Porque é que os banners de consentimento de cookies são maus: um falhanço de design e de ética

Os banners de consentimento de cookies são maus porque não são consentimento nenhum — são um imposto de fricção inventado para fazer com que o rastreio não consentido pareça legal. A solução honesta não é um banner mais bonito nem uma plataforma de gestão de consentimento mais esperta. É recolher tão poucos dados que não há nada para o qual pedir permissão. Construímos sites sem qualquer banner de cookies, e são mais rápidos, mais privados e mais defensáveis juridicamente do que os que se afogam em janelas modais sobrepostas.

Porque é que os banners de consentimento de cookies são maus: a versão curta

Um banner de consentimento de cookies é a janela intersticial que lhe pede para "Aceitar tudo", "Rejeitar" ou "Gerir preferências" antes de poder ler uma página. Existe porque o site quer instalar cookies de rastreio — Google Analytics, pixéis publicitários, gravação de sessão — que não são estritamente necessários, e o RGPD e a Diretiva ePrivacy exigem consentimento prévio, livre e informado para esses.

Eis a parte que ninguém diz em voz alta: o banner não está ali para o proteger. Está ali para extrair um "sim" para que o rastreio, que era sempre o objetivo, possa prosseguir com um rasto documental. Se os dados não estivessem a ser recolhidos, não haveria nada para consentir, e o banner não existiria. O banner é uma confissão, exibida com orgulho como se fosse uma funcionalidade de privacidade.

• São dark patterns por defeito. "Aceitar tudo" é um clique verde; "Rejeitar" está enterrado a dois ecrãs de distância, atrás de "Gerir".
• São teatro jurídico. Um clique coagido não é consentimento livre, e os reguladores sabem-no.
• Destroem a experiência de utilização. Bloqueiam o conteúdo, deslocam o layout, afundam o desempenho e quebram a acessibilidade.
• São evitáveis. Recolha apenas o estritamente necessário e a base legal para um banner desaparece.

O dark pattern é o produto

Abra quase qualquer banner de consentimento e cronometre quanto tempo demora a recusar. Depois cronometre quanto tempo demora a aceitar. A assimetria é o jogo todo.

O guião habitual é deprimentemente consistente. "Aceitar tudo" é um botão de alto contraste, já em foco, muitas vezes a única coisa estilizada como um verdadeiro apelo à ação. "Rejeitar tudo", se sequer existe, aparece como texto simples, uma ligação esbatida, ou escondido atrás de um desvio "Gerir opções" onde é recebido com 1.400 interruptores de "interesse legítimo" ativados por defeito e um expansor "Fornecedores (847)". Isto não é um acidente de design. É o design.

São dark patterns de manual: escolhas de interface que empurram os utilizadores para decisões contra os seus próprios interesses. As próprias orientações da UE — as diretrizes de design enganador do CEPD de 2022 e a aplicação da CNIL em França — apontaram explicitamente botões de rejeição mais difíceis de alcançar do que os de aceitação. O consentimento obtido desta forma é, pela própria definição dos reguladores, inválido. Por isso o banner falha nos seus próprios termos: é simultaneamente uma monstruosidade e juridicamente desprotegido.

Se o seu mecanismo de "consentimento" foi concebido para que dizer não seja mais difícil do que dizer sim, não recolheu consentimento. Recolheu cansaço.

E é precisamente no cansaço que a indústria aposta. Depois do quadrigentésimo banner da semana, as pessoas clicam no botão verde para fazer a página desaparecer. Esse clique reflexo é depois branqueado numa base legal. O génio e a podridão do sistema é que converte irritação em conformidade.

Os banners de consentimento são um desastre de UX e de desempenho

Ponha a ética de lado por um momento e julgue o banner puramente como elemento de interface. Continua a falhar.

Bloqueia o conteúdo que o utilizador veio buscar. A primeira interação no seu site é um obstáculo que foi você a colocar lá. Nenhuma outra indústria toleraria um porteiro que exige uma assinatura antes de poder olhar para o menu.

Destrói os seus Core Web Vitals. As plataformas de gestão de consentimento — OneTrust, Cookiebot, Quantcast e companhia — chegam como JavaScript de terceiros que bloqueia a renderização. Adicionam rotineiramente 100 a 300 KB de script, injetam uma sobreposição de ecrã inteiro que chega tarde, e provocam Cumulative Layout Shift quando o banner surge depois do primeiro paint. Já vimos scripts de CMP arrastarem sozinhos uma pontuação de desempenho do Lighthouse dos 90 para os 60. Instala-se uma coisa cujo trabalho inteiro é abrandar o site e colher dados, e depois paga-se uma subscrição pelo privilégio.

É um campo minado de acessibilidade. Focus traps que não são verdadeiros focus traps, ligações "Rejeitar" que os leitores de ecrã anunciam depois de quarenta caixas de fornecedores, rácios de contraste que falham as WCAG no próprio botão para onde se é empurrado — as interfaces de consentimento são das menos acessíveis da web moderna, ironicamente construídas em nome de uma lei de proteção do utilizador.

Treina a impotência aprendida. Cada banner ensina aos utilizadores que o movimento seguro e rápido é clicar em "Aceitar" sem ler. Passámos uma década a condicionar uma população inteira a consentir na vigilância por reflexo. Isso é o oposto de informado.

O teatro jurídico que ninguém quer admitir

A verdade incómoda é que a maioria dos banners de cookies nem sequer atinge a conformidade que existem para encenar. Ao abrigo do RGPD e da Diretiva ePrivacy, o consentimento tem de ser livre, específico, informado e inequívoco, com a recusa tão fácil como a aceitação e sem caixas pré-assinaladas. Submeta o banner médio a este teste e ele falha a maioria dos critérios. O resultado é um site com todas as desvantagens do rastreio, toda a fricção de um banner, e nenhuma da segurança jurídica que deveria comprar.

É teatro no sentido preciso: uma encenação de conformidade montada para uma plateia, com a ação verdadeira — a recolha de dados — a acontecer independentemente. O banner é a cortina, não a peça.

A alternativa: recolher menos, para não precisar de banner

A premissa inteira está errada. A pergunta nunca é "como obtemos bom consentimento para o rastreio?". A melhor pergunta é "porque é que estamos sequer a rastrear isto?"

A Diretiva ePrivacy e todos os reguladores da UE concordam num ponto libertador: não precisa de consentimento para cookies e armazenamento estritamente necessários para entregar o serviço que o utilizador pediu. Uma sessão de login, um carrinho de compras, um token CSRF, uma preferência de idioma definida quando o utilizador escolhe um idioma — estão isentos. A obrigação de consentimento só se aplica aos extras não essenciais: análises que constroem perfis comportamentais, pixéis publicitários, identificadores entre sites, gravação de sessão.

Por isso, remova-os, e a base legal para um banner evapora-se. É este o caminho que seguimos em cada projeto.

O que fazemos em vez disso

• Sem análises de terceiros. Corremos um ponto de análise próprio, sem cookies e conforme ao RGPD, que escrevemos nós mesmos — um pequeno track.php que regista sinais agregados (visualização de página, referenciador, classe de dispositivo grosseira) sem cookies, sem identificadores entre sites, sem fingerprinting e sem dados pessoais. Não há nada para consentir porque nada identifica ninguém.
• Sem ad tech, sem pixéis, sem SDKs de vigilância. Não incorporamos pixéis do Facebook nem tags do Google, por isso não há terceiro com quem negociar consentimento.
• Apenas armazenamento estritamente necessário. Os nossos sites guardam uma escolha de idioma e uma sessão quando genuinamente necessário. Ambos caem claramente dentro da isenção. A seleção de /pt/ ou /es/ pelo utilizador é uma preferência funcional, não vigilância — e deliberadamente não redirecionamos automaticamente nem criamos perfis com base nela.
• Renderizado no servidor, sem build step. HTML simples renderizado no servidor em PHP 8.3 atrás da Cloudflare significa que também não há um bundle pesado de cliente a contrabandear rastreadores.

A recompensa não é apenas ética. Um site que instala apenas cookies estritamente necessários não tem rastreio não essencial para consentir — por isso a primeira coisa que um visitante vê é o conteúdo, não uma janela modal a exigir uma assinatura. As páginas pintam instantaneamente porque não há CMP a bloquear a renderização. Não há registo de consentimento para manter, nem lista de fornecedores para auditar, nem DPA para perseguir, nem subscrição a uma plataforma de consentimento. O sistema mais simples de manter em conformidade é aquele que tem o menos possível sobre o que estar em conformidade.

Um banner de cookies é uma dívida que se contrai para financiar um rastreio de que provavelmente não precisava. Amortize a dívida não a contraindo.

"Mas nós precisamos dos dados"

Quase sempre, precisa de muito menos do que recolhe. Seja honesto quanto à pergunta real. Se é "quantas pessoas leram este artigo e de onde vieram?", as análises agregadas e sem cookies respondem na perfeição — sem necessidade de consentimento. Se é "reconstruir um perfil comportamental completo de cada visitante individual ao longo de sessões e sites", então sim, precisa de consentimento, e deveria ponderar porque quer isso e se os seus utilizadores concordariam se lhes perguntasse de forma franca, sem um dark pattern.

A maioria das equipas descobre que 95% dos dashboards que julgavam precisar nunca foram olhados, e que os 5% que importavam podem ser servidos por agregados que respeitam a privacidade. O instinto de recolher tudo é um reflexo, não um requisito.

Resumo em FAQ

Os banners de consentimento de cookies são obrigatórios por lei?

Não inerentemente. Um banner só é obrigatório se instalar cookies ou armazenamento não essenciais (análises, anúncios, rastreio). Os cookies estritamente necessários — sessões, carrinhos, segurança, preferência de idioma — estão isentos ao abrigo da Diretiva ePrivacy. Recolha apenas esses e não é necessário banner.

Porque é que os banners de consentimento são considerados má UX?

Bloqueiam o conteúdo antes de o utilizador o poder ler, carregam JavaScript de terceiros que bloqueia a renderização e prejudica os Core Web Vitals e provoca desvio de layout, são frequentemente inacessíveis, e usam dark patterns que tornam rejeitar mais difícil do que aceitar.

Qual é a alternativa a um banner de cookies?

Recolher menos. Use análises próprias sem cookies e sem dados pessoais, abandone os SDKs de anúncios e rastreio de terceiros, e guarde apenas dados estritamente necessários. Sem nada para consentir, não precisa de banner — e o site fica mais rápido e mais privado em consequência.

É ilegal que "Aceitar tudo" seja mais fácil do que "Rejeitar"?

Ao abrigo das orientações da UE (CEPD, CNIL), o consentimento tem de ser tão fácil de recusar como de dar, sem caixas pré-assinaladas. Tornar a rejeição mais difícil mina a validade do consentimento, pelo que o banner muitas vezes falha em entregar a conformidade para que foi construído.

Em conclusão

O banner de cookies é a web a pedir desculpa por uma decisão que tomou em seu nome. É mau design porque bloqueia e abranda a página; má ética porque fabrica consentimento por coação; e má engenharia porque resolve um problema que poderia simplesmente não ter criado. Construa sites que não rastreiam pessoas e o banner — com todos os seus dark patterns, custo de desempenho e teatro jurídico — fica sem nada para fazer. É essa a versão de privacidade que realmente respeita a pessoa do outro lado do ecrã.