Gerador Cookie Banner LGPD (Categorias)

Banner LGPD com categorias granulares

A LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) entrou em vigor em setembro de 2020 e passou a ser sancionável em agosto de 2021. Ela trata a maioria dos cookies — qualquer um carregando fingerprint de dispositivo, sinais comportamentais ou identificadores de publicidade — como dado pessoal, exigindo uma base legal válida do Art. 7. Para cookies não essenciais, a base padrão é o consentimento, e a ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar multa de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração, além de multa diária, bloqueio e até publicação da infração. O Guia Orientativo sobre Cookies de 2022 deixou explícito: o consentimento implícito ("ao continuar navegando você aceita") não vale no Brasil.

Um banner aderente à LGPD difere de um genérico de GDPR porque deve refletir cinco categorias granulares reconhecidas pelo mercado e pelo guia da ANPD, e não só "aceitar/rejeitar tudo". O Art. 11 ainda exige consentimento explícito para dados sensíveis — raça, saúde, biometria ou opinião política — então rastreadores que inferem esses sinais (sites médicos, apps de relacionamento) precisam de uma camada a mais.

As cinco categorias padrão

• Estritamente necessárias — sessão, CSRF, carrinho, balanceamento. Sempre ativas, dispensam consentimento.
• Funcionais / Preferências — idioma, tema, região. Opt-in, mas de baixo risco.
• Análise / Estatísticas — Google Analytics, Hotjar, Plausible, Clarity. Bloqueadas até o usuário consentir.
• Marketing / Publicidade — Facebook Pixel, Google Ads, RD Station, TikTok Pixel. As mais visadas em fiscalização.
• Personalização — recommendation engines, cohorts de A/B test atrelados a identificadores.

Primeira parte vs terceira parte

Cookies de primeira parte são gravados pelo domínio que o usuário visita; os de terceira parte pertencem a fornecedores externos carregados via iframe ou pixel e são o principal vetor de rastreamento entre sites. Safari (ITP) e Firefox (ETP) já bloqueiam terceiros por padrão; o Privacy Sandbox do Chrome está depreciando-os via Topics API, Protected Audience e Attribution Reporting. O caminho realista no médio prazo é server-side tracking apoiado em primeira parte e defaults com SameSite=Lax.

CMPs e opções brasileiras

A maioria das empresas adota uma Consent Management Platform: OneTrust, Cookiebot, Iubenda, Cookieyes, Usercentrics; sites em WordPress usam Borlabs ou Complianz. Entre fornecedores brasileiros aparecem Conta Azul Compliance e LGPD Solutions. Várias CMPs emitem o sinal TCF v2.2 (IAB Transparency and Consent Framework) consumido pelo ad-tech; se você atende só Brasil, o TCF é opcional. Magazine Luiza e Mercado Livre, por exemplo, usam banners multi-categoria.

Dark patterns que a ANPD observa

• Categorias pré-marcadas além das "estritamente necessárias" (ilegal no GDPR; a ANPD trata como consentimento inválido).
• "Rejeitar tudo" escondido atrás de "Personalizar" com vários cliques.
• Rastreamento disparado antes de o usuário interagir com o banner.
• Falta de mecanismo para revogar o consentimento — Art. 8 §5 da LGPD exige que retirar seja tão fácil quanto conceder.
• Ausência de registro do consentimento (log de timestamp, IP, versão da política e configuração aceita).

Perguntas frequentes

Consentimento granular é obrigatório pela LGPD? A lei é principiológica, mas o guia da ANPD de 2022 recomenda fortemente controle por categoria. Na prática, "aceitar/rejeitar" genérico é arriscado se o site carrega pixels de marketing.

Se eu só uso cookies estritamente necessários, ainda preciso de banner? Banner não é exigido, mas uma política curta de cookies no rodapé é boa prática e ajuda em auditorias.

Posso fazer analytics sem cookies e dispensar o banner? Sim — Plausible, Fathom, Simple Analytics e Umami anonimizam IPs e não armazenam identificadores persistentes. A CNIL aceitou o Plausible como dispensado de consentimento; a ANPD ainda não se pronunciou formalmente, mas o risco é muito menor.

Por quanto tempo guardar os registros de consentimento? A LGPD não fixa prazo, mas a maioria das CMPs mantém pela vigência da política mais 6 meses. Armazene timestamp, hash de IP, versão da política e o estado exato dos toggles — é sua prova de conformidade.