Cookie Policy Portugal (Política de Cookies)

A Política de Cookies é o documento empresarial celebrado em Portugal ao abrigo de Lei nº 41/2004 de 18 de agosto (Diretiva ePrivacy), artigo 5.º.

O artigo 5.º nº 3 da Lei nº 41/2004 impõe que o armazenamento de informação ou o acesso a informação já armazenada no equipamento terminal do assinante ou utilizador apenas sejam permitidos sob condição do consentimento prévio e informado. Estão dispensados de consentimento os cookies estritamente necessários à prestação do serviço expressamente solicitado pelo utilizador ou à transmissão de uma comunicação por rede de comunicações eletrónicas — tipicamente cookies de sessão, de autenticação, de equilíbrio de carga (load balancing), de proteção contra falsificação de pedidos (CSRF), de preferências funcionais do utilizador dentro da mesma visita, e de registo do próprio estado de consentimento do banner de cookies. A Comissão Nacional de Proteção de Dados (CNPD) reforçou, nas Orientações sobre Cookies de 2019 e no Parecer 02/2020, que o consentimento deve ser livre, específico, informado, inequívoco e manifestado por ação positiva — o scroll, a permanência no sítio ou as caixas pré-preenchidas não são considerados formas válidas de consentimento nos termos do artigo 4.º nº 11 do RGPD.

A Política de Cookies cumpre três funções jurídicas complementares. Primeiro, concretiza o dever de informação imposto pelo artigo 13.º do RGPD quando o tratamento envolve dados pessoais recolhidos diretamente do titular — identificando o responsável pelo tratamento, as finalidades, a base de licitude, as categorias de destinatários, as transferências internacionais, o período de conservação e os direitos do titular. Segundo, documenta a base técnica sobre a qual assenta o banner de consentimento, permitindo demonstrar, em caso de inspeção da CNPD ao abrigo do artigo 57.º do RGPD, a conformidade com o princípio da responsabilização (artigo 5.º nº 2 do RGPD). Terceiro, integra os termos contratuais entre operador e utilizador quando incorporada por referência nos Termos e Condições do sítio, reforçando a sua oponibilidade nos termos do artigo 405.º do Código Civil e do regime das cláusulas contratuais gerais do Decreto-Lei nº 446/85 de 25 de outubro.

Os cookies são classificados pela CNPD e pelas orientações do Comité Europeu para a Proteção de Dados (EDPB) em quatro categorias funcionais: cookies estritamente necessários, cookies de funcionalidade (preferências do utilizador, idioma, região), cookies analíticos ou de desempenho (métricas de audiência, monitorização de erros), e cookies de marketing ou publicidade comportamental (tracking cross-site, retargeting, medição de campanhas). Apenas a primeira categoria dispensa consentimento; as restantes exigem consentimento granular, igualmente fácil de recusar e de aceitar, e revogável a qualquer momento nos termos do artigo 7.º nº 3 do RGPD.

A violação das regras de consentimento e de informação sobre cookies acarreta sanções administrativas aplicáveis pela CNPD ao abrigo do artigo 83.º do RGPD, que fixa coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial total, consoante o que for mais elevado, para infrações relativas aos princípios do tratamento, aos direitos dos titulares e às condições de consentimento. Ao nível da Lei nº 41/2004, o artigo 14.º prevê contraordenações específicas entre 5 000 e 10 000 euros para pessoas singulares e entre 25 000 e 5 000 000 euros para pessoas coletivas. A Autoridade Nacional de Comunicações (ANACOM) mantém também competências fiscalizadoras sectoriais, em articulação com a CNPD. Em Portugal, várias empresas foram já sancionadas por coimas relativas a banners de cookies pré-preenchidos, falta de botão "rejeitar" no primeiro nível ou carregamento de scripts de terceiros antes do consentimento — padrões identificados pela CNPD como não conformes em 2022-2024. A forms-legal.com disponibiliza o presente modelo como base de conformidade adaptável ao sítio concreto, à natureza dos dados tratados e ao perfil de utilizadores do operador.

A Política de Cookies em Portugal é obrigatória sempre que um sítio Web, aplicação móvel ou qualquer outro serviço da sociedade da informação destinado ao mercado nacional armazene ou aceda a informação no equipamento terminal do utilizador, ainda que essa informação não seja qualificável como dado pessoal nos termos do artigo 4.º nº 1 do RGPD. A obrigação resulta diretamente do artigo 5.º nº 3 da Lei nº 41/2004 de 18 de agosto, diploma que transpôs a Diretiva 2002/58/CE (Diretiva ePrivacy) e que se aplica ao operador independentemente da escala do sítio, do volume de tráfego ou da natureza comercial ou institucional.

A política é exigível antes do lançamento de um sítio institucional de empresa com simples página de contacto, de uma loja de comércio eletrónico registada nos termos do Decreto-Lei nº 7/2004 de 7 de janeiro, de um portal informativo ou de notícias registado na Entidade Reguladora para a Comunicação Social (ERC) nos termos da Lei nº 2/99 (Lei de Imprensa), de uma plataforma SaaS que disponibilize serviço B2B, de uma aplicação móvel publicada nas lojas Apple App Store ou Google Play, e de qualquer landing page utilizada em campanhas de marketing digital. A exigência de Política de Cookies é autónoma face à Política de Privacidade — ainda que frequentemente integradas, cobrem perímetros distintos: a Política de Privacidade concretiza o artigo 13.º do RGPD quanto ao tratamento global de dados pessoais; a Política de Cookies concretiza o artigo 5.º da Lei nº 41/2004 quanto ao armazenamento e acesso a informação no dispositivo terminal.

A entrada em vigor do Regulamento (UE) 2016/679 (RGPD) em 25 de maio de 2018 elevou o padrão de validade do consentimento. O artigo 4.º nº 11 exige que o consentimento seja livre, específico, informado e inequívoco, manifestado por declaração ou ato positivo claro — exigência incompatível com práticas historicamente toleradas em Portugal como o scroll-as-consent, o banner puramente informativo ou as caixas de seleção pré-preenchidas. A CNPD, em orientações publicadas em 2019 e em inspeções realizadas desde então, sancionou operadores por carregamento prévio de cookies não essenciais antes da manifestação de vontade do utilizador. O banner de consentimento deve apresentar, ao mesmo nível de destaque, as opções "aceitar tudo", "rejeitar tudo" e "configurar" ou equivalente — padrão reforçado pelo Comité Europeu para a Proteção de Dados (EDPB) nas orientações sobre dark patterns de 2022.

A Política de Cookies é igualmente exigida quando o operador recorre a plataformas de gestão de consentimento (CMP) de terceiros, incluindo fornecedores certificados pelo IAB Europe sob o Transparency and Consent Framework (TCF). A utilização de CMP não dispensa a publicação autónoma da política — transfere apenas a componente técnica da gestão do registo do consentimento. A decisão do Autorité de la Concurrence francesa e do Belgian APD sobre o TCF v2.0 (2022), aplicável por coerência interpretativa a Portugal, sublinha que o consentimento registado via CMP deve corresponder a uma base de licitude válida e auditável, condição que deve refletir-se na política do operador.

Para sítios voltados ao público infanto-juvenil, o artigo 16.º nº 1 da Lei nº 58/2019 fixa em 13 anos a idade mínima para o consentimento direto do menor ao tratamento de dados pessoais no contexto dos serviços da sociedade da informação — abaixo dessa idade é exigido consentimento dos titulares das responsabilidades parentais. A Política de Cookies deve refletir esse limiar e o mecanismo de verificação etária. Para sítios com audiência internacional e que dirijam ofertas a titulares fora do Espaço Económico Europeu, o operador deve considerar a extensão territorial do RGPD prevista no artigo 3.º e as transferências internacionais reguladas pelos artigos 44.º a 50.º do Regulamento, matéria a que a política deve expressamente aludir quando usa, por exemplo, Google Analytics, Meta Pixel ou ferramentas norte-americanas abrangidas pelo Data Privacy Framework EU-US de 2023.

A Política de Cookies deve ser revista e reemitida sempre que haja alteração material ao conjunto de cookies utilizados, aos fornecedores de scripts de terceiros, às bases de licitude, aos períodos de conservação ou ao próprio mecanismo de consentimento. A regra de ouro adotada pela CNPD e por vários DPO portugueses é a revisão no mínimo anual, com datação visível da última versão.

A Política de Cookies em Portugal juridicamente conforme integra um conjunto de cláusulas e de elementos informativos indispensáveis à sua aceitação pela Comissão Nacional de Proteção de Dados (CNPD) e à sua oponibilidade aos utilizadores do sítio.

Identificação completa do responsável pelo tratamento nos termos do artigo 4.º nº 7 do RGPD — denominação social, NIPC atribuído pela Conservatória do Registo Comercial, sede estatutária, e, sempre que aplicável, contactos do Encarregado de Proteção de Dados designado ao abrigo do artigo 37.º do RGPD. Para operadores sedeados fora da União Europeia que dirijam ofertas ao mercado português, é obrigatória a nomeação de representante na União nos termos do artigo 27.º do RGPD, cuja identificação e contactos devem constar da política.

Enumeração taxativa e descritiva de cada cookie utilizado, organizada por categorias funcionais. Para cada cookie devem ser indicados: nome técnico, domínio emissor (primário ou de terceiro), finalidade específica, período máximo de conservação (artigo 13.º nº 2 alínea a) do RGPD), e base de licitude — consentimento do utilizador (artigo 6.º nº 1 alínea a) do RGPD) para cookies não essenciais, execução do contrato ou interesse legítimo devidamente ponderado para cookies estritamente necessários isentos de consentimento nos termos do artigo 5.º nº 3 in fine da Lei nº 41/2004. A CNPD recomenda a apresentação desta informação em tabela pesquisável, com atualização ao momento da inspeção, e com distinção clara entre cookies próprios (first-party) e cookies de terceiros (third-party).

Descrição do mecanismo de consentimento implementado. A política deve explicar, em linguagem acessível, que o banner apresenta ao utilizador, no primeiro acesso, a opção de aceitar todos os cookies, rejeitar todos os cookies não essenciais ou configurar por categoria. O botão "rejeitar" deve estar disponível no primeiro nível do banner e com destaque visual equivalente ao botão "aceitar", em cumprimento das orientações da CNPD de 2019 e das orientações EDPB 03/2022 sobre dark patterns. A política deve igualmente indicar o procedimento de revogação do consentimento a qualquer momento, nos termos do artigo 7.º nº 3 do RGPD, tipicamente através de link permanente no rodapé do sítio ou através de preferências acessíveis via ícone flutuante de cookies.

Identificação dos fornecedores terceiros cujos scripts são carregados no sítio, com hiperligação para as respetivas políticas de privacidade. Para operadores que recorrem a Google Analytics (Google Ireland Limited), Meta Pixel (Meta Platforms Ireland Limited), LinkedIn Insight Tag (LinkedIn Ireland Unlimited Company), HubSpot, Hotjar, Matomo self-hosted ou outras ferramentas, a política deve ainda descrever o mecanismo de anonimização de IP, agregação de dados e, quando aplicável, as transferências internacionais abrangidas pelo Data Privacy Framework EU-US (2023) ou por cláusulas contratuais-tipo aprovadas pela Comissão Europeia ao abrigo do artigo 46.º nº 2 alínea c) do RGPD.

Enumeração dos direitos do titular dos dados nos termos dos artigos 15.º a 22.º do RGPD — acesso, retificação, apagamento, limitação do tratamento, portabilidade, oposição e não sujeição a decisões individuais automatizadas. A política deve indicar os canais de exercício, o prazo máximo de resposta de um mês (artigo 12.º nº 3 do RGPD), e o direito de apresentação de reclamação junto da CNPD, com sede na Av. D. Carlos I, 134 — 1.º, 1200-651 Lisboa, nos termos do artigo 77.º do RGPD. Para titulares residentes noutros Estados-Membros, a política pode referir a autoridade de controlo do respetivo país enquanto balcão único (one-stop-shop) alternativo.

Informação sobre períodos de conservação diferenciados por categoria. A CNPD e o EDPB recomendam que cookies analíticos não persistam por mais de 13 meses, prazo também adotado pela autoridade francesa CNIL como benchmark europeu. Cookies de marketing devem ter prazos proporcionais à finalidade declarada, com renovação expressa do consentimento no termo. A política deve ainda indicar o procedimento de revisão periódica e a data da última atualização visível no cabeçalho do documento, para permitir ao utilizador identificar eventuais alterações materiais.

Instruções técnicas de bloqueio e remoção de cookies pelo próprio utilizador através das definições do navegador (Chrome, Firefox, Safari, Edge, Opera), com hiperligações para as respetivas páginas de ajuda oficiais. A política deve alertar para o facto de que o bloqueio de cookies estritamente necessários pode inviabilizar funcionalidades essenciais do sítio — autenticação, carrinho de compras, gestão de sessão.

Clausulado de contraordenação e sanção aplicável em caso de incumprimento do operador — referência expressa às competências fiscalizadoras da CNPD e da ANACOM, às coimas previstas no artigo 83.º do RGPD (até 20 milhões de euros ou 4% do volume de negócios anual mundial) e no artigo 14.º da Lei nº 41/2004 (coimas específicas entre 5 000 e 5 000 000 euros). Esta referência reforça, internamente, a seriedade do compromisso e, externamente, a transparência perante o titular.

A forms-legal.com disponibiliza este modelo de Política de Cookies em Portugal como base adaptável, sendo recomendável revisão por advogado inscrito na Ordem dos Advogados ou por Encarregado de Proteção de Dados certificado, em particular quando o sítio processe categorias especiais de dados (artigo 9.º do RGPD) ou utilize ferramentas de publicidade comportamental de larga escala. Documentos relacionados no catálogo: Termos e Condições Website (enquadramento contratual geral do sítio) e Pedido de Acesso a Dados Pessoais RGPD (instrumento de exercício de direitos pelo titular).

O preenchimento da Política de Cookies em Portugal deve seguir uma sequência técnica que articula levantamento tecnológico, qualificação jurídica e redação informativa. A política não pode ser elaborada antes da auditoria efetiva aos cookies carregados pelo sítio — erro frequente que gera incongruência entre o documento publicado e a realidade operacional, com risco imediato de coima da CNPD em caso de inspeção.

Primeiro passo: auditoria técnica de cookies. Recorra a ferramentas como CookieServe, Cookiebot Scanner, Complianz Cookie Scan, OneTrust Cookie Compliance ou inspeção manual pelo DevTools do navegador. Registe todos os cookies emitidos nas sessões típicas — entrada anónima, login de utilizador registado, checkout completo, subscrição de newsletter. Para cada cookie capture: nome técnico, domínio, categoria funcional, validade, finalidade operacional e fornecedor terceiro quando aplicável.

Segundo passo: qualificação jurídica. Classifique cada cookie numa de quatro categorias — estritamente necessário, funcional, analítico ou marketing. Os cookies estritamente necessários dispensam consentimento nos termos do artigo 5.º nº 3 in fine da Lei nº 41/2004. Os restantes exigem consentimento prévio nos termos do artigo 4.º nº 11 do RGPD. Em caso de dúvida sobre a qualificação, incline-se para a categoria mais restritiva e exija consentimento — posição preventiva recomendada pela CNPD.

Terceiro passo: identificação rigorosa do responsável pelo tratamento. Indique denominação social registada na Conservatória do Registo Comercial, NIPC emitido pela AT, sede estatutária e representante legal com poderes de vinculação. Confirme estes dados na certidão permanente acessível em www.empresaonline.pt. Sempre que o operador se qualifique como entidade obrigada à designação de Encarregado de Proteção de Dados (EPD) nos termos do artigo 37.º do RGPD — autoridades públicas, tratamento em larga escala de categorias especiais, monitorização sistemática de larga escala — indique os contactos do EPD.

Quarto passo: configuração do banner de consentimento. Desenhe o banner com três opções de primeiro nível: "aceitar tudo", "rejeitar tudo", e "personalizar". Os dois primeiros botões devem ter o mesmo destaque visual, em cumprimento das orientações EDPB 03/2022 sobre dark patterns. A opção "personalizar" abre painel granular por categoria, com interruptores individuais pré-desativados para cookies não essenciais. Nenhum cookie não essencial deve ser carregado antes da manifestação positiva de vontade do utilizador. Registe a prova do consentimento em base de dados auditável com carimbo temporal, IP truncado e versão do banner aceite.

Quinto passo: descrição dos fornecedores terceiros. Para cada fornecedor externo (Google, Meta, LinkedIn, HubSpot, Hotjar, Matomo) identifique a entidade jurídica contratante, jurisdição, finalidade e hiperligação para a respetiva política. Avalie se a utilização configura responsabilidade conjunta nos termos do artigo 26.º do RGPD (caso do Meta Pixel) ou subcontratação nos termos do artigo 28.º, e refira o regime aplicável na política. Identifique transferências internacionais e a base de licitude nos termos dos artigos 44.º e seguintes do RGPD — habitualmente Data Privacy Framework EU-US para fornecedores norte-americanos certificados ou cláusulas contratuais-tipo.

Sexto passo: prazos de conservação. Fixe o prazo máximo por categoria e por cookie individual. A CNIL francesa, referida pela CNPD como benchmark, recomenda 13 meses para cookies analíticos; para marketing, o prazo não deve exceder 24 meses sem renovação do consentimento. Para cookies estritamente necessários, o prazo deve coincidir com a duração da sessão ou a persistência mínima necessária à funcionalidade.

Sétimo passo: informação sobre direitos do titular. Inclua cláusula dedicada aos direitos dos artigos 15.º a 22.º do RGPD, com indicação do canal de exercício, do prazo de resposta de um mês (artigo 12.º nº 3 do RGPD) e do direito de reclamação junto da CNPD (Av. D. Carlos I, 134 — 1.º, 1200-651 Lisboa, www.cnpd.pt), nos termos do artigo 77.º do RGPD.

Oitavo passo: instruções de bloqueio pelo utilizador. Inclua secção final com hiperligações para as páginas oficiais de gestão de cookies dos principais navegadores (Chrome, Firefox, Safari, Edge, Opera) e avise que o bloqueio de cookies essenciais pode afetar funcionalidades do sítio.

Nono passo: datação e versionamento. Insira a data da primeira publicação e a data da última atualização, ambas visíveis no cabeçalho. Mantenha histórico de versões em arquivo auditável — a CNPD pode solicitar cópia da política vigente em datas anteriores no âmbito de inspeção. Publique a política em página dedicada e acessível a partir do rodapé de todas as páginas do sítio.

Décimo passo: validação final. Antes da publicação, execute auditoria cruzada entre banner técnico, política publicada e realidade de carregamento de scripts. Confirme que nenhum cookie não essencial carrega antes do consentimento, que a revogação do consentimento remove efetivamente os cookies, e que a tabela de cookies coincide com os cookies efetivamente emitidos. Documente o processo num relatório de conformidade arquivado para demonstrar o princípio da responsabilização do artigo 5.º nº 2 do RGPD.

Os requisitos legais da Política de Cookies em Portugal resultam da articulação entre a Lei nº 41/2004 de 18 de agosto (transposição da Diretiva ePrivacy), o Regulamento (UE) 2016/679 (RGPD) e a Lei nº 58/2019 de 8 de agosto, sob a autoridade fiscalizadora da Comissão Nacional de Proteção de Dados (CNPD) e, em matéria de comunicações eletrónicas, da Autoridade Nacional de Comunicações (ANACOM).

Consentimento válido. O artigo 5.º nº 3 da Lei nº 41/2004 condiciona o armazenamento e acesso a informação no equipamento terminal do utilizador ao consentimento prévio, que deve respeitar os requisitos do artigo 4.º nº 11 e do artigo 7.º do RGPD — livre, específico, informado, inequívoco, manifestado por ato positivo claro e revogável a qualquer momento sem penalização. O ónus da prova do consentimento recai sobre o responsável pelo tratamento nos termos do artigo 7.º nº 1 do RGPD, o que impõe a conservação de registos auditáveis com carimbo temporal, identificador anónimo do utilizador e versão do banner aceite.

Informação prévia. O artigo 13.º do RGPD impõe ao responsável pelo tratamento a prestação, aquando da recolha, de informação sobre: identidade e contactos do responsável e do EPD, finalidades e base jurídica do tratamento, destinatários e categorias de destinatários, transferências internacionais e garantias aplicáveis, período de conservação, direitos do titular, direito de reclamação junto da CNPD, e existência de decisões automatizadas incluindo perfilagem. A Política de Cookies concretiza esta obrigação em relação à utilização de tecnologias de armazenamento no dispositivo do utilizador.

Cookies isentos. O artigo 5.º nº 3 in fine da Lei nº 41/2004 isenta de consentimento os cookies estritamente necessários à prestação do serviço solicitado pelo utilizador ou à transmissão de comunicação por rede. O Parecer 04/2012 do Grupo de Trabalho do Artigo 29.º (sucedido pelo EDPB) e orientações posteriores do EDPB identificam como isentos: cookies de autenticação, cookies de sessão do carrinho de compras, cookies de equilíbrio de carga, cookies de preferências de idioma durante a sessão, cookies de segurança CSRF e cookies de registo do próprio estado de consentimento.

Categorias especiais e menores. O tratamento de categorias especiais de dados (artigo 9.º do RGPD) via cookies — por exemplo, inferências de saúde, orientação sexual ou opiniões políticas via publicidade comportamental — exige consentimento explícito reforçado nos termos do artigo 9.º nº 2 alínea a) do RGPD. O artigo 16.º da Lei nº 58/2019 fixa em 13 anos a idade mínima para o consentimento direto do menor no contexto de serviços da sociedade da informação, abaixo da qual é exigido consentimento do titular das responsabilidades parentais.

Princípio da responsabilização. O artigo 5.º nº 2 do RGPD impõe ao responsável pelo tratamento o ónus de demonstrar o cumprimento dos princípios do tratamento (artigo 5.º nº 1). A Política de Cookies é peça essencial desta demonstração, acompanhada de registo de atividades de tratamento (artigo 30.º do RGPD), avaliação de impacto sobre proteção de dados (artigo 35.º, para tratamentos de risco elevado), e medidas de proteção de dados desde a conceção e por defeito (artigo 25.º).

Corresponsabilidade e subcontratação. A utilização de scripts de terceiros que recolham dados pessoais pode configurar corresponsabilidade nos termos do artigo 26.º do RGPD (caso do Facebook Pixel, confirmado pelo Acórdão TJUE C-40/17 Fashion ID) ou subcontratação nos termos do artigo 28.º, consoante a estrutura da relação. Em qualquer caso, deve ser celebrado acordo escrito identificando funções, responsabilidades e pontos de contacto para exercício de direitos.

Transferências internacionais. Os artigos 44.º a 50.º do RGPD regulam transferências para fora do Espaço Económico Europeu. Desde o Acórdão TJUE C-311/18 (Schrems II, 2020) e a decisão de adequação para o Data Privacy Framework EU-US em julho de 2023, as transferências para fornecedores norte-americanos certificados são admissíveis ao abrigo do artigo 45.º do RGPD; para os não certificados, exigem-se cláusulas contratuais-tipo da Comissão Europeia (Decisão 2021/914) complementadas por avaliação de impacto da transferência (TIA).

Sanções. O artigo 83.º nº 5 do RGPD estabelece coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial total, o que for mais elevado, para violações das condições de consentimento, dos direitos dos titulares e dos princípios do tratamento. O artigo 14.º da Lei nº 41/2004 prevê coimas específicas adicionais entre 25 000 e 5 000 000 euros para pessoas coletivas em caso de incumprimento das regras ePrivacy. A Lei nº 58/2019 regula, no artigo 37.º e seguintes, o procedimento contraordenacional nacional.

Direitos dos titulares. Os artigos 15.º a 22.º do RGPD garantem acesso, retificação, apagamento ("direito a ser esquecido"), limitação, portabilidade, oposição e não sujeição a decisões automatizadas. O prazo de resposta é de um mês, prorrogável por mais dois meses em casos complexos, com fundamentação escrita (artigo 12.º nº 3 do RGPD). O exercício é gratuito, salvo pedidos manifestamente infundados ou excessivos (artigo 12.º nº 5).

Os erros mais frequentes na Política de Cookies em Portugal conduzem a processos contraordenacionais da CNPD, a coimas significativas e a danos reputacionais. A maioria das falhas resulta de cópia de modelos estrangeiros sem adaptação ao regime nacional.

Banner meramente informativo ("cookie wall" passivo). A prática histórica de exibir uma barra com a mensagem "este sítio usa cookies" e botão "OK" não constitui consentimento válido nos termos do artigo 4.º nº 11 do RGPD. A CNPD sancionou operadores por esta prática desde 2019. A solução consiste em implementar banner com opções de primeiro nível "aceitar", "rejeitar" e "configurar", bloqueando o carregamento de cookies não essenciais até à manifestação positiva de vontade.

Botão "rejeitar" escondido ou inexistente. A obrigação de facilitar equivalentemente a recusa e a aceitação, reforçada pelas orientações EDPB 03/2022 sobre dark patterns, é sistematicamente violada por sítios portugueses que exibem apenas "aceitar" e "configurar", obrigando o utilizador a navegar múltiplos ecrãs para recusar. Esta arquitetura foi sancionada pela autoridade francesa CNIL em 2022 (Google, Facebook) e serve de benchmark para a CNPD.

Carregamento prévio de cookies não essenciais. A violação mais comum detetada por scanners é o disparo imediato de Google Analytics, Meta Pixel ou outras etiquetas no primeiro carregamento da página, antes de o utilizador interagir com o banner. Esta prática viola diretamente o artigo 5.º nº 3 da Lei nº 41/2004 e acarreta coima nos termos do artigo 14.º do mesmo diploma.

Omissão dos fornecedores terceiros. Políticas que descrevem genericamente "cookies de análise" sem identificar Google Ireland Limited, Meta Platforms Ireland Limited ou outros fornecedores concretos não cumprem o dever de informação do artigo 13.º do RGPD. A identificação nominal, com jurisdição e hiperligação para a política do fornecedor, é obrigatória. Complementarmente, deve ser identificado se a relação configura corresponsabilidade (artigo 26.º) ou subcontratação (artigo 28.º).

Ausência de prazo de conservação por cookie. A indicação genérica "os cookies são conservados o tempo necessário" é insuficiente face ao artigo 13.º nº 2 alínea a) do RGPD, que impõe a indicação do prazo ou, na sua impossibilidade, dos critérios utilizados para determinar esse prazo. A tabela de cookies deve indicar prazo específico por cookie individual.

Confusão com a Política de Privacidade. Muitos operadores fundem os dois documentos ou substituem um pelo outro. A Política de Cookies concretiza o regime específico do artigo 5.º da Lei nº 41/2004; a Política de Privacidade concretiza o regime global do artigo 13.º do RGPD. Ambos são obrigatórios e devem coexistir, preferencialmente com referência cruzada e acesso direto a partir do rodapé do sítio.

Falta de registo auditável do consentimento. O artigo 7.º nº 1 do RGPD impõe ao responsável o ónus da prova do consentimento. A ausência de base de dados com carimbo temporal, identificador anónimo do utilizador e versão do banner aceite impede a demonstração em caso de inspeção CNPD e acarreta coima automática pela violação do princípio da responsabilização do artigo 5.º nº 2 do RGPD.

Omissão de transferências internacionais e das respetivas garantias. A utilização de Google Analytics 4, Meta Pixel ou ferramentas norte-americanas implica transferência para fora do Espaço Económico Europeu. A política deve indicar a base legal (Data Privacy Framework EU-US ou cláusulas contratuais-tipo) e a eventual avaliação de impacto da transferência, nos termos dos artigos 44.º a 50.º do RGPD.