Política de Cookies Brasil (LGPD)

A Política de Cookies (LGPD) é o documento empresarial firmado no Brasil com base na LGPD Art. 7º + Marco Civil Internet Lei 12.965/2014.

A LGPD define dados pessoais como qualquer informação relacionada a pessoa natural identificada ou identificável (Art. 5º, inciso I). Cookies que coletam endereços IP, identificadores de dispositivo, dados de navegação e preferências do usuário são considerados dados pessoais sujeitos à LGPD quando permitem identificar ou tornar identificável o titular. A ANPD — Autoridade Nacional de Proteção de Dados, criada pelo Decreto 10.474/2020 como autarquia de natureza especial vinculada à Presidência da República — confirmou em seus materiais orientativos que cookies de rastreamento e tecnologias similares (pixels, web beacons, fingerprinting de dispositivos) estão no escopo da LGPD quando envolvem dados pessoais. O descumprimento das obrigações de consentimento para cookies pode resultar nas sanções do Art. 52 da LGPD, incluindo multa de até R$ 50 milhões por infração.

Além da LGPD, o Marco Civil da Internet (Lei 12.965 de 23 de abril de 2014) estabelece princípios e garantias para o uso da internet no Brasil, incluindo a proteção dos dados pessoais na forma da lei (Art. 3º, inciso III) e a preservação da privacidade (Art. 3º, inciso II). O Decreto 8.771/2016, que regulamenta o Marco Civil, estabelece requisitos técnicos mínimos para coleta, retenção, armazenamento e tratamento de dados de registro de conexão e acesso a aplicações de internet. O Art. 15 do Marco Civil exige que os provedores de aplicações de internet — como plataformas de e-commerce, redes sociais, portais de notícias e aplicativos — mantenham registros de acesso de seus usuários por prazo mínimo de 6 meses, sob sigilo, em ambiente controlado e de segurança.

No âmbito internacional, a Política de Cookies brasileira equivale funcionalmente à Cookie Policy exigida pelo Art. 13 do GDPR (Regulamento UE 2016/679) e pela Diretiva ePrivacy (2002/58/CE), embora a LGPD não contenha dispositivo específico para cookies — aplicando-se as regras gerais sobre consentimento (Art. 7º, inciso I), legítimo interesse (Art. 10), e direitos dos titulares (Art. 18). O Comitê Europeu para Proteção de Dados (EDPB) publicou as Guidelines 05/2020 on Consent que, embora dirigidas ao GDPR, servem de referência para as melhores práticas de Consent Management Platform (CMP) no Brasil. Sítios com audiência europeia devem cumprir simultaneamente a LGPD e o GDPR.

O forms-legal.com disponibiliza este modelo de Política de Cookies como instrumento de conformidade com a LGPD e o Marco Civil da Internet no Brasil. A política deve ser vinculada ao banner ou widget de consentimento de cookies (CMP) do sítio eletrônico e atualizada sempre que houver mudança nos cookies utilizados ou na regulamentação da ANPD.

A Política de Cookies no Brasil é necessária para todo operador de sítio eletrônico, aplicativo móvel ou plataforma digital que utilize cookies ou tecnologias similares de rastreamento que envolvam coleta de dados pessoais dos usuários. As situações que exigem Política de Cookies incluem as seguintes.

Uso de cookies de rastreamento e análise: Qualquer sítio eletrônico que utilize ferramentas de analytics — como Google Analytics (Universal Analytics ou GA4), Adobe Analytics, Matomo, Hotjar, Microsoft Clarity — que coletam dados de navegação, endereço IP, identificadores de usuário, e comportamento de clique, está tratando dados pessoais e deve ter Política de Cookies e mecanismo de consentimento conforme o Art. 7º, inciso I, da LGPD.

Publicidade direcionada e marketing digital: Sítios eletrônicos que veiculam publicidade baseada em comportamento (behavioural advertising) por meio de cookies de terceiros — como Meta Pixel (Facebook Pixel), Google Ads Conversion Tracking, LinkedIn Insight Tag, TikTok Pixel — devem obter consentimento específico dos usuários para esses cookies. O consentimento deve ser opt-in ativo, não opt-out implícito, conforme os princípios do Art. 7º, inciso I, da LGPD e do Art. 8º, que determina que o ônus da prova do consentimento é do controlador.

E-commerce e plataformas transacionais: Lojas virtuais e plataformas de e-commerce que utilizam cookies de sessão, carrinhos de compra persistentes, personalização de experiência do usuário, e programas de recomendação de produtos precisam de Política de Cookies para informar quais dados são coletados e com que finalidade, conforme a obrigação de transparência do Art. 9º da LGPD e os direitos dos consumidores previstos no Código de Defesa do Consumidor (Lei 8.078/1990).

Aplicativos móveis com SDK de terceiros: Aplicativos móveis (iOS e Android) que integram SDKs de terceiros para analytics (Firebase, Amplitude, Mixpanel), advertising (Meta Audience Network, Google AdMob), ou crash reporting (Crashlytics, Sentry) realizam tratamento de dados pessoais equiparado ao dos cookies, exigindo política equivalente na Política de Privacidade do aplicativo, conforme o Art. 9º da LGPD.

Adequação à LGPD e due diligence: Empresas que estão passando por processo de adequação à LGPD — seja por iniciativa própria, exigência de auditoria da ANPD, due diligence de investimento (M&A), ou requerimento de parceiro comercial europeu (GDPR) — precisam da Política de Cookies como parte do pacote de documentos de conformidade, ao lado da Política de Privacidade, DPA (Art. 39 da LGPD), e Registro de Atividades de Tratamento (Art. 37 da LGPD).

A Política de Cookies no Brasil, em conformidade com a LGPD e o Marco Civil da Internet, deve contemplar os elementos essenciais a seguir para atender às obrigações de transparência e consentimento informado.

Identificação do Controlador: Razão social, CNPJ, endereço e dados de contato do Encarregado (DPO) do operador do sítio eletrônico, com link para a Política de Privacidade completa e canais de atendimento ao titular conforme o Art. 9º da LGPD. O DPO, indicado nos termos do Art. 41 da LGPD, é o ponto de contato para solicitações dos titulares relativas a cookies.

O Que São Cookies: Explicação clara e acessível sobre o que são cookies (pequenos arquivos de texto armazenados pelo navegador no dispositivo do usuário), como funcionam, e quais tipos existem — cookies de sessão (temporários, eliminados ao fechar o navegador) vs. cookies persistentes (mantidos pelo prazo definido); cookies próprios (first-party, definidos pelo domínio do sítio) vs. cookies de terceiros (third-party, definidos por domínios externos como Google, Meta, LinkedIn).

Categorias de Cookies Utilizados: Tabela detalhada com todas as categorias de cookies e tecnologias de rastreamento utilizados no sítio eletrônico: — Cookies Estritamente Necessários: essenciais para o funcionamento do sítio (autenticação — token de sessão, proteção contra CSRF, carrinho de compras, preferências de idioma). Base legal: legítimo interesse do controlador (Art. 7º, IX, e Art. 10 da LGPD) ou execução de contrato (Art. 7º, V) — não exigem consentimento prévio; — Cookies de Desempenho e Análise (Analytics): medem o desempenho do sítio, número de visitas, páginas mais acessadas, tempo de permanência, origem do tráfego (Google Analytics GA4, Adobe Analytics, Hotjar, Microsoft Clarity). Base legal: consentimento do titular (Art. 7º, inciso I, da LGPD); — Cookies de Funcionalidade: personalização da experiência do usuário (preferências de interface, histórico de navegação, recomendações de conteúdo). Base legal: consentimento (Art. 7º, I) ou legítimo interesse justificado (Art. 10); — Cookies de Marketing e Publicidade: rastreamento de comportamento para veiculação de publicidade personalizada e retargeting (Meta Pixel, Google Ads Conversion Tracking, LinkedIn Insight Tag, TikTok Pixel). Base legal: consentimento específico e inequívoco do titular (Art. 7º, inciso I, da LGPD) — requer opt-in ativo.

Duração e Operadores de Cookies: Para cada cookie relevante, a Política deve indicar o nome técnico do cookie, o operador (first-party ou nome do terceiro — ex.: Google LLC, Meta Platforms Inc.), a finalidade específica, e o prazo de expiração (dias ou meses). Essa transparência é exigida pelo Art. 9º, inciso II, da LGPD (forma e duração do tratamento).

Base Legal de Cada Categoria: Identificação clara da base legal da LGPD aplicável a cada categoria — consentimento (Art. 7º, I), execução de contrato (Art. 7º, V), legítimo interesse (Art. 7º, IX e Art. 10), ou cumprimento de obrigação legal (Art. 7º, II). Para dados sensíveis eventualmente coletados via cookies, aplica-se o Art. 11 da LGPD, que exige consentimento específico e destacado.

Direitos do Titular e Controle de Cookies: Informações sobre como o usuário pode gerenciar suas preferências via CMP (painel de consentimento), configurações do navegador (Chrome, Firefox, Safari, Edge), e ferramentas de opt-out de terceiros (Google Analytics Opt-out, Meta Ad Preferences, NAI opt-out). A recusa de cookies não essenciais não afeta o acesso às funcionalidades básicas do sítio — princípio de não-vinculação do consentimento a serviços.

Transferência Internacional: Quando cookies de terceiros transferem dados para o exterior — ex.: Google LLC (Mountain View, EUA), Meta Platforms Inc. (Menlo Park, EUA), Microsoft Corporation (Redmond, EUA) — indicar o país de destino e as salvaguardas adotadas conforme o Art. 33 da LGPD. O forms-legal.com disponibiliza este modelo como referência inicial para a Política de Cookies.

Para elaborar a Política de Cookies conforme a LGPD e o Marco Civil da Internet, siga os passos abaixo.

Passo 1 — Faça um inventário de cookies (cookie audit): antes de redigir a política, utilize uma ferramenta de escaneamento de cookies (como Cookiebot da Usercentrics, OneTrust Cookie Consent, ou Google Chrome DevTools — aba Application/Cookies) para identificar todos os cookies efetivamente utilizados no sítio eletrônico — incluindo cookies de terceiros inseridos por SDKs ou scripts externos como Google Tag Manager, Meta Pixel e LinkedIn.

Passo 2 — Categorize cada cookie: classifique cada cookie identificado em uma das categorias (estritamente necessário, analytics, funcionalidade, marketing) e identifique o operador (próprio ou terceiro — nome da empresa), a finalidade específica, e o prazo de expiração em dias ou meses. Essa categorização é a base para definir a base legal de cada tratamento nos termos dos Arts. 7º e 10 da LGPD.

Passo 3 — Determine a base legal: para cada categoria de cookie, determine a base legal da LGPD aplicável. Cookies estritamente necessários são fundamentados em legítimo interesse (Art. 7º, IX e Art. 10 da LGPD) ou execução de contrato (Art. 7º, V); cookies de analytics, funcionalidade e marketing exigem consentimento do titular (Art. 7º, I) obtido de forma ativa (opt-in).

Passo 4 — Implemente o CMP (Consent Management Platform): a Política de Cookies deve ser acompanhada de banner ou widget de consentimento que: (a) apareça no primeiro acesso do usuário ao sítio; (b) descreva as categorias de cookies; (c) ofereça botões granulares de aceitar/recusar por categoria; (d) registre o consentimento com timestamp, versão da política e identificador do dispositivo, cumprindo o Art. 8º, §2º da LGPD (ônus da prova do consentimento é do controlador).

Passo 5 — Preencha os campos do modelo: insira o nome do sítio eletrônico (URL), razão social e CNPJ do controlador, dados de contato do DPO (Encarregado — Art. 41 da LGPD), lista de cookies por categoria com nome técnico, operador, finalidade e duração, e informações sobre transferência internacional de dados para países como EUA (Google, Meta, Microsoft).

Passo 6 — Publique e vincule ao CMP: publique a Política de Cookies em URL dedicada (ex.: seusite.com.br/politica-de-cookies) e vincule-a ao banner de consentimento. Atualize a política sempre que adicionar ou remover cookies — a data de última atualização e a versão do documento devem constar no topo.

A Política de Cookies no Brasil deve cumprir os seguintes requisitos legais para estar em conformidade com a LGPD e o Marco Civil da Internet.

LGPD Art. 7º — Bases Legais para Tratamento via Cookies: O tratamento de dados pessoais por meio de cookies exige base legal válida. Cookies que coletam dados pessoais com fins de marketing e rastreamento exigem consentimento livre, informado, inequívoco e específico (Art. 7º, inciso I, da LGPD). O consentimento deve ser obtido de forma ativa (opt-in) — não basta pré-selecionar as categorias de cookies ou informar que 'ao continuar navegando você aceita nossos cookies' (opt-out implícito não é válido como consentimento sob a LGPD).

LGPD Art. 9º — Informações Obrigatórias: Antes do consentimento, o titular deve ser informado de forma clara sobre a finalidade específica do tratamento, a forma e duração do tratamento (Art. 9º, inciso II), a identidade do controlador (Art. 9º, inciso III), e as informações de contato do DPO (Art. 9º, inciso IV). A Política de Cookies deve conter todas essas informações de forma acessível e em linguagem clara.

LGPD Art. 18 — Direitos do Titular: O usuário tem direito de revogar o consentimento para cookies a qualquer momento, de forma gratuita e facilitada (Art. 18, inciso IX, da LGPD). A Política de Cookies deve informar como exercer esse direito — via CMP, configurações do navegador, ou canal de atendimento ao titular.

Marco Civil da Internet Art. 7º — Direitos do Usuário: A Lei 12.965/2014 garante ao usuário a não-violação da intimidade e da vida privada, o não fornecimento de dados pessoais a terceiros sem consentimento expresso, e o acesso às informações claras sobre coleta, uso, armazenamento, tratamento e proteção de dados pessoais. A Política de Cookies deve atender a esses direitos.

Decreto 8.771/2016 Art. 11 — Dados de Registro: Provedores de aplicações devem reter dados de acesso pelo prazo mínimo de 6 meses, em ambiente controlado e de segurança, com indicação do terminal que gerou a solicitação, do momento do acesso, e da duração da sessão. A Política de Cookies deve mencionar esse requisito quando aplicável.

Os erros mais frequentes na elaboração da Política de Cookies no Brasil são:

Usar banner de cookies com opt-out implícito: O erro mais comum é implementar banners de cookies com mensagem 'Ao continuar navegando, você aceita nossos cookies' — sem oferecer ao usuário a opção real de recusar cookies não essenciais. Sob a LGPD, o consentimento para cookies de marketing e rastreamento deve ser opt-in (ativo), não opt-out implícito. Banners com esse formato não atendem ao Art. 7º, inciso I, da LGPD e podem ser considerados coleta de dados sem base legal válida.

Não distinguir cookies por categoria e base legal: Políticas de Cookies que listam 'utilizamos cookies para melhorar sua experiência' sem distinguir cookies necessários (não exigem consentimento) de cookies de analytics (exigem consentimento) e de marketing (exigem consentimento específico) são insuficientes para cumprir os requisitos de transparência do Art. 9º da LGPD e os princípios de finalidade (Art. 6º, inciso I) e minimização (Art. 6º, inciso III).

Não atualizar a política após mudanças nos cookies utilizados: A adição de novos scripts de terceiros (novo pixel de marketing, nova ferramenta de analytics, novo sistema de chat), a atualização de SDKs, ou a mudança nas finalidades dos cookies existentes exige atualização imediata da Política de Cookies e notificação aos usuários que já consentiram (para obtenção de novo consentimento para as novas finalidades). Políticas desatualizadas são evidência de ausência de governança de cookies perante a ANPD.

Não mencionar cookies de terceiros: Muitas Políticas de Cookies mencionam apenas os cookies próprios (first-party) e omitem os cookies inseridos por scripts de terceiros (pixels de redes sociais, ferramentas de analytics de terceiros, SDKs de advertising). O Art. 9º da LGPD exige que o titular seja informado sobre todos os tratamentos realizados com seus dados — incluindo os realizados por terceiros via cookies instalados pelo sítio do controlador.

Não oferecer granularidade no consentimento: Banners de cookies que oferecem apenas 'aceitar tudo' ou 'recusar tudo', sem permitir ao usuário escolher individualmente quais categorias de cookies aceita, não atendem ao requisito de consentimento específico e informado da LGPD. O usuário deve poder aceitar cookies de analytics mas recusar cookies de marketing, por exemplo.