Cookies e rastreamento online: o que a ANPD determina sobre consentimento
Praticamente todo site coleta dados por meio de cookies. Mas a pergunta que muitos controladores ainda não respondem com precisão é: quais desses cookies precisam de consentimento? E quando o consentimento é necessário, como ele precisa ser obtido para ser válido?
A ANPD publicou, em outubro de 2022, o Guia Orientativo: Cookies e Proteção de Dados Pessoais — o documento de referência da autoridade brasileira sobre o tema. Desde então, o guia se mantém como base para avaliar a conformidade de práticas de cookies com a LGPD, com novas orientações planejadas para o biênio 2025-2026.
O que são cookies e por que a LGPD se aplica
Cookies são arquivos de texto armazenados no navegador do usuário que permitem a um site identificar e rastrear esse usuário ao longo do tempo. Quando um cookie armazena ou utiliza um identificador vinculável a uma pessoa natural identificada ou identificável, esse cookie realiza tratamento de dados pessoais e está sujeito à LGPD.
Isso inclui, por exemplo:
- Cookies que armazenam o endereço IP do usuário
- Cookies de sessão que identificam o usuário logado
- Cookies de rastreamento publicitário que criam perfis comportamentais
- Cookies de analytics que associam comportamento de navegação a identificadores únicos
Cookies que genuinamente não processam nenhum dado pessoal — por exemplo, cookies de preferência de idioma que não contêm identificadores únicos — ficam fora do escopo da LGPD.
A classificação dos cookies: necessários vs. não necessários
O Guia da ANPD distingue duas categorias funcionais que determinam o tratamento legal aplicável:
Cookies estritamente necessários
São os cookies indispensáveis para o funcionamento básico do site ou serviço solicitado pelo usuário. Exemplos:
- Cookie de sessão de autenticação (mantém o usuário logado)
- Cookie de carrinho de compras em e-commerce
- Cookie de preferência de cookie consent (salva a escolha do usuário no banner)
- Cookie de balanceamento de carga do servidor
Para esses cookies, não é necessário obter consentimento prévio — a base legal aplicável é a execução de contrato (Art. 7º, V da LGPD) ou, em alguns casos, o legítimo interesse do controlador. O usuário não pode desativá-los sem comprometer a funcionalidade do serviço que solicitou.
Cookies não estritamente necessários
Toda outra categoria de cookie que vai além da funcionalidade mínima do serviço exige base legal própria — e, na maioria dos casos, essa base legal é o consentimento (Art. 7º, I da LGPD). As categorias mais comuns:
| Categoria | Exemplos | Base legal habitual |
|---|---|---|
| Analytics e desempenho | Google Analytics, Hotjar, cookies de medição de audiência | Consentimento ou legítimo interesse (com avaliação) |
| Publicidade comportamental | Google Ads, Meta Pixel, cookies de remarketing | Consentimento (regra geral) |
| Funcionalidades opcionais | Chat ao vivo, mapas incorporados, personalização de conteúdo | Consentimento ou legítimo interesse |
| Redes sociais | Botões de compartilhamento, widgets de redes sociais | Consentimento |
O Guia da ANPD destaca que cookies de publicidade comportamental — que criam perfis de usuário para fins de segmentação — exigem consentimento livre, informado e inequívoco do titular, dado a natureza do tratamento e o potencial impacto sobre a privacidade.
Os requisitos de um consentimento de cookies válido
A LGPD (Art. 5º, XII e Art. 8º) e o Guia da ANPD impõem requisitos claros ao consentimento para cookies. O consentimento deve ser:
1. Livre
O usuário não pode ser compelido a aceitar cookies não necessários como condição para acessar o conteúdo ou serviço. Bloquear o acesso ao site até que o usuário aceite todos os cookies viola o requisito de liberdade do consentimento.
2. Informado
O usuário deve entender o que está autorizando: quais categorias de cookies serão ativadas, para quais finalidades, por quanto tempo e quem terá acesso. O banner deve ter linguagem clara e acessível — não apenas referência à "política de cookies" sem descrever o que ela contém.
3. Inequívoco (opt-in ativo)
O consentimento não pode ser presumido. Isso significa:
- Caixas pré-marcadas não configuram consentimento válido
- Continuar navegando no site não configura consentimento válido
- Clicar em "Fechar" ou "X" no banner não configura consentimento válido
O usuário precisa realizar uma ação afirmativa explícita — clicar em um botão, marcar uma caixa desmarcada, fazer uma escolha ativa.
4. Granular (por finalidade)
O consentimento deve ser coletado separadamente para cada finalidade ou categoria de cookies. O usuário deve poder consentir com cookies de analytics e recusar cookies publicitários. Um único botão "Aceitar todos" sem opção de granularidade é insuficiente.
5. Revogável
O usuário deve poder revogar o consentimento a qualquer momento, por procedimento igualmente simples ao de consentir. O site deve manter acessível um mecanismo de revisão das preferências de cookies — geralmente um link no rodapé ("Gerenciar preferências de cookies").
O que é expressamente proibido
O Guia da ANPD é claro sobre práticas que violam a LGPD no contexto de cookies:
Dark patterns: interfaces projetadas para induzir o usuário a consentir, como:
- Botão "Aceitar todos" destacado em verde e botão "Configurar" em cinza discreto
- Múltiplos cliques necessários para recusar, mas um único clique para aceitar
- Linguagem enganosa como "Clique em OK para melhorar sua experiência" (onde OK implica aceitar todos)
- Diálogos de "confirmação" que confundem aceitar com recusar
Cookies antes do consentimento: ativar cookies não necessários antes da interação do usuário com o banner — prática tecnicamente fácil mas juridicamente inválida.
Fingerprinting como alternativa ao cookie: técnicas de identificação de dispositivo que produzem o mesmo efeito de rastreamento sem usar cookies (user-agent, configurações de tela, fontes instaladas, plugins etc.) também são consideradas tratamento de dados pessoais e exigem as mesmas garantias.
Como estruturar um banner de cookies conforme a LGPD
Camada 1: Banner inicial (visível imediatamente)
Deve conter, no mínimo:
- Informação sobre o uso de cookies e suas finalidades principais
- Botão de aceitar (opt-in ativo)
- Botão de recusar cookies não necessários (igualmente visível e acessível)
- Link para mais informações (leva para a camada 2)
Camada 2: Centro de preferências (acessível pelo link "Configurações" ou "Saiba mais")
Deve conter:
- Listagem de cada categoria de cookies com descrição
- Toggle individual por categoria (com cookies necessários bloqueados/ativos sem toggle)
- Informação sobre os cookies específicos de cada categoria (nome, duração, finalidade, empresa responsável)
- Botão de salvar preferências
Camada 3: Política de cookies (documento completo)
Acessível a partir da camada 2:
- Lista completa de todos os cookies utilizados
- Informações detalhadas de cada cookie
- Como revogar o consentimento
- Contato do DPO
Registros: o ônus da prova recai sobre o controlador
O Art. 8º, §2º da LGPD estabelece que o ônus de demonstrar o consentimento válido é do controlador. Para cookies, isso significa manter registros de:
- Quando o consentimento foi dado (data e hora)
- Qual versão do banner estava ativa
- Quais escolhas foram feitas (aceitar tudo, recusar, personalizado)
- Para quais cookies/categorias o consentimento foi dado ou recusado
Esse registro é o que permite responder a uma reclamação de titular, a um questionamento da ANPD ou a uma investigação sobre a validade do consentimento.
Analytics: consentimento ou legítimo interesse?
Uma dúvida frequente é se cookies de analytics (como Google Analytics) podem ser justificados por legítimo interesse do controlador (Art. 7º, IX), dispensando o consentimento. O Guia da ANPD não proíbe essa interpretação, mas impõe o teste de balanceamento:
- O interesse do controlador (entender o comportamento no site, melhorar o serviço) é legítimo?
- O tratamento é necessário para esse interesse?
- Os direitos e expectativas razoáveis dos titulares são respeitados?
Para analytics anonimizados e sem repasse a terceiros, o legítimo interesse pode ser uma base sustentável. Para analytics com compartilhamento de dados com terceiros (como o Google) ou com funcionalidades de criação de perfil individual, o consentimento é a base mais segura — especialmente considerando que o GDPR europeu exige consentimento para essas hipóteses, e muitos provedores de analytics já adotaram esse padrão globalmente.
Próximas regulamentações: o que esperar da ANPD
O biênio 2025-2026 da Agenda Regulatória da ANPD inclui o aprofundamento do tema de cookies, com foco especial em:
- Medições de consentimento em plataformas digitais
- Verificação de idade em serviços restritos a maiores de 18 anos
- Rastreamento de crianças e adolescentes (área de alto risco conforme Resoluções CD/ANPD Nº 30 e 31/2025)
Organizações que operam sites voltados ao público brasileiro devem acompanhar essas publicações e ajustar suas práticas conforme as orientações forem emitidas.
Conclusão
A conformidade de cookies com a LGPD não é questão técnica apenas — é jurídica. O Guia da ANPD estabelece um padrão claro: cookies não necessários exigem consentimento livre, informado, inequívoco e granular. Dark patterns são proibidos. Registros são obrigatórios. E a responsabilidade de provar que o consentimento foi obtido validamente é do controlador, não do titular.
Um banner de cookies conforme a lei não é apenas um requisito regulatório — é um sinal de respeito à autonomia do usuário e um diferencial de confiança em um mercado onde a privacidade importa cada vez mais.
A Confidata centraliza o registro e a gestão de bases legais para todas as atividades de tratamento da sua organização, incluindo o rastreamento online baseado em cookies. Conheça como estruturamos o consentimento de forma auditável.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.