Notícias sobre privacidade

Os banners de cookies são ilegais?

A publicidade baseada no rastreio da Google e da Amazon está a ser alvo de críticas na UE. Numa decisão histórica, o Tribunal de Recurso de Bruxelas invalida as faixas de consentimento de cookies baseadas no Quadro de Transparência e Consentimento do IAB Europe.

Are cookie banners illegal? Google's and Amazon's tracking-based advertising are under fire in the EU.

Em 14 de maio de 2025, o Tribunal de Recurso de Bruxelas confirmou a decisão da Autoridade de Proteção de Dados (APD) belga de 2 de fevereiro de 2022. A decisão diz que o Transparency & Consent Framework (TCF) do IAB Europe - basicamente o sistema por detrás dos banners de cookies para licitações de anúncios em tempo real - viola o RGPD e, por conseguinte, é ilegal em toda a União Europeia. Mas o que é que esta decisão significa para si e para os irritantes banners de cookies que saltam à sua frente a toda a hora? Vamos lá ver!

Módulo central para segmentação e banner de cookies ilegal

A norma técnica utilizada pelas empresas de publicidade para recolher o consentimento do RGPD em linha é ilegal. As consequências podem ser enormes - para os meios de comunicação social, mas também para os gigantes do sector, como a Google, a Amazon, a Microsoft, a X, entre outros.

Decisão da APD belga

A autoridade belga de proteção de dados APD decidiu - e o Tribunal de Recurso de Bruxelas confirmou-o agora - que um mecanismo central para banners de cookies viola o Regulamento Geral Europeu de Proteção de Dados (RGPD). A decisão foi tomada no âmbito do chamado procedimento de balcão único. Isto significa que se aplica a toda a UE. O procedimento decorre de uma queixa apresentada pelo Conselho Irlandês para as Liberdades Civis e por outras organizações europeias de direitos civis e pode constituir um rude golpe para o sector publicitário europeu.

Leia mais sobre a decisão aqui.

Um duro golpe para o sector dos dados

Com base nesta decisão, os banners de cookies baseados no TCF são agora ilegais em toda a Europa porque violam o RGPD a vários níveis:

  • Recolha de consentimento inválido (artigos 5.º, n.º 1, alínea a), e 6.º do RGPD)
  • Falta de transparência (artigos 12.º-14.º do RGPD)
  • Segurança insuficiente dos dados pessoais (artigos 5.º, n.º 1, alínea f), 25.º e 32.º do RGPD)

Os anunciantes que justificam o rastreio de cookies como “interesse legítimo” estão também a violar o RGPD. O tribunal rejeitou explicitamente a utilização do “interesse legítimo” como base jurídica para a licitação em tempo real (RTB) e formas semelhantes de rastreio em linha devido aos seus graves riscos para a privacidade. Assim, as faixas de cookies que oferecem opções de interesse legítimo para o rastreio de anúncios são ilegais.

O Dr. Johnny Ryan, Diretor da Enforce no Conselho Irlandês para as Liberdades Civis, afirmou:

“A decisão de hoje do tribunal mostra que o sistema de consentimento utilizado pela Google, Amazon, X e Microsoft engana centenas de milhões de europeus. A indústria tecnológica procurou esconder a sua vasta violação de dados atrás de falsos popups de consentimento. As empresas tecnológicas transformaram o RGPD num incómodo diário e não num escudo para as pessoas”.

Como funciona o consentimento de cookies e a publicidade direcionada?

Consentimento de cookies

A publicidade direcionada na Internet funciona da seguinte forma (explicação simplificada): Cada visita a um sítio Web que utiliza o rastreio de cookies para publicidade direcionada desencadeia um leilão entre os fornecedores de publicidade. Numa questão de milissegundos, é tomada uma decisão sobre os anúncios que o utilizador verá, com base no perfil do utilizador e noutros factores (= licitação em tempo real).

Licitação em tempo real

Para que esta licitação em tempo real (RTB) funcione, as empresas de publicidade querem saber muito sobre a pessoa que está a navegar no seu sítio Web: Idade, sexo, interesses, sítios Web visitados, local de residência, poder de compra e muito mais. Estes dados são utilizados para apresentar o anúncio mais adequado, aquele em que o utilizador terá mais probabilidades de clicar.

Leia aqui porque é que nós, na Tuta, apelamos à proibição total da publicidade direcionada e porque é que acreditamos que o modelo de negócio baseado em anúncios tem de morrer.

Turn ON Privacy in one click.

Rastreio sem consentimento?

No entanto, ao abrigo do RGPD, esse rastreio só é permitido se o utilizador o consentir. O Quadro de Transparência e Consentimento (TCF) da associação de publicidade IAB Europe supostamente pede esse consentimento: Se os utilizadores clicarem em “aceitar cookies” ou não se opuserem a que a utilização dos seus dados seja do interesse legítimo do fornecedor, o TCF gera a chamada cadeia TC. Este identificador constitui a base para a criação de perfis individuais. Em seguida, os perfis são utilizados para os comparar com os anúncios a apresentar. Ao fazê-lo, a cadeia TC é transmitida a centenas e centenas de parceiros no sistema OpenRTB.

Todo o sector da publicidade (quando se fala de anúncios direcionados) se baseia na cadeia TC, o que faz dela a norma mais importante no ecossistema da publicidade em linha.

Como é que a decisão influencia o sector da publicidade?

Numa decisão histórica, a APD belga decidiu em 2022 - o que foi agora confirmado pelo tribunal de Bruxelas - que a partilha da cadeia TC com centenas de parceiros viola o Regulamento Geral sobre a Proteção de Dados. Segundo a autoridade de controlo, o sistema utilizado pelos anunciantes para recolher o consentimento para a publicidade direcionada na Internet não respeita os princípios da legalidade e da equidade.

Na sua decisão, a APD belga aplicou uma coima de 250.000 euros à associação de publicidade IAB Europe, que desenvolve e opera o mecanismo TCF. Além disso, a IAB tem agora de apagar os dados pessoais já recolhidos - o que vale uma mina de ouro para a indústria da publicidade. Quanto? É possível estimar este valor se tivermos em conta uma decisão semelhante imposta à Google em 2024, que obrigou o gigante tecnológico a eliminar 5 mil milhões de dólares de dados de utilizadores recolhidos ilegalmente no modo de navegação anónima. No entanto, ainda mais significativas são as condições que a APD belga está a impor ao sector da publicidade para continuar a utilizar o Quadro de Transparência e Consentimento.

Milhares de operadores de sítios Web, quase todos os meios de comunicação social em linha e também grandes empresas de publicidade como a Google, a Microsoft, a Amazon, a X e outras utilizam o mecanismo para transmitir o suposto consentimento dos utilizadores para o tratamento dos seus dados pessoais para fins publicitários.

Hielke Hijmans, Presidente da Câmara de Contencioso da APD belga, afirma

”As pessoas são convidadas a dar o seu consentimento, mas a maior parte delas não sabe que os seus perfis estão a ser vendidos um grande número de vezes por dia para as expor a anúncios personalizados. Embora diga respeito ao TCF, e não a todo o sistema de licitações em tempo real, a nossa decisão de hoje terá um impacto importante na proteção dos dados pessoais dos utilizadores da Internet. A ordem deve ser restabelecida no sistema TCF para que os utilizadores possam recuperar o controlo sobre os seus dados”.

Mesmo que a decisão não afecte diretamente todo o sistema de publicidade na Internet, terá um grande impacto na proteção dos dados pessoais dos utilizadores da Internet, afirma Hijmans.

Porque é que a decisão é importante?

As autoridades belgas de proteção de dados argumentam que não só os perfis publicitários são dados pessoais, como também a cadeia de caracteres TC - que é utilizada para a publicidade direcionada - deve ser considerada como um dado pessoal. Esta cadeia pode ser combinada com o endereço IP e, assim, tornar qualquer utilizador identificável.

A decisão do tribunal deixou isso absolutamente claro:

A cadeia de caracteres TC é um dado pessoal. Como o TJUE confirmou neste mesmo processo, isto aplica-se quer a IAB Europe tenha acesso a eles ou não”.

Consequentemente, o IAB Europe viola o RGPD com o protocolo TCF utilizado para gerar cadeias de TC. Além disso, o consentimento dado pelos utilizadores para o rastreio de dados (cookies) é ineficaz, uma vez que não existe um interesse legítimo suficiente do proprietário do sítio Web para pedir esse consentimento em primeiro lugar.

As autoridades argumentam que o interesse legítimo dos utilizadores se sobrepõe ao interesse legítimo das empresas de publicidade devido ao elevado risco associado ao rastreio baseado na publicidade de ofertas em tempo real.

Além disso, as informações fornecidas aos utilizadores ao darem o seu consentimento eram demasiado gerais e vagas para que pudessem compreender a natureza e o âmbito do tratamento dos seus dados, especialmente tendo em conta a complexidade da publicidade baseada no rastreio.

As faixas de cookies são ilegais?

Assim, a principal questão que surge desta discussão sobre os pormenores legais do rastreio é: Os banners de cookies são ilegais? Tal como a questão de saber se o Google Analytics é ilegal na UE, a resposta é sim e não.

Embora muitas das actuais implementações de faixas de cookies na UE sejam ilegais - por exemplo, porque justificam o seguimento de anúncios como interesse legítimo ou porque são demasiado vagas quanto aos dados que estão a ser recolhidos e porquê - a utilização de faixas de cookies em geral não é ilegal na UE.

Mas o que é que isto significa para o futuro dos cookies?

Os banners de cookies tornaram-se um verdadeiro incómodo online, por vezes tão irritante como os próprios anúncios - que as pessoas podem bloquear através de bloqueadores de anúncios, mesmo no Gmail. O que mais incomoda as pessoas em relação aos banners de cookies é o facto de ser normalmente muito fácil “Aceitar tudo” - enquanto a opção “Rejeitar tudo” não é frequentemente dada. No entanto, este procedimento dos editores - de mostrar apenas um botão “Aceitar tudo” - está agora também a ser alvo de críticas na Alemanha, pelo que se espera que um botão “Rejeitar tudo” esteja brevemente disponível em todo o lado.

Em qualquer caso, na sequência da atual decisão de Bruxelas, os editores têm de adaptar a utilização de faixas de cookies. Os editores devem:

  • Utilizar um consentimento genuíno para os cookies de rastreio (sem caixas pré-marcadas)
  • Fornecer informações claras e concisas sobre os dados que são recolhidos e porquê
  • Não se basear no “interesse legítimo” como fundamento para o rastreio de anúncios

Primeira consequência? O novo botão “Rejeitar tudo” da Google

Um primeiro sinal de que as autoridades europeias estão a aplicar os direitos dos clientes de uma forma mais rigorosa é o facto de a Google estar finalmente a adicionar um botão “Rejeitar tudo” aos seus banners de cookies.

Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. O antigo banner de cookies da Google é ilegal na Europa? A Google já adicionou um botão “Rejeitar tudo”.

Boas notícias para os adeptos da privacidade

Para os utilizadores da Internet que valorizam a proteção de dados, a decisão da DPA belga e do Tribunal de Recurso de Bruxelas de declarar ilegais os banners de cookies na sua forma atual é uma excelente notícia.

Em primeiro lugar, porque as empresas de tecnologia da publicidade terão de apagar os dados dos utilizadores que recolheram através do mecanismo TCF.

Em segundo lugar - e mais importante - a decisão das autoridades belgas de proteção de dados poderá levar à anulação de todo o sistema de publicidade personalizada.

Isto poderia finalmente pôr fim à publicidade direcionada.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.