Gerar Política de Cookies
POLÍTICA DE COOKIES
A Política de Cookies deve indicar quem controla o site/aplicativo e gerencia os cookies, esclarecendo a responsabilidade pelo tratamento de dados nos termos da LGPD (Lei nº 13.709/2018).
Explica o que são cookies (pequenos arquivos armazenados no dispositivo) e menciona outras tecnologias de rastreamento, quando aplicável.
Indica por que os cookies são usados: funcionamento do site, preferências, análise ou publicidade.
Categorias comuns: estritamente necessários, de desempenho, funcionais e de direcionamento.
Indica cookies de terceiros de provedores de análise ou redes de anúncios.
Sob a LGPD, o consentimento para cookies não essenciais deve ser livre, informado e inequívoco, por ação afirmativa, e pode ser revogado a qualquer tempo (arts. 7º, 8º e 18).
Cookies de análise para estatísticas de uso e desempenho.
Cookies de publicidade exigem consentimento do Usuário sob a LGPD.
Indique a duração dos cookies; o prazo deve ser proporcional à finalidade (LGPD).
Informa como o Usuário controla os cookies (navegador, painel de preferências, opt-out).
Descreve as medidas de segurança aplicadas aos dados coletados por cookies (LGPD, art. 46).
A LGPD (art. 18) assegura direitos como acesso, correção, eliminação, portabilidade e revogação do consentimento.
Indica como esta Política de Cookies se relaciona com a Política de Privacidade do Operador.
Indica como e quando a Política poderá ser atualizada e como o Usuário será informado.
Informe o canal de contato para questões e solicitações sobre cookies (encarregado/DPO, se houver).
Conteúdo da página
Política de Cookies: O Que É, Por Que É Obrigatória e Como Criar
1. O Que São Cookies e Por Que Existem
Cookies são pequenos arquivos de texto armazenados pelo navegador no dispositivo do usuário quando ele acessa um site ou aplicativo. Eles permitem que o site "lembre" informações sobre o usuário entre visitas — desde preferências básicas (idioma escolhido, itens no carrinho de compras) até dados de comportamento sofisticados (quais páginas foram visitadas, por quanto tempo, e quais produtos foram clicados). Inventados no início da web para resolver o problema de sites "sem memória", os cookies tornaram-se uma das tecnologias mais onipresentes — e mais controversas — da internet.
A Política de Cookies é o documento que explica ao usuário quais cookies o site utiliza, para qual finalidade, por quanto tempo ficam armazenados, e como o usuário pode gerenciá-los ou rejeitá-los. No Brasil, a obrigação de informar sobre cookies decorre principalmente da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) e do Marco Civil da Internet (Lei 12.965/2014). O modelo de Política de Cookies disponível online no DiretoDoc.com permite criar um documento personalizado para qualquer tipo de site ou aplicativo — de e-commerce a blog, de plataforma SaaS a marketplace entre empresas.
2. Por Que a Política de Cookies é Obrigatória no Brasil
A obrigatoriedade da Política de Cookies no Brasil decorre de um conjunto de normas:
- LGPD (Lei 13.709/2018): os cookies que coletam dados pessoais (como o endereço IP, identificadores únicos do dispositivo, localização geográfica aproximada ou comportamento de navegação vinculado a um perfil) são considerados tratamento de dados pessoais. Portanto, exigem base legal (geralmente consentimento — art. 7º, I) e divulgação transparente conforme o art. 9º da LGPD.
- Marco Civil da Internet (Lei 12.965/2014): o art. 7º garante ao usuário o direito à não suspensão de seu acesso e à privacidade de suas comunicações. O art. 10 protege os registros de conexão e acesso a aplicações de internet, que incluem cookies de sessão.
- ANPD (Autoridade Nacional de Proteção de Dados): as resoluções e notas de orientação da ANPD têm reforçado a necessidade de transparência sobre o uso de cookies rastreadores e a exigência de consentimento específico para cookies não essenciais.
Sites que coletam cookies sem divulgação adequada e sem mecanismo de consentimento podem ser autuados pela ANPD com multas de até 2% do faturamento no Brasil, limitadas a R$ 50 milhões por infração. Para sites que operam também em países da União Europeia ou para usuários europeus, o GDPR (Regulamento Geral de Proteção de Dados) adiciona requisitos ainda mais rígidos, como o consentimento explícito antes de qualquer cookie não essencial ser carregado.
3. Tipos de Cookies: Essenciais, Analíticos e de Marketing
Nem todos os cookies têm o mesmo impacto na privacidade ou exigem o mesmo tratamento legal. A classificação por finalidade é fundamental para a estrutura correta da Política de Cookies e do cookie banner:
- Cookies essenciais (estritamente necessários): indispensáveis para o funcionamento básico do site. Exemplos: token de autenticação do usuário logado, ID da sessão de compras, cookies de segurança contra CSRF. Não exigem consentimento porque o usuário que usa o site já consentiu implicitamente com seu funcionamento básico. A LGPD reconhece a base legal de "execução de contrato" para esses cookies.
- Cookies funcionais: melhoram a experiência do usuário mas não são estritamente necessários. Exemplos: lembrar idioma escolhido, salvar preferências de layout, recall de formulários parcialmente preenchidos. Exigem informação ao usuário, mas a base legal pode ser o legítimo interesse em alguns contextos.
- Cookies analíticos: medem o tráfego, o comportamento dos usuários e o desempenho do site. Exemplos: Google Analytics, Hotjar, Clarity. Coletam dados sobre páginas visitadas, tempo de permanência, origem do tráfego e comportamento de clique. Exigem consentimento específico quando o IP é coletado sem anonimização.
- Cookies de marketing e rastreamento: rastreiam o comportamento do usuário através de múltiplos sites para exibir anúncios direcionados. Exemplos: Meta Pixel (Facebook), Google Ads, LinkedIn Insight Tag. São os cookies de maior impacto na privacidade e exigem consentimento explícito e específico. Devem ser bloqueados tecnicamente até o usuário consentir.
4. O Cookie Banner: Requisitos para Ser Válido
O cookie banner — aquela janela que aparece quando você acessa um site pela primeira vez pedindo para aceitar ou configurar cookies — é o mecanismo de coleta de consentimento para cookies não essenciais. Para que o consentimento coletado pelo banner seja juridicamente válido conforme a LGPD e as melhores práticas internacionais:
- Apresentação antes da coleta: o banner deve aparecer antes de qualquer cookie não essencial ser carregado. Não é válido coletar cookies de marketing enquanto o usuário ainda está decidindo se consente.
- Consentimento granular: o usuário deve poder aceitar apenas algumas categorias de cookies (ex.: analíticos sim, marketing não). Um botão único de "Aceitar todos" sem opção de recusa ou de seleção granular não é considerado consentimento válido pela ANPD e pelo GDPR.
- Facilidade de recusa: a opção de recusar cookies não essenciais deve ser tão fácil quanto a de aceitar. Um botão de "Aceitar todos" proeminente e uma opção de recusa escondida em menu secundário configura design enganoso (dark pattern) e pode ser questionado.
- Registro do consentimento: o site deve registrar quando, por quem e para quais cookies o consentimento foi dado — para demonstrar conformidade à ANPD se solicitado.
- Fácil retirada do consentimento: o usuário deve poder retirar o consentimento a qualquer momento, com a mesma facilidade com que o deu. Um link permanente de "Configurações de cookies" no rodapé do site é a boa prática.
5. Período de Validade dos Cookies: Como Definir
A Política de Cookies deve informar por quanto tempo cada cookie permanece armazenado no dispositivo do usuário. Os períodos típicos por tipo:
- Cookies de sessão: expiram ao fechar o navegador. Sem data de validade específica.
- Cookies de login e autenticação: geralmente de 30 dias a 1 ano, dependendo da configuração de "permanecer logado".
- Google Analytics (_ga): 2 anos de duração padrão.
- Meta Pixel: varia de 90 dias a 2 anos dependendo do tipo de cookie.
- Cookies de preferências: geralmente 1 ano.
A Política de Cookies deve listar cada cookie (ou categoria de cookie) com seu período de validade, pois essa informação é exigida pela LGPD (art. 9º, III) no contexto da transparência sobre o prazo de tratamento dos dados. Um exemplo de formato de tabela: Cookie | Categoria | Finalidade | Duração | Terceiro (se aplicável).
6. Cookies de Terceiros: Responsabilidades do Site
Quando o site utiliza ferramentas de terceiros que colocam seus próprios cookies no dispositivo do usuário — como Google Analytics, Meta Pixel, widgets de redes sociais ou players de vídeo do YouTube —, o site torna-se corresponsável pelo tratamento de dados realizado por esses cookies. A Política de Cookies deve:
- Identificar cada terceiro que coloca cookies no site
- Descrever a finalidade dos cookies de cada terceiro
- Incluir link para a política de privacidade de cada terceiro (ex.: política do Google, do Meta)
- Informar que o usuário pode gerenciar as preferências diretamente nas plataformas dos terceiros
Um site que usa Google Analytics e Meta Pixel sem informar os usuários sobre esses cookies está violando a LGPD mesmo que os próprios terceiros tenham suas próprias políticas — a responsabilidade é do site que incorpora as ferramentas. A lógica é: você escolheu usar o Meta Pixel; você é responsável por informar seus usuários sobre o rastreamento que ocorre quando fazem isso.
7. Cookies no Ambiente Mobile: App vs. Site
Em aplicativos móveis, o conceito de "cookie" é tecnicamente diferente — os apps usam identificadores de dispositivo (como o IDFA na Apple e o GAID no Android) e SDKs de rastreamento em vez de cookies tradicionais. No entanto, o princípio jurídico é o mesmo: qualquer tecnologia de rastreamento que coleta dados pessoais do usuário exige base legal, consentimento quando necessário e divulgação transparente.
Para apps móveis, a Política de Cookies pode ser incorporada à Política de Privacidade do app, com seção específica sobre as tecnologias de rastreamento utilizadas (SDKs de analytics, push notifications, geolocalização) e os identificadores de dispositivo coletados. As lojas de apps (App Store e Google Play) exigem que os apps tenham Política de Privacidade e declarem as categorias de dados coletados — incluindo os relacionados a rastreamento.
8. Gerar Uma Política de Cookies Eficaz: O Que Não Pode Faltar
Um template de Política de Cookies completo deve conter:
- Introdução: o que são cookies e por que o site os utiliza.
- Tipos de cookies utilizados: essenciais, funcionais, analíticos e de marketing — com explicação de cada categoria.
- Lista (ou tabela) dos cookies: nome, categoria, finalidade, duração e terceiro (se aplicável).
- Terceiros: identificação de todos os parceiros que colocam cookies, com links para suas políticas.
- Base legal: para cada categoria, qual é a base legal conforme a LGPD (consentimento, execução de contrato, legítimo interesse).
- Como gerenciar os cookies: instruções de como configurar ou desativar cookies nos principais navegadores (Chrome, Firefox, Safari, Edge).
- Retirada do consentimento: como o usuário pode retirar o consentimento que já deu.
- Atualizações da política: como e quando a política pode ser alterada.
- Contato: dados do DPO ou responsável pelo tratamento de dados.
9. Cookies e LGPD: Bases Legais Aplicáveis
A LGPD (art. 7º) prevê 10 bases legais para o tratamento de dados pessoais. Para cookies, as mais relevantes são:
- Consentimento (art. 7º, I): base legal padrão para cookies analíticos e de marketing. O consentimento deve ser livre, informado, inequívoco e específico por categoria. É a base legal que requer o cookie banner.
- Execução de contrato (art. 7º, V): aplicável a cookies essenciais para a prestação do serviço contratado pelo usuário (cookies de login, carrinho de compras, processamento de pagamento).
- Legítimo interesse (art. 7º, IX): pode ser aplicável a cookies funcionais de menor impacto, quando o interesse do operador em melhorar a experiência do usuário não prejudica seus direitos. Requer o teste de proporcionalidade e a documentação do legítimo interesse.
10. Como Criar Sua Política de Cookies no DiretoDoc.com
O template de Política de Cookies do DiretoDoc.com permite criar um documento personalizado para diferentes tipos de sites e plataformas — e-commerce, blog, SaaS, marketplace entre empresas ou qualquer outro tipo de site que utilize cookies. O modelo online inclui definição de cookies, classificação por tipo, tabela de cookies com período de validade, identificação de terceiros, base legal para cada categoria e instruções de gerenciamento para os principais navegadores.
Para criar a Política de Cookies, selecione os tipos de cookies que seu site utiliza, informe os terceiros relevantes e personalize os períodos de validade. O sistema gera o documento para download em WORD ou PDF. Para uma proteção de privacidade completa, use a Política de Cookies em conjunto com a Política de Privacidade (que cobre o tratamento de dados pessoais mais amplo), com os Termos de Uso (que regulam o uso do serviço) e com o Contrato de Tratamento de Dados para fornecedores que acessam dados dos seus usuários. Um kit completo de documentos de privacidade é indispensável para qualquer negócio digital que opera no Brasil em 2025.
11. Consentimento de Cookies: O Que Configura Consentimento Válido
O consentimento para cookies de rastreamento (analíticos e de marketing) deve ser válido segundo a LGPD (art. 8º) para ter força jurídica. Os requisitos cumulativos de validade:
- Livre: o usuário não pode ser obrigado a consentir para acessar o serviço (salvo quando os cookies são estritamente necessários para a prestação do serviço). Portanto, bloquear o acesso ao site até o usuário "aceitar todos" não é consentimento livre.
- Informado: o usuário deve saber o que está aceitando — quais cookies, para quais finalidades, por quanto tempo e com quem são compartilhados. Uma descrição genérica como "utilizamos cookies para melhorar sua experiência" não é suficientemente informada.
- Inequívoco: uma ação clara e afirmativa do usuário (clique em botão, toggle ligado). Continuar navegando não é ação inequívoca de consentimento para cookies não essenciais.
- Específico: o consentimento deve ser dado para cada finalidade separadamente. "Aceitar todos" como única opção não é consentimento específico — o usuário deve poder aceitar cookies analíticos sem aceitar os de marketing.
Banners que coletam consentimento sem atender a esses requisitos geram risco jurídico: se a ANPD entender que o consentimento coletado é inválido, o tratamento de dados baseado nele fica sem base legal, podendo gerar autuação. Gerar um template de cookie banner em conformidade com a LGPD é o primeiro passo para evitar esse risco.
12. Como Gerenciar Cookies nos Principais Navegadores
A Política de Cookies deve incluir instruções de como os usuários podem gerenciar ou excluir cookies diretamente no navegador, independentemente das configurações do site. As instruções básicas para os principais navegadores:
- Google Chrome: Configurações → Privacidade e Segurança → Cookies e outros dados do site. O usuário pode bloquear todos os cookies de terceiros ou gerenciar por site específico.
- Mozilla Firefox: Configurações → Privacidade e Segurança → Cookies e dados de sites. O Firefox tem proteção aprimorada contra rastreamento como configuração padrão.
- Safari: Preferências → Privacidade → Gerenciar dados de sites. O Safari bloqueia cookies de terceiros por padrão desde 2020.
- Microsoft Edge: Configurações → Cookies e permissões do site. O Edge permite configuração granular por nível de privacidade (básico, equilibrado, estrito).
Para cookies de ferramentas específicas como o Google Analytics, o usuário também pode instalar o Add-on de desativação do Google Analytics, que impede o JavaScript do Analytics de enviar dados. Para publicidade do Google, pode gerenciar preferências em adssettings.google.com. Informar essas opções na política demonstra respeito pela privacidade do usuário e reforça a credibilidade do site.
13. Cookies e GDPR: O Que Muda para Sites com Usuários Europeus
Empresas brasileiras que têm usuários na União Europeia — seja por e-commerce internacional, SaaS vendido para clientes europeus ou qualquer serviço acessado da Europa — ficam sujeitas ao GDPR (Regulamento Geral de Proteção de Dados, UE 2016/679), além da LGPD. As principais diferenças do GDPR em relação à LGPD para cookies:
- O GDPR exige consentimento explícito antes de qualquer cookie não essencial ser carregado — mais rígido que a interpretação atual da LGPD
- Multas do GDPR podem chegar a 4% do faturamento global anual (não apenas o faturamento no Brasil) — potencialmente muito maiores
- Autoridades de proteção de dados europeias têm sido muito mais ativas em fiscalização de cookies do que a ANPD
- O GDPR exige que o cookie banner não use dark patterns — orientação reforçada por diretrizes do European Data Protection Board (EDPB)
Para sites com audiência europeia relevante, implementar o cookie banner no padrão mais rigoroso do GDPR é a abordagem mais segura — e ela também atende aos requisitos da LGPD. O modelo de Política de Cookies do DiretoDoc.com pode ser personalizado para atender tanto à LGPD quanto ao GDPR.
14. Atualização e Revisão da Política de Cookies
A Política de Cookies deve ser revisada periodicamente — pelo menos uma vez por ano — e sempre que houver mudanças nas ferramentas de analytics, marketing ou funcionalidade utilizadas pelo site. As situações que tipicamente requerem atualização imediata: adição de nova ferramenta de terceiros que coloca cookies (ex.: novo CRM, chatbot, ferramenta de suporte); mudança de versão do Google Analytics (GA3 para GA4, por exemplo, com diferentes cookies); atualização das políticas de privacidade dos próprios terceiros; e publicação de nova orientação da ANPD ou do GDPR sobre cookies.
A data da última atualização deve estar visível na Política de Cookies. Quando há mudança que afeta cookies já coletados com consentimento anterior, é boa prática invalidar os consentimentos existentes e solicitar novo aceite — garantindo que os dados coletados a partir da mudança têm base legal válida. O template de Política de Cookies online do DiretoDoc.com inclui campo para data de atualização e pode ser baixado novamente sempre que houver revisão. Use-o em conjunto com a Política de Privacidade e os Termos de Uso para ter um conjunto completo de documentos de conformidade digital.
15. Análise de Cookies com Ferramentas Automáticas
Manter a Política de Cookies atualizada manualmente é difícil — os sites mudam, as ferramentas de terceiros atualizam seus cookies, e novos scripts são adicionados sem revisão. Ferramentas de varredura automática de cookies ajudam a manter o inventário atualizado. As mais utilizadas: Cookie Scanner do OneTrust, Cookiebot Scanner, CookieYes Scanner e a extensão EditThisCookie para Chrome — permitem escanear o site e gerar um relatório completo de todos os cookies encontrados, com nome, domínio, duração e categoria.
O processo recomendado para manter a Política de Cookies atualizada: realize uma varredura automática a cada 3 meses; compare o resultado com o inventário de cookies na política atual; adicione cookies novos, remova cookies extintos e atualize períodos de validade alterados; e atualize a data de revisão na política. Para sites que usam Google Tag Manager, cada novo tag adicionado pode introduzir novos cookies — é fundamental revisar a política sempre que um novo tag é implantado. O modelo online de Política de Cookies do DiretoDoc.com pode ser baixado e atualizado a cada revisão, mantendo sempre um documento atualizado e em conformidade com a LGPD. Use junto com a Política de Privacidade para uma proteção completa dos usuários do seu site.