Tipos de Cookies e a LGPD: Guia Completo de Categorias
Se você precisa adequar seu site à LGPD, o primeiro passo é entender quais cookies seu site utiliza e como categorizá-los corretamente. Cada categoria tem regras diferentes de consentimento. Este guia explica tudo que você precisa saber sobre os tipos de cookies e a LGPD.
O Que São Cookies?
Cookies são pequenos arquivos de texto que sites armazenam no navegador do visitante. Eles servem para diversas finalidades: manter o usuário logado, lembrar preferências, medir tráfego e exibir anúncios personalizados. Segundo a LGPD, cookies que identificam uma pessoa (direta ou indiretamente) são considerados dados pessoais.
As 4 Categorias de Cookies
1. Cookies Essenciais (Estritamente Necessários)
Precisam de consentimento? Não.
São cookies indispensáveis para o funcionamento básico do site. Sem eles, funcionalidades essenciais como login, carrinho de compras e segurança não funcionam.
Exemplos comuns:
PHPSESSID/session_id— Sessão do servidorcsrf_token— Proteção contra ataques CSRFauth_token— Autenticação de usuário logadocart_id— Identificação do carrinho de compras__cf_bm— Proteção anti-bot (Cloudflare)
Por que não precisam de consentimento: A LGPD permite o tratamento de dados quando necessário para a execução do serviço solicitado pelo titular. Sem esses cookies, o site simplesmente não funciona.
2. Cookies de Analytics (Estatísticas)
Precisam de consentimento? Sim.
Cookies usados para medir tráfego, entender comportamento de navegação e otimizar a experiência. Apesar de parecerem inofensivos, eles rastreiam o visitante e geram perfis de navegação — o que os torna dados pessoais.
Exemplos comuns:
_ga,_ga_*— Google Analytics 4_gid— Google Analytics (identificador de sessão)_clck,_clsk— Microsoft Clarity_hjSessionUser_*— Hotjar_pk_id.*— Matomo/Piwik
Dica: Com o Google Consent Mode v2, mesmo quando o visitante recusa cookies de analytics, o Google usa modelagem estatística para estimar dados — você não perde 100% das métricas.
3. Cookies de Marketing (Publicidade)
Precisam de consentimento? Sim — com a regulação mais rigorosa.
Cookies usados para exibir anúncios personalizados, fazer remarketing e medir conversões de campanhas publicitárias. São os mais invasivos em termos de privacidade, pois rastreiam o usuário entre múltiplos sites.
Exemplos comuns:
_fbp,_fbc— Facebook/Meta Pixel_gcl_au,_gcl_aw— Google Ads conversion trackingli_sugr,bcookie— LinkedIn Insight TagIDE,DSID— Google DoubleClick (remarketing)TikTok_Pixel— TikTok Ads
Impacto sem consentimento: Sem GCM v2 configurado, o Google Ads opera em modo restrito e você pode perder até 40% dos dados de conversão. O Facebook Pixel também perde eficácia significativamente.
4. Cookies Funcionais (Preferências)
Precisam de consentimento? Sim, se forem de terceiros.
Cookies que habilitam funcionalidades opcionais do site. Não são essenciais para o funcionamento básico, mas melhoram a experiência do usuário.
Exemplos comuns:
- Widgets de chat ao vivo (Tawk.to, Intercom, Drift)
- Botões de compartilhamento de redes sociais
- Widgets de WhatsApp (JivoChat, GetButton)
- Fontes externas (Google Fonts via CSS import)
- Vídeos incorporados (YouTube, Vimeo — carregam cookies ao embedar)
Tabela Resumo: Cookies e Consentimento
| Categoria | Consentimento | Pode Bloquear? | Exemplos |
|---|---|---|---|
| Essenciais | Não necessário | Não — sempre ativo | Sessão, CSRF, login |
| Analytics | Sim — opt-in | Sim — bloquear até aceitar | GA4, Clarity, Hotjar |
| Marketing | Sim — opt-in | Sim — bloquear até aceitar | Meta Pixel, Google Ads |
| Funcionais | Sim — opt-in | Sim — bloquear até aceitar | Chat, WhatsApp, YouTube |
Como Descobrir os Cookies do Seu Site
Existem três formas de auditar os cookies do seu site:
- Scanner automático: Use o scanner gratuito do CookieFácil para detectar e categorizar todos os cookies automaticamente
- DevTools do navegador: Abra F12 → Application → Cookies para ver todos os cookies ativos. Porém, você precisará categorizar manualmente
- Extensões: Ferramentas como EditThisCookie ou Cookie-Editor listam cookies, mas não os categorizam
O scanner do CookieFácil é a opção mais prática porque detecta, categoriza e já sugere a configuração do banner.
Como Bloquear Cookies Antes do Consentimento
O simples fato de ter um banner de cookies não garante conformidade. O banner precisa efetivamente bloquear os scripts de cookies não essenciais até que o visitante consinta. Existem duas abordagens:
Abordagem 1 — Atributo data-cf-category (CookieFácil):
Mude o type do script de text/javascript para text/plain e adicione o atributo data-cf-category:
<script type="text/plain" data-cf-category="analytics" src="..."></script>O CookieFácil só ativa o script quando o visitante aceita a categoria correspondente.
Abordagem 2 — Google Tag Manager:
Use o template CookieFácil para GTM, que configura os sinais de consentimento automaticamente. Cada tag no GTM pode ser condicionada a sinais de consentimento específicos.
Erros Comuns na Categorização
- Classificar GA4 como "essencial": Google Analytics nunca é essencial. É analytics e precisa de consentimento
- Ignorar cookies de YouTube embeds: Vídeos incorporados do YouTube carregam cookies de marketing. Use o modo "youtube-nocookie.com" ou categorize como funcional
- Esquecer do Google Fonts: Se carregado via CSS import, o Google Fonts envia dados para servidores do Google. Considere hospedar as fontes localmente ou categorizar como funcional
- Widget de WhatsApp sem categorização: Widgets de terceiros (JivoChat, GetButton) carregam cookies. Devem ser categorizados como funcionais. Saiba mais no nosso artigo sobre WhatsApp e LGPD
Conclusão
Categorizar cookies corretamente é a base de qualquer estratégia de conformidade com a LGPD. Cookies essenciais ficam sempre ativos; todos os demais precisam de consentimento prévio com bloqueio efetivo de scripts. O CookieFácil automatiza todo esse processo: detecta cookies, categoriza, bloqueia scripts e integra o Google Consent Mode v2.
Escaneie seu site gratuitamente e descubra quais cookies precisam de consentimento.
