Share the post "Aceitar ou rejeitar todos os cookies online? Conheça a resposta certa"
Todas as pessoas já viram o aviso. Entra num site novo, e antes de conseguir ler uma única linha, aparece um banner a perguntar se aceita ou rejeita os cookies.
A maioria das pessoas clica em “Aceitar tudo” sem pensar duas vezes. Afinal, o conteúdo está à espera. Mas será que essa decisão tem consequências reais para a privacidade e segurança online? A resposta curta é: sim. E vale a pena perceber porquê.
Os cookies são pequenos ficheiros de dados que os sites guardam no dispositivo do utilizador quando este os visita. Servem para o site “lembrar” informações, como o carrinho de compras, a sessão iniciada, o idioma preferido, ou até os artigos mais lidos. E existem dois grandes tipos de cookies.
Cookies de primeira parte (first-party): criados pelo próprio site que está a ser visitado. Servem maioritariamente para garantir o funcionamento básico da página, manter a sessão ativa, guardar preferências, lembrar o que está no carrinho.
Cookies de terceiros (third-party): criados por domínios externos ao site visitado, habitualmente redes de publicidade ou plataformas de análise de dados. São estes que levantam mais preocupações, porque permitem rastrear o comportamento do utilizador em múltiplos sites ao longo do tempo.
Há ainda uma distinção importante quanto à duração. Os cookies de sessão desaparecem quando o browser é fechado, enquanto os cookies persistentes ficam guardados por períodos muito mais longos. Às vezes anos.
Cookies: por que existe sempre este aviso?
Os banners de cookies não existem por acaso. Em Portugal, e em toda a União Europeia, a utilização de cookies está regulada pelo Regulamento Geral sobre a Proteção de Dados (RGPD) e pela Diretiva ePrivacy, transposta para a lei portuguesa pela Lei n.º 41/2004, com as alterações introduzidas pela Lei n.º 46/2012 e pela Lei n.º 16/2022.
A lei é clara e os sites são obrigados a obter o consentimento prévio e informado dos utilizadores antes de armazenar ou aceder a informações no dispositivo, o que inclui cookies não essenciais.
Cookies de funcionamento básico podem ser ativados sem consentimento, mas tudo o resto requer uma escolha ativa.
A entidade responsável pela fiscalização em Portugal é a Comissão Nacional de Proteção de Dados (CNPD), que em 2023 e 2024 recebeu mais de 2.500 participações relacionadas com comunicações eletrónicas e tratamento de dados não solicitados.
A nível europeu, as coimas têm sido substanciais. A CNIL francesa multou a Google em 200 milhões de euros por ter tornado a rejeição de cookies mais difícil do que a aceitação.
A plataforma SHEIN recebeu uma coima de 150 milhões de euros por continuar a colocar cookies mesmo após o utilizador clicar em “Rejeitar tudo”.
O que acontece quando aceita tudo?
Clicar em “Aceitar todos os cookies” significa dar luz verde a todos os tipos de cookies que o site utiliza, incluindo os de rastreamento, publicidade e análise comportamental de terceiros. O que isso significa na prática?
- Publicidade altamente segmentada: os seus hábitos de navegação são partilhados com redes publicitárias que constroem um perfil detalhado dos seus interesses, localização, comportamentos de compra e muito mais.
- Dados partilhados com terceiros: muitos sites têm dezenas de “parceiros” que recebem dados sobre os seus utilizadores. Esses dados podem ser vendidos, cruzados com outras bases de dados ou expostos em caso de fuga de informação.
- Perda de controlo sobre dados pessoais: uma vez que os dados são partilhados, é praticamente impossível saber ao certo onde ficam armazenados ou quem tem acesso a eles.
O fenómeno da “fadiga de consentimento” é real. Os banners são tantos, aparecem com tanta frequência e o processo de rejeição é tantas vezes deliberadamente complicado, que a maioria das pessoas acaba por ceder e aceitar tudo.
Esta é precisamente a estratégia de alguns sites, um padrão conhecido como dark pattern de design.
O que acontece quando rejeita tudo?
Rejeitar todos os cookies não essenciais é geralmente seguro e, na maioria dos casos, não impede o acesso ao conteúdo.
O site continua a funcionar, apenas não conseguirá rastrear o comportamento do utilizador nem mostrar anúncios personalizados. No entanto, há algumas consequências práticas a considerar.
- Algumas funcionalidades podem deixar de funcionar: sites que dependem de cookies para guardar preferências (como o idioma ou o tamanho da fonte) poderão não “lembrar” essas escolhas nas visitas seguintes.
- Carrinhos de compras podem ser apagados: em alguns e-commerces, navegar para outra página sem aceitar certos cookies pode resultar na perda dos itens selecionados.
- Conteúdo menos personalizado: as recomendações de produtos ou artigos serão genéricas, e os anúncios apresentados não terão em conta os interesses do utilizador.
- Acesso bloqueado em alguns sites: alguns sites, de forma questionável e possivelmente ilegal ao abrigo do RGPD, condicionam o acesso ao conteúdo à aceitação de cookies não essenciais.
Há situações em que nunca se deve aceitar cookies?
Sim. Independentemente das preferências pessoais em matéria de privacidade, existem contextos em que aceitar cookies representa um risco claro.
Em redes Wi-Fi públicas ou dispositivos partilhados: as cookies de sessão podem ficar guardadas no dispositivo e permitir que outra pessoa aceda às contas do utilizador.
Além disso, as redes públicas são mais vulneráveis a ataques de session hijacking, onde um agente malicioso interceta dados de sessão para aceder a contas sem autorização.
Em sites sem certificado de segurança (HTTP em vez de HTTPS): sites não encriptados não garantem a proteção dos dados em trânsito. Aceitar cookies nestes contextos pode facilitar o acesso não autorizado a informação sensível.
Em sites assinalados como suspeitos pelo browser ou por software de segurança: se a ferramenta de proteção emite um alerta, o melhor é abandonar o site por completo.
Ao partilhar informação sensível: quando se está prestes a introduzir dados financeiros, número de identificação fiscal ou outros dados pessoais delicados, rejeitar cookies de terceiros é uma camada adicional de proteção.
Nem aceitar tudo, nem rejeitar tudo às cegas
A verdade é que não existe uma resposta única para toda a gente em todas as situações. Há apenas uma recomendação mais equilibrada.
Aceitar cookies essenciais: são necessários para o funcionamento básico do site e, regra geral, não representam riscos para a privacidade.
Rejeitar cookies de terceiros e de publicidade: são os que mais impacto têm na privacidade, rastreando o comportamento em múltiplos sites e alimentando perfis publicitários detalhados.
Usar a opção “Gerir preferências”: sempre que disponível, vale a pena explorar as categorias de cookies e aceitar apenas as que fazem sentido para a utilização pretendida.
Os browsers modernos como o Firefox e o Safari já bloqueiam cookies de terceiros por omissão. No Chrome, esta opção pode ser ativada manualmente nas definições de privacidade e segurança.