RGPD e Cookies em Portugal: O Banner Legal que o seu Site Precisa (2026)

Banner de cookies. Toda a gente sabe que tem de existir. Quase ninguém sabe o que tem de dizer — e a maioria dos sites em Portugal está em incumprimento sem saber. Em 2024 e 2025, a CNPD aplicou coimas a vários sites portugueses por banners de cookies não-conformes.

Este guia explica, em linguagem simples, o que o seu banner de cookies tem de fazer em 2026 para estar conforme.

Este artigo é informativo. Em casos complexos, consulte um advogado especializado em proteção de dados.

Quem regula isto em Portugal?

Duas entidades, com competências complementares:

• CNPD (Comissão Nacional de Proteção de Dados) — autoridade nacional para o RGPD.
• ANACOM — entidade reguladora das comunicações eletrónicas (Lei 41/2004, que transpõe a diretiva ePrivacy).

Para cookies, a base legal é a Lei 41/2004 (ePrivacy), conjugada com o RGPD.

As regras essenciais — o que o seu banner TEM de fazer

1. Bloquear cookies não-essenciais antes do consentimento

O erro mais comum: o site carrega Google Analytics, píxel do Facebook, vídeos do YouTube embeddados antes do utilizador clicar em “Aceitar”. Isto é violação direta — cookies não-essenciais só podem disparar depois do consentimento.

2. “Aceitar” e “Rejeitar” com o mesmo destaque

Banner que mostra botão verde grande “ACEITAR” e link minúsculo “saber mais” não é consentimento válido. CNPD considera isto “dark pattern”. Os botões têm de ter:

• Mesmo tamanho.
• Mesma cor (ou cores neutras).
• Mesma visibilidade.
• Texto claro: “Aceitar todos” / “Rejeitar todos” / “Personalizar”.

3. Granularidade por categoria

O utilizador tem de poder escolher por tipo de cookie:

• Necessários — sempre ativos, sem consentimento (sessão, segurança).
• Preferências — idioma, tema, etc.
• Estatísticas / Analytics — Google Analytics, etc.
• Marketing / Publicidade — Facebook Pixel, Google Ads, etc.

4. Política de cookies detalhada

Uma página linkada do banner que liste:

• Nome de cada cookie.
• Finalidade.
• Duração.
• Terceiros envolvidos (Google, Meta, etc.).
• País onde os dados podem ser tratados.

5. Possibilidade de retirar consentimento

O utilizador tem de poder mudar a opinião a qualquer momento — normalmente através de um link permanente no rodapé (“Definições de cookies”).

6. Registo de consentimentos

Tem de poder demonstrar que consentimento foi dado. Soluções como Cookiebot, OneTrust, ou plugins WordPress como Complianz mantêm log com timestamp e versão do banner.

Soluções recomendadas em 2026

Solução	Preço	Pontos fortes	Limitações
Complianz Pro (WordPress)	€69-119/ano	Made for WordPress, scan automático	WordPress only
Cookiebot (Cybot)	Grátis até 100 páginas, depois €11+/mês	Bem aceite pelas autoridades, multi-plataforma	Cobranças escalam com tamanho
Iubenda	€20+/ano	Italiana, suporte em PT	Algumas funcionalidades limitadas no plano básico
Banner próprio + Termly	€10+/mês	Personalizável	Configuração mais técnica

O que NÃO conta como consentimento válido

• Scroll na página = consentimento. Não conta.
• Continuar a navegar = consentimento. Não conta.
• Caixas pré-marcadas. Inválido (Acórdão Planet49 do TJUE).
• Cookie wall que bloqueia totalmente o site até aceitar. Limitado — só aceitável em casos muito específicos.

Implicações para o seu Google Analytics

Em 2024, vários países europeus declararam Google Analytics 3 (Universal Analytics) incompatível com RGPD sem configurações adicionais. Google Analytics 4 está em zona cinzenta mas continua usável se:

• IP anonimizado (configuração GA4).
• Retenção de dados reduzida (14 meses).
• Sem partilha de dados com Google para finalidades secundárias.
• Disparado apenas após consentimento.

Alternativas livres de cookies (“cookieless analytics”) cada vez mais usadas em Portugal: Plausible, Fathom, Matomo. Não precisam de banner para a parte analytics — coletam dados anónimos agregados.

Coimas reais aplicadas em Portugal

Em 2023-2025, a CNPD aplicou coimas em casos como:

• Sites de e-commerce que disparavam píxel do Facebook antes do consentimento.
• Banner sem opção “Rejeitar”.
• Cookies de analytics sem informação adequada.

Valores variam consoante volume de utilizadores afetados e duração do incumprimento.

Como a BeiraByte resolve isto

Em todos os sites BeiraByte incluímos:

• Banner de cookies CNPD-compliant pré-configurado.
• Bloqueio automático de cookies não-essenciais antes do consentimento.
• Política de privacidade adaptada à atividade do cliente (não template genérico).
• Política de cookies com cookies do site listados (não copy-paste).
• Link permanente no rodapé para gestão de consentimentos.
• Configuração GA4 conforme regras CNPD (ou Plausible/Matomo como alternativa).

E mantemos os clientes a par de mudanças regulatórias através do portal Business Suite — onde recebem notificações quando há alterações importantes a aplicar ao site.

Perguntas frequentes

Tenho de ter banner se uso apenas cookies de sessão?

Cookies estritamente necessárias (sessão, carrinho de compras) não precisam de consentimento — mas tem de as listar na política de cookies.

Banner em pop-up bloqueia a visualização. Posso fazer assim?

Pode, desde que o utilizador consiga rejeitar sem entrar no site. Cookie wall total (sem opção rejeitar) só é aceitável em casos muito limitados (ex: imprensa com paywall).

Tenho de pedir consentimento separado para cada cookie?

Não — pode agrupar por categoria (necessários, estatísticas, marketing). Cada categoria com opção independente.

E se o meu site usa só Google Fonts?

Google Fonts hospedado pela Google envia IP do utilizador para os EUA — precisa de consentimento. Solução: auto-hospedar as fontes. Em Portugal, ANACOM e CNPD têm vindo a apertar nisto.