGPD não é GDPR. Para de tratar como se fosse.

O GDPR europeu tem legislação complementar específica pra cookies: a Diretiva ePrivacy, que obriga consentimento para praticamente tudo que vai além do estritamente técnico. Brasil não tem esse instrumento. A Lei 13.709/2018 não criou uma "lei de cookies" separada.

O que temos é o art. 7º da LGPD, com dez bases legais para tratamento de dados pessoais. Consentimento é apenas uma delas. Isso muda tudo: a pergunta certa não é "esse cookie precisa de consentimento?". A pergunta certa é: esse cookie processa dado pessoal? Se sim, qual base legal estou usando?

Nossa leitura: o mercado brasileiro adotou o modelo europeu porque era o mais visível quando a LGPD entrou em vigor, e porque a ANPD demorou a publicar orientações específicas sobre cookies. Quem copiou sem adaptar criou um problema duplo: piorou a experiência do usuário com banners que travam a página e, paradoxalmente, ficou mais longe da conformidade com a lei brasileira.

Quais cookies precisam de consentimento de verdade

O ponto de partida é identificar quais cookies coletam dado pessoal. IP de acesso é dado pessoal. Identificador de dispositivo é dado pessoal. Histórico de navegação vinculado a usuário identificável é dado pessoal. A partir daí:

  • Cookies técnicos essenciais (sessão, autenticação, carrinho): geralmente dispensam consentimento. Base legal: execução de contrato ou legítimo interesse. Sem discussão aqui.
  • Cookies analíticos (Google Analytics, Hotjar, Clarity): coletam dado pessoal, IP e comportamento incluídos. Consentimento é a base mais segura porque a ANPD ainda não sinalizou que legítimo interesse cobre análise de tráfego para fins puramente comerciais.
  • Cookies de marketing e retargeting (Meta Pixel, Google Ads, TikTok Pixel): perfilamento claro, dado pessoal sem dúvida. Consentimento é a base certa, e ele precisa cumprir o art. 5º, XII: manifestação livre, informada e inequívoca.
  • Cookies de personalização (preferências salvas, histórico de busca): se vinculados a usuário identificável, viram dado pessoal e precisam de base legal.

O critério objetivo: se o cookie viabiliza identificar, rastrear ou perfilar o visitante, precisa de base legal explícita. Se você escolheu consentimento como base, ele precisa cumprir o art. 8º da LGPD: livre, informado, não presumido e revogável a qualquer momento.

O botão "Aceitar" sozinho é dark pattern. A ANPD já disse isso.

Consentimento livre, no sentido que a LGPD exige (art. 5º, XII), significa que recusar não pode ser mais difícil que aceitar e não pode gerar prejuízo pro usuário. Um banner com botão "Aceitar todos" verde e em destaque, e botão "Recusar" em cinza claro enterrado num menu de três cliques, não é consentimento livre. É coerção visual com interface.

A ANPD tem se alinhado com autoridades internacionais que já puniram empresas por dark patterns em banners. A francesa CNIL multou o Google em €150 milhões e a Meta em €60 milhões em 2022 por práticas similares. No Brasil, a ANPD publicou nota sobre design manipulativo e incluiu o tema no plano de fiscalização. A multa específica por banner ainda não veio, mas o caminho está traçado.

Falando sério: se você está processando dado pessoal com base em consentimento obtido por dark pattern, você não tem base legal válida. Você está tratando dado sem autorização. A sanção prevista no art. 52 chega a 2% do faturamento da empresa no Brasil no último exercício, com teto de R$ 50 milhões por infração. Não é só o banner que está errado: é o tratamento inteiro de dados apoiado naquele consentimento que cai.

Como montar um banner que cumpre a lei

Não existe formato obrigatório definido pela ANPD para banners. O que existe são os requisitos do consentimento válido (art. 8º) e o direito de revogação (art. 18). Com isso dá pra montar algo funcional e legalmente sustentável:

  • Peso visual igual entre os botões: "Aceitar" e "Recusar" com o mesmo tamanho, a mesma cor de fundo, a mesma visibilidade. Não pode um ser preenchido em verde e o outro só uma borda discreta.
  • Granularidade por categoria: o usuário precisa poder aceitar analíticos e recusar marketing, ou vice-versa. Consentimento em bloco, tudo ou nada, não é livre o suficiente.
  • Recusa sem punição: o site tem que funcionar normalmente se o usuário recusar cookies não essenciais. Bloquear conteúdo como punição por recusar é dark pattern.
  • Link pra política de cookies: o que cada categoria coleta, por quanto tempo, com quem os dados são compartilhados. Um parágrafo por categoria já resolve.
  • Acesso permanente pra revogar: ícone no rodapé ou link fixo pra o usuário mudar a preferência quando quiser, sem precisar limpar cache. Art. 18 garante esse direito.
  • Log de consentimento: registre qual usuário, quando, quais categorias aceitou e qual versão da política estava vigente. Se a ANPD pedir, você precisa provar.

Ferramentas como Cookiebot, OneTrust e Axeptio já permitem tudo isso. O problema não é falta de ferramenta: a configuração padrão dessas plataformas vem no modo GDPR. Você precisa configurar, não só instalar. A diferença entre o modo padrão e a configuração LGPD adequada leva menos de duas horas com um desenvolvedor que entenda do assunto.

A Resolução 02/2022 da ANPD alivia PME, mas não no banner

A Resolução CD/ANPD 02/2022 criou regime simplificado para microempresas, EPPs, startups e profissionais autônomos: menos burocracia documental, dispensa de alguns registros de operações, flexibilização do relatório de impacto. Um alívio real pra quem não tem estrutura de compliance.

Mas ela não altera os requisitos do consentimento válido. Se você é uma pequena empresa do Vale do Itajaí que vende pelo site, usa Meta Pixel e tem banner com botão "Aceitar" único, o regime simplificado não te protege. Os princípios da LGPD, finalidade, necessidade, transparência, se aplicam a todo controlador, independente do porte.

O que fazer nos próximos 15 dias

Não precisa de projeto caro pra resolver isso. Os passos abaixo eliminam o risco mais urgente:

  • Abra o site em aba anônima e instale a extensão Cookie-Editor no Chrome. Liste todos os cookies que disparam antes de qualquer clique do usuário. Se cookies de marketing ou analíticos aparecem antes da interação, você está tratando dado sem base legal desde o primeiro acesso.
  • Classifique cada cookie: essencial, analítico, marketing, personalização.
  • Ajuste o banner: botão "Recusar" com o mesmo peso visual do "Aceitar". Se a plataforma atual não permite isso, chame o desenvolvedor. Isso não é opcional.
  • Ative o bloqueio condicional: cookies de marketing e analíticos só devem carregar depois que o usuário aceitar aquela categoria específica.
  • Ative o log de consentimento na sua ferramenta de CMP. Você vai precisar desse histórico se a ANPD instaurar processo.
  • Revise a política de cookies: uma lista dos cookies por categoria, finalidade, prazo de retenção e com quem são compartilhados.

Isso não cobre um programa de conformidade completo. É o mínimo que qualquer site com tráfego precisa ter operando agora. Cookie não é detalhe técnico: é o ponto onde começa o tratamento de dado pessoal do seu visitante, e onde começa a responsabilidade legal da sua empresa. Quem ainda está com banner copiado do GDPR tem um problema que já deveria ter sido corrigido.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →