Banner de consentimento de cookies

O que esta verificação faz

Analisa a página renderizada à procura de (a) trackers de terceiros não-essenciais — Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, fbq, gtag — e (b) um banner de consentimento de cookies da Cookiebot, OneTrust, Iubenda, Osano, Termly, Klaro, Borlabs, Cookieyes, ou uma janela personalizada. A verificação falha quando há trackers presentes mas não se encontra banner.

Porque é importante

Pelas leis da UE e do Reino Unido, cookies não-essenciais e tecnologias de tracking similares precisam de consentimento prévio, livre, específico, informado e inequívoco antes de dispararem. “A utilização continuada implica consentimento” não conta, e checkboxes pré-marcadas também não.

• Coimas RGPD. Até 4% da receita anual global. Reguladores (CNIL em França, AEPD em Espanha, Garante em Itália) já multaram repetidamente sites por disparar Google Analytics ou Meta Pixel antes do consentimento.
• Exposição a ações coletivas. As leis estaduais nos EUA (CCPA/CPRA, Colorado CPA, Virginia VCDPA) e o Digital Services Act da UE acrescentam vias separadas de direito de ação privada.
• Conversões. Sem uma configuração de Consent Mode v2, o Google Ads e o Analytics descartam eventos sem consentimento em vez de os modelar — o teu reporting e as tuas audiências de anúncios degradam-se em silêncio.

Como corrigir

Escolhe um banner que suporte IAB TCF v2.2 + Google Consent Mode v2 (a combinação que o Google exige desde março de 2024 para utilizadores do EEE):

• Cookiebot — pago, abrangente, faz scan ao teu site semanalmente para manter a lista de cookies atualizada.
• OneTrust — empresarial; a escolha padrão se já usas OneTrust para gestão de privacidade.
• Iubenda — acessível, multilingue, bom para PMEs.
• Klaro — open-source, self-hosted.

Exemplo Cookiebot — coloca isto no <head> antes de qualquer outro script de tracking:

<script id="Cookiebot"
  src="https://consent.cookiebot.com/uc.js"
  data-cbid="YOUR-CBID"
  data-blockingmode="auto"
  type="text/javascript"></script>

Define cada tracker (GA4, gtag, Meta Pixel, etc.) com type="text/plain" e data-cookieconsent="statistics" (ou "marketing") — o Cookiebot reescreve-os para text/javascript apenas após o consentimento.

Google Consent Mode v2 — inicializa gtag('consent', 'default', { ... }) com tudo a denied antes de carregar o GA, depois atualiza para granted a partir do callback do banner. Caso contrário o GA descarta 100% dos eventos do EEE em vez de usar consent modeling.

Audita o que estás a disparar. Abre DevTools → Application → Cookies numa janela anónima e carrega a página sem clicar no banner. Se vires _ga, _fbp, _hjSessionUser_*, ou qualquer coisa de um domínio de tracker, estás a disparar antes do consentimento — essa é a infração.

Perguntas frequentes

Preciso de banner se só uso o Google Analytics?

Sim — no EEE, Reino Unido e Suíça, o GA é classificado como não-essencial por todas as autoridades de supervisão que se pronunciaram. O mesmo aplica-se se só correres um Meta Pixel ou uma ferramenta de teste A/B de terceiros.

E a analítica sem cookies tipo Plausible ou Fathom?

Se a ferramenta não guarda cookies, não faz fingerprint do dispositivo e não transmite dados pessoais, podes argumentar que é essencial e saltar o banner. O Plausible e o Fathom apresentam-se como “GDPR-friendly without a banner” com esse fundamento; confirma a sua atestação atual antes de te apoiares nisso.

A minha auditoria falhou mas eu tenho banner — o que se passa?

Ou o script do banner carrega depois de um tracker disparar (os trackers correm antes da decisão de consentimento aterrar), ou o banner só aparece em certas regiões e o MetricSpot está a auditar de fora dessa região, ou a assinatura de deteção não bate com o fornecedor que estás a usar. Confirma abrindo o DevTools e observando a ordem dos pedidos no primeiro carregamento.