O que são cookies? Tipos, usos e privacidade

Se alguma vez visitou um site, encontrou cookies. Estes pequenos ficheiros de texto são uma parte fundamental do funcionamento da internet, alimentando tudo, desde sessões de login até publicidade personalizada. Mas o que é exatamente um cookie num site? E porque é que os cookies se tornaram um dos temas mais debatidos na privacidade online?

Neste guia, explicamos o que são cookies, como funcionam, os diferentes tipos que precisa de conhecer e o que a mudança em relação aos cookies de terceiros significa para os editores em 2026.

O que é um cookie?

Um cookie é um pequeno fragmento de dados que um site armazena no seu navegador quando o visita. Os cookies são ficheiros de texto simples – não podem executar código nem transmitir vírus. Normalmente contêm um par nome-valor, o domínio que definiu o cookie e uma data de expiração.

Quando regressa a esse site, o seu navegador envia o cookie de volta ao servidor. É assim que os sites o “lembram” – seja mantendo-o com sessão iniciada, lembrando artigos no carrinho de compras ou guardando a sua preferência de idioma.

Os cookies foram inventados em 1994 por Lou Montulli, um engenheiro da Netscape, para resolver um problema prático: o HTTP é um protocolo sem estado, o que significa que cada pedido entre navegador e servidor é independente. Sem cookies, os sites não teriam forma de lembrar nada sobre si entre carregamentos de página.

Como funcionam os cookies?

O processo é simples:

1. Visita um site. O servidor envia uma resposta HTTP que inclui um cabeçalho Set-Cookie com os dados do cookie.
2. O seu navegador armazena o cookie. Guarda o ficheiro de texto localmente no seu dispositivo.
3. Regressa ao site. O seu navegador anexa automaticamente o cookie ao pedido através do cabeçalho Cookie.
4. O servidor lê o cookie. Usa os dados para personalizar a sua experiência – carregando as suas preferências, mantendo a sua sessão ou identificando-o para análises.

Os cookies só podem ser lidos pelo domínio que os definiu (com algumas exceções para cookies de terceiros, que abordamos abaixo). Têm limites de tamanho – tipicamente 4KB por cookie – e os navegadores limitam o número total de cookies por domínio.

Tipos de cookies

Nem todos os cookies são iguais. Podem ser classificados pela sua duração e por quem os define.

Por duração: cookies de sessão vs cookies persistentes

Os cookies de sessão são temporários. Existem apenas enquanto o navegador está aberto e são eliminados automaticamente quando o fecha. Os usos típicos incluem manter o estado de login enquanto navega entre páginas, conservar artigos no carrinho durante uma única visita e armazenar dados temporários de formulários.

Os cookies persistentes permanecem no dispositivo por um período definido – de alguns dias a vários anos – ou até os eliminar manualmente. São utilizados para lembrar credenciais de login (a caixa “lembrar-me”), armazenar preferências de idioma e visualização e rastrear o comportamento do utilizador em múltiplas visitas para análises.

Por origem: cookies próprios vs cookies de terceiros

É aqui que a privacidade entra em jogo.

Os cookies próprios (first-party) são definidos diretamente pelo site que está a visitar. Se acede a exemplo.com, qualquer cookie definido por exemplo.com é um cookie próprio. São geralmente considerados essenciais para a funcionalidade do site e são amplamente aceites tanto pelos navegadores como pelas regulamentações de privacidade.

Os cookies de terceiros (third-party) são definidos por um domínio diferente daquele que está a visitar. Por exemplo, se exemplo.com carrega um anúncio de redepublicitaria.com, a rede publicitária pode definir um cookie no seu navegador sob o domínio redepublicitaria.com. Como a mesma rede publicitária serve anúncios em milhares de sites, pode usar esse cookie para rastrear a sua atividade de navegação em todos esses sites – construindo um perfil dos seus interesses, dados demográficos e comportamento.

Esta capacidade de rastreamento entre sites é a razão pela qual os cookies de terceiros se tornaram o foco central dos debates e regulamentações de privacidade.

Outros tipos de cookies

Também pode encontrar estes termos:

• Cookies estritamente necessários – Necessários para o funcionamento do site (ex.: autenticação, segurança). Normalmente isentos dos requisitos de consentimento.
• Cookies de desempenho/análise – Recolhem dados anónimos sobre como os visitantes usam um site (páginas vistas, taxas de rejeição, tempos de carregamento).
• Cookies de funcionalidade – Lembram as preferências do utilizador como idioma, região ou configurações de visualização.
• Cookies de segmentação/publicidade – Rastreiam os utilizadores entre sites para apresentar anúncios personalizados. Quase sempre de terceiros.

Para que servem os cookies?

Os cookies servem muitos propósitos na web moderna. Eis os principais:

Autenticação e sessões

Quando inicia sessão num site, um cookie de sessão armazena um identificador único para que o servidor saiba que está autenticado. Sem este cookie, precisaria de introduzir a sua palavra-passe em cada página.

Personalização

Os cookies persistentes permitem que os sites lembrem as suas preferências – configurações do modo escuro, seleção de moeda, escolha de idioma ou se descartou um banner de notificação.

Análises

Ferramentas como o Google Analytics usam cookies para distinguir visitantes únicos, rastrear visualizações de página e medir como os utilizadores interagem com um site. Estes dados ajudam os editores a compreender que conteúdo funciona bem e onde os visitantes abandonam.

Publicidade

Este é o uso mais controverso. Os cookies de terceiros permitem a publicidade programática – a compra e venda automatizada de impressões publicitárias em tempo real. Os anunciantes usam cookies para construir perfis de audiência, medir taxas de cliques, fazer retargeting de utilizadores que visitaram o seu site e atribuir conversões.

Para os editores, estes cookies publicitários estão diretamente ligados às taxas de CPM e às receitas. Os anúncios personalizados – servidos usando dados de cookies – geralmente geram um RPM mais elevado do que as alternativas não personalizadas.

Cookies de terceiros e privacidade

O que são cookies de terceiros e porque são tão controversos? O problema não é o cookie em si – mas a capacidade de rastreamento que permitem.

Quando as redes publicitárias, as plataformas de redes sociais e os intermediários de dados usam cookies de terceiros para seguir os utilizadores pela web, podem construir perfis comportamentais detalhados sem que os utilizadores compreendam totalmente o que está a ser recolhido. Isto levantou preocupações significativas de privacidade:

• Falta de transparência – A maioria dos utilizadores não sabe que empresas os rastreiam nem que dados são recolhidos.
• Sem consentimento significativo – Historicamente, os cookies eram definidos sem pedir permissão aos utilizadores.
• Agregação de dados – Os cookies individuais parecem inofensivos, mas quando agregados entre sites, pintam um quadro abrangente dos interesses, hábitos e identidade de alguém.

O fim dos cookies de terceiros

Os principais navegadores têm eliminado gradualmente o suporte a cookies de terceiros:

• Safari bloqueou completamente todos os cookies de terceiros por predefinição em março de 2020 com o Safari 13.1 – o culminar do programa Intelligent Tracking Prevention (ITP) da Apple, que os tinha restringido progressivamente desde 2017.
• Firefox implementou Enhanced Tracking Protection, bloqueando rastreadores conhecidos por predefinição.
• Google Chrome – o último grande resistente – inicialmente planeou eliminar os cookies de terceiros mas recuou em julho de 2024. Em vez de os remover, o Chrome mantém as suas configurações de privacidade existentes, permitindo aos utilizadores gerir as preferências de cookies através das configurações de Privacidade e Segurança do navegador.

Mesmo com o Chrome a manter os cookies de terceiros como opção, a tendência geral é clara: a indústria está a avançar para estratégias de monetização sem cookies e modelos baseados no consentimento.

Regulamentações de cookies: RGPD, CCPA e ePrivacy

As regulamentações de privacidade mudaram fundamentalmente a forma como os sites usam cookies. Estas são as leis principais que os editores precisam de conhecer:

RGPD (Regulamento Geral sobre a Proteção de Dados)

O RGPD da UE exige que os sites obtenham consentimento explícito e informado antes de definir cookies não essenciais para utilizadores no Espaço Económico Europeu e no Reino Unido. A Suíça exige consentimento para cookies de publicidade e perfilagem ao abrigo da sua Lei Federal sobre a Proteção de Dados (LPD), embora a sua abordagem geral difira do RGPD em alguns aspetos. Na prática, a Política de Consentimento do Utilizador da UE da Google exige aos editores que usam produtos publicitários da Google obter o consentimento dos utilizadores nas três regiões. Isto significa:

• Os utilizadores devem optar ativamente pelos cookies (sem caixas pré-selecionadas).
• O pedido de consentimento deve explicar claramente que cookies são usados e porquê.
• Os utilizadores devem poder retirar o consentimento tão facilmente como o deram.
• Apenas os cookies estritamente necessários podem ser definidos sem consentimento.

As violações do RGPD podem resultar em multas de até 4% da receita anual global ou 20 milhões de euros, o que for maior.

Diretiva ePrivacy (Lei dos Cookies)

Por vezes chamada “Lei dos Cookies”, a Diretiva ePrivacy aborda especificamente as comunicações eletrónicas e o uso de cookies na UE. Enquanto o RGPD cobre os dados pessoais de forma ampla, a Diretiva ePrivacy exige especificamente o consentimento para armazenar ou aceder a informações no dispositivo do utilizador – o que inclui cookies. As duas regulamentações trabalham em conjunto, com a Diretiva ePrivacy a fornecer regras específicas sobre cookies dentro do quadro mais amplo do RGPD.

CCPA / CPRA (California Consumer Privacy Act)

A CCPA adota uma abordagem diferente. Em vez de exigir consentimento opt-in, concede aos residentes da Califórnia o direito de se oporem à “venda” ou “partilha” das suas informações pessoais – o que inclui dados recolhidos através de cookies de terceiros para publicidade direcionada. Os editores devem fornecer um link claro “Não vender nem partilhar as minhas informações pessoais”, respeitar os pedidos de opt-out (incluindo sinais Global Privacy Control) e divulgar as suas práticas de recolha de dados.

Leis de privacidade estaduais dos EUA

20 estados dos EUA aprovaram leis de privacidade abrangentes, muitas com requisitos relacionados com cookies. Estas leis seguem geralmente o modelo de opt-out da CCPA em vez da abordagem opt-in do RGPD, mas cada uma tem disposições únicas que os editores precisam de conhecer.

O que os editores precisam de saber sobre cookies

Para os editores de sites, os cookies situam-se na interseção entre receitas e conformidade. Eis o que mais importa:

A gestão do consentimento não é opcional

Se o seu site tem visitantes da Europa, dos EUA, do Brasil ou de qualquer outro país que tenha adotado regulamentações de privacidade, precisa de uma forma de recolher e gerir o consentimento de cookies. Não se trata apenas de evitar multas – redes publicitárias como a Google exigem que os editores tenham uma Plataforma de Gestão de Consentimento (CMP) certificada para servir anúncios personalizados em regiões regulamentadas.

Os frameworks da indústria ajudam a padronizar como o consentimento é comunicado na cadeia de fornecimento de tecnologia publicitária. Na Europa e no Canadá, o IAB Transparency and Consent Framework (TCF) fornece este padrão. Nos EUA, a Global Privacy Platform (GPP) do IAB desempenha um papel semelhante, transmitindo as preferências de opt-out dos utilizadores a anunciantes e fornecedores.

O consentimento de cookies afeta as receitas publicitárias

Quando os utilizadores recusam o consentimento de cookies, os editores só podem servir anúncios não personalizados – que tipicamente geram CPMs significativamente mais baixos. As taxas de consentimento impactam diretamente os resultados. É por isso que o design, o texto e o posicionamento do banner de cookies importam: uma interface de consentimento bem desenhada que explique claramente a troca de valor pode alcançar taxas de aceitação mais elevadas mantendo-se totalmente conforme.

Como a Clickio ajuda os editores a gerir o consentimento de cookies

O Clickio Consent é uma Plataforma de Gestão de Consentimento certificada pela Google que simplifica a conformidade de cookies para editores. Gere a complexidade das regulamentações de privacidade globais para que se possa concentrar no conteúdo e nas receitas.

• Conformidade multirregulação – Cobre RGPD, leis de privacidade estaduais dos EUA, LGPD e outras regulamentações globais a partir de uma única plataforma.
• Google Consent Mode v2 – Ajusta automaticamente o comportamento das tags Google com base no consentimento do utilizador, garantindo a comunicação adequada de sinais ao Google Analytics, Ads e Ad Manager.
• Suporte de sinal GPC – Reconhece e respeita os sinais de opt-out Global Privacy Control dos navegadores dos utilizadores.
• Banners de cookies personalizáveis – Cores e marca personalizados, layouts flexíveis de botões de fecho, texto de consentimento personalizado e suporte para mais de 26 idiomas (multiidioma em Pro+ e superior).
• Proteção de receitas – Os relatórios e análises de consentimento ajudam-no a compreender as taxas de aceitação e o seu impacto nas receitas publicitárias. Os testes A/B permitem-lhe otimizar a interface de consentimento para uma maior aceitação.
• Implementação rápida – Implemente na web em minutos, com suporte AMP no Pro e SDKs de aplicações móveis (Android, iOS, Flutter, React Native) no Pro+ e superior.

O Clickio Consent oferece um plano gratuito para começar, com níveis pagos para funcionalidades adicionais como suporte de leis de privacidade dos EUA, gestão de fornecedores, testes A/B e SDKs de aplicações móveis.

Perguntas frequentes

Os cookies são perigosos?

Não. Os cookies são ficheiros de texto simples – não podem executar código, instalar malware nem aceder a outros ficheiros no seu dispositivo. A preocupação com a privacidade não é sobre os cookies em si, mas sobre como os dados que recolhem podem ser usados para rastrear o comportamento de navegação entre sites.

O que acontece se eliminar todos os meus cookies?

A sua sessão será encerrada em todos os sites, e quaisquer preferências guardadas (idioma, configurações de visualização, carrinhos) serão reiniciadas. Os sites tratá-lo-ão como um novo visitante na sua próxima visita.

Qual é a diferença entre cookies e armazenamento local?

Ambos armazenam dados no navegador, mas funcionam de forma diferente. Os cookies são enviados ao servidor com cada pedido HTTP e têm um limite de tamanho de 4KB. O armazenamento local (parte da Web Storage API) permanece no navegador, não é enviado ao servidor automaticamente e pode armazenar até 5-10MB. O armazenamento local não está sujeito ao mesmo comportamento de transmissão automática, mas regulamentações de privacidade como o RGPD cobrem ambas as tecnologias.

Todos os sites usam cookies?

Quase todos os sites usam pelo menos alguns cookies. Mesmo sites estáticos simples frequentemente usam cookies de análise. Qualquer site com funcionalidade de login, funcionalidades de comércio eletrónico ou publicidade utilizará múltiplos tipos de cookies.

Conclusão

Os cookies são uma tecnologia fundamental da web. Tornam possíveis as sessões de login, a personalização, as análises e a publicidade digital. Mas a forma como os cookies são usados – particularmente os cookies de terceiros para rastreamento entre sites – gerou uma vaga de regulamentações de privacidade e restrições de navegadores que todo editor precisa de navegar.

A conclusão principal: os cookies próprios continuam essenciais e não vão desaparecer. Os cookies de terceiros estão a perder importância. E independentemente dos cookies que use, a gestão transparente do consentimento é agora um requisito legal na maioria dos mercados.

Para editores que procuram uma forma simples de gerir o consentimento de cookies em todas as principais regulamentações de privacidade, o Clickio Consent oferece uma solução gratuita, certificada pela Google, que se configura em minutos.