Cookies e Privacidade

Cookies e LGPD: como adequar seu site com banner de consentimento

Banner de cookies não é apenas um botão "aceitar". Entenda quais cookies precisam de consentimento, como configurar o banner e o que o Art. 7º da LGPD exige.

M
MHSLGPD
7 de abril de 2026 · 4 min de leitura

Em 2026, todo site brasileiro precisa exibir um banner de consentimento de cookies — mas a forma errada pode gerar multa em vez de proteger. A ANPD publicou orientações específicas em 2023-2024 e a fiscalização tem aumentado. Veja o que mudou e como adequar corretamente.

O que são cookies?

Cookies são pequenos arquivos de texto armazenados no navegador do visitante. Identificam sessões, lembram preferências e, principalmente, rastreiam comportamento para fins de analytics e publicidade. Quase todo cookie envolve dado pessoal (IP, identificador único de navegador), portanto cai sob a LGPD.

Os 4 tipos de cookies

1. Cookies estritamente necessários (essenciais)

Indispensáveis para o site funcionar: sessão de login, carrinho de compras, preferências de idioma. Não exigem consentimento porque sem eles o serviço não funciona — a base legal é "execução de contrato" ou "legítimo interesse" do Art. 7º.

2. Cookies de funcionalidade

Lembram escolhas do usuário (tema escuro, fonte maior). Em geral exigem consentimento, mas a forma pode ser leve (opt-in via configurações).

3. Cookies analíticos

Google Analytics, Hotjar, métricas de produto. Exigem consentimento prévio — não basta o aviso de "ao navegar você concorda" (cookie wall). O usuário deve poder navegar mesmo sem aceitar.

4. Cookies de marketing/publicidade

Facebook Pixel, Google Ads, retargeting. Exigem consentimento explícito com clique afirmativo. São os mais sensíveis sob LGPD/ANPD.

O que a ANPD diz sobre banners

Em outubro/2023, a ANPD publicou o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais. Pontos centrais:

  • Banner deve ser exibido no primeiro acesso, antes de qualquer cookie não essencial ser instalado;
  • Botões "Aceitar todos" e "Rejeitar todos" devem ter destaque equivalente — esconder o "rejeitar" em letra cinza é prática condenada;
  • O usuário deve poder configurar por categoria (analítico, marketing, funcionalidade);
  • O consentimento deve ser revogável com a mesma facilidade (link no rodapé do site, por exemplo);
  • Tem que ser registrado: data, horário, IP, versão da política aceita.

O que NÃO fazer

  • Cookie wall: bloquear acesso ao site se o usuário não aceitar. Vedado pela LGPD;
  • Pre-tick: categorias já marcadas por padrão. Consentimento precisa ser ação afirmativa;
  • Banner sem botão "rejeitar": só "aceitar" ou "saber mais". Trampa clássica condenada pela ANPD;
  • Dark patterns: "Aceitar" em verde gigante e "Configurações" em cinza minúsculo;
  • Cookies disparados antes do consentimento: erro técnico comum — o GA dispara automaticamente, mesmo com o banner aberto.

Implementação técnica em 5 passos

  1. Auditoria de cookies: rode o Lighthouse, Cookiebot Scanner ou inspecione a aba "Application" do DevTools para listar todos os cookies que seu site instala. Classifique cada um;
  2. Bloqueio condicional: certifique-se que scripts de analytics e marketing só carregam após consentimento. No GTM, use a opção "Consent Mode";
  3. Banner visual: três botões — "Aceitar todos", "Apenas essenciais", "Configurar". Destaque equivalente;
  4. Modal de configuração: permita ligar/desligar cada categoria independentemente;
  5. Registro de consentimento: grave em backend o evento de consentimento (data, IP, categorias aceitas, versão da política).

Quanto tempo dura o consentimento?

Não há prazo fixo na LGPD. Práticas de mercado e orientações européias (GDPR) sugerem 6 a 12 meses, com renovação após esse período. Também é boa prática solicitar novo consentimento quando a Política de Privacidade for atualizada significativamente.

E o IP do visitante?

O IP, mesmo sem outro dado associado, é considerado dado pessoal pela LGPD (capacidade de identificar a pessoa). Por isso, ferramentas que coletam IP — incluindo analytics — caem sob a lei. Use IP anonimização sempre que possível (Google Analytics tem essa configuração).

Soluções práticas para PMEs

Você pode optar por:

  • CMPs gratuitas: Cookiebot (free até 100 páginas), CookieYes, Termly — boa qualidade mas com branding;
  • Plataformas brasileiras: mhslgpd inclui banner customizável, registro de consentimento e dashboard de auditoria como parte do plano padrão — sem branding externo;
  • Implementação interna: viável se você tem dev experiente, mas requer manutenção e atualização legal.

Conclusão

Banner de cookies parece detalhe técnico, mas é um dos pontos mais visíveis da sua conformidade. Os crawlers automatizados da ANPD identificam sites sem banner, com banners enganosos ou com cookies disparados sem consentimento. Implemente corretamente, documente o consentimento e revise a cada 6 meses.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.