Cookies e Privacidade

Sistema para cookies e LGPD: como implementar um banner de consentimento que funciona

Colocar um banner de cookies no site não é suficiente para estar adequado à LGPD. Saiba como um sistema de gestão de cookies registra consentimento, bloqueia scripts e garante conformidade.

M
MHSLGPD
16 de maio de 2026 · 4 min de leitura

Banners de cookies viraram paisagem na internet brasileira — mas a maioria não está em conformidade com a LGPD. Um banner que aparece depois que o Google Analytics já rodou, que não oferece opção de recusar ou que não registra a decisão do visitante não cumpre os requisitos legais. Um sistema para cookies LGPD resolve esses problemas de forma automatizada.

Por que cookies são um tema da LGPD

Cookies são dados pessoais. Um cookie de analytics vincula sessões a um identificador único — e pode, em combinação com outros dados, identificar uma pessoa. Cookies de publicidade (pixels do Meta, Google Ads, LinkedIn Insight Tag) rastreiam comportamento entre sites.

A LGPD exige que todo tratamento de dados pessoais tenha base legal. Para cookies não essenciais, a base mais comum é o consentimento — que precisa ser:

  • Livre (sem pré-marcações);
  • Informado (o usuário sabe para quê está consentindo);
  • Inequívoco (ação afirmativa — não basta continuar navegando);
  • Específico (não vale um "aceito tudo" forçado);
  • Revogável (fácil de desfazer a qualquer momento).

O que um banner de cookies LGPD precisa ter

1. Bloqueio prévio de scripts

O ponto mais crítico — e o mais ignorado. O banner precisa aparecer antes de qualquer cookie não essencial ser depositado no navegador. Isso significa que o Google Analytics, o pixel do Meta e o Hotjar não podem rodar até o visitante consentir.

Tecnicamente, isso exige que os scripts sejam carregados condicionalmente: com type="text/plain" ou via gerenciador de tags (GTM) com regras de disparo baseadas no consentimento.

2. Opções reais de escolha

O banner precisa oferecer pelo menos:

  • "Aceitar todos" — consente com todas as categorias;
  • "Rejeitar não essenciais" — mantém apenas cookies técnicos necessários;
  • "Personalizar" — o visitante escolhe categoria por categoria.

Banners que só têm "Aceitar" ou que esconderam o botão de recusa atrás de menus difíceis são não conformes — e a ANPD já sinalizou atenção a dark patterns.

3. Categorização dos cookies

Os cookies devem ser organizados por categoria:

  • Essenciais/técnicos: necessários para o funcionamento do site (sessão, segurança, carrinho). Não precisam de consentimento.
  • Analytics/performance: medem audiência e comportamento (Google Analytics, Hotjar).
  • Marketing/publicidade: rastreiam para exibir anúncios segmentados (Meta Pixel, LinkedIn Insight).
  • Funcionalidade: lembram preferências do usuário (idioma, tema, chat).

4. Registro de consentimento (prova)

A empresa precisa conseguir provar, em caso de auditoria ou reclamação, que o visitante consentiu, com qual versão da Política de Cookies, quando e o que foi aceito. O sistema deve registrar:

  • Timestamp do consentimento;
  • Versão do documento de cookies apresentado;
  • Categorias aceitas e recusadas;
  • Identificador anônimo da sessão.

5. Fácil revogação

O titular tem direito de revogar o consentimento a qualquer momento. O site precisa oferecer uma forma de reabrir o painel de cookies — normalmente um link no rodapé ("Gerenciar cookies") ou um ícone flutuante.

Como funciona o sistema de cookies do mhslgpd

O mhslgpd inclui um módulo de consentimento (CMP) integrado. Com um snippet de JavaScript inserido no <head> do site, o banner aparece automaticamente para novos visitantes. O sistema:

  • Bloqueia scripts de terceiros até o consentimento ser registrado;
  • Libera scripts condicionalmente por categoria ao aceitar;
  • Registra cada decisão com timestamp e versão do documento;
  • Sincroniza com o Google Consent Mode v2 (importante para manter dados no GA4 mesmo sem consentimento total);
  • Armazena logs de consentimento por tenant para auditoria.

Google Consent Mode v2: o que mudou

Em março de 2024, o Google passou a exigir o Consent Mode v2 para sites que usam GA4 e Google Ads na União Europeia. Embora a obrigação direta seja europeia, a recomendação do Google se aplica globalmente — e afeta quem usa personalização de anúncios no Brasil.

O Consent Mode v2 permite que o GA4 colete dados de comportamento de forma modelada mesmo quando o usuário recusa cookies, sem violar o consentimento. Um sistema de cookies LGPD moderno deve implementar os sinais ad_storage, analytics_storage, ad_user_data e ad_personalization.

Dark patterns: o que evitar

A ANPD e o Procon têm punido práticas que dificultam a recusa de cookies:

  • Botão "Aceitar" em destaque e "Rejeitar" em texto pequeno ou escondido;
  • Pré-marcação de categorias não essenciais como ativas;
  • Necessidade de clicar em vários passos para recusar, mas um clique para aceitar;
  • Textos enganosos como "Aceite para melhorar sua experiência" (implica que recusar piora o site).

Conclusão

Um sistema para cookies LGPD vai além de exibir um aviso no site — ele bloqueia scripts, registra evidências e facilita a revogação. Se o seu banner atual não faz isso, é hora de revisar. A adequação de cookies é uma das primeiras coisas que um auditor ou a ANPD vai verificar — e é também o que o visitante vê primeiro ao chegar ao seu site.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.

Leia também

Cookies e LGPD: como adequar seu site com banner de consentimento
Banner de cookies não é apenas um botão "aceitar". Entenda quais cookies precisam de consentimento, como configurar o banner e o que o Art. 7º da LGPD exige.
MHSLGPD · 7 de abril de 2026