A maioria da população mundial dir-nos-á que uma cookie é sempre inevitável. Contudo, quando falamos em cookies digitais em contexto de proteção e tratamento de dados pessoais, a confusão entra em cena.
Chama-se cookie a um pequeno ficheiro descarregado por determinados websites para o dispositivo do utilizador, de forma a acompanhar e registar as preferências e o comportamento do mesmo enquanto navega naquele domínio. Comummente, estes são conhecidos como mais um botão ‘aceitar’ em que toda a gente carrega sem saber do que se trata.
Com o crescimento do comércio online, importa, cada vez mais, olhar para a forma como a nossa privacidade digital e os nossos dados pessoais são tratados, não só enquanto utilizadores digitais, mas também enquanto consumidores. Tal é de elevada relevância porque o preço a pagar por uma t-shirt à venda numa loja online não pode ser 29,99€ e, já agora, a sua palavra-passe das finanças.
Legitimamente, os dados pessoais de uma pessoa apenas podem ser tratados mediante:
1. O seu expresso e inequívoco consentimento (artigo 6.º-1-a) RGPD);
2. A sua necessidade para a execução de um contrato de que a pessoa titular seja parte (artigo 6.º-1-b) RGPD);
3. A sua necessidade para a defesa dos seus interesses vitais (artigo 6.º-1-d) RGPD) e;
4. Outras situações que legitimem esse tratamento, mas que não são tão interessantes para este tema.
Retirando-se, à partida, a necessidade de executar um tal contrato que, a este ponto, ainda não existe (discussão reconhecidamente complexa), ou a defesa de interesses vitais do consumidor (até porque a preferência por determinadas cores de meias de concreto consumidor não são de lá grande vitalidade), só nos resta ponderar se a aprovação dada ao carregar no botão “aceitar” é efetivamente um consentimento livre e informado ou se é uma aposta na típica e generalizada passividade dos consumidores-utilizadores.
É de conhecimento geral que vivemos num mundo onde ninguém lê “termos e condições”, “termos de privacidade” ou até bulas de medicamentos sujeitos a prescrição médica. Estes são tantos e tão extensos que, ao longo dos últimos anos, foram-se tornando numa verdade absoluta das nossas vidas. Por conseguinte, é difícil encontrar quem não sinta fadiga pela simples menção aos documentos acima descritos.
Aproveitando-se de tal fator, dir-se-á ser muito fácil que certos e determinados websites obtenham, indiscriminadamente, consentimento por parte dos consumidores, para um qualquer tratamento dos seus dados. Podemos até falar de “dark patterns” (em tradução direta, padrões obscuros), no sentido em que, não bastando a “fadiga do consentimento”, por vezes, são-nos ainda apresentadas janelas de “aceitação” desenhadas especificamente para que esse consentimento seja ainda mais facilmente obtido.
A utilização de determinadas cores que transmitem positividade, como é o caso do verde de “aceitar”, a propositada e desmedida extensão dos “termos” a ler ou cookies a escolher, e a, por ventura, dificuldade em navegar o website sem antes aceitar os mesmos, são exemplos de mecanismos de manipulação do utilizador digital que muito se observam hoje em dia, sendo ainda mais gravoso que, por vezes, estas escolhas são implementadas de forma propositada e intencional por parte do profissional ou desenvolvedor.
Além do mais, o desenvolvimento tecnológico e o surgimento da era do comércio digital, são acontecimentos muito recentes, pelo que, por exemplo, gerações que lhes antecederam, sofrem, em grande parte, daquilo a que se chama “assimetrias informacionais” ou até de uma certa “vulnerabilidade digital”, algo extensível a diversos grupos de pessoas e cuja exploração demonstra uma ainda maior gravidade das escolhas do desenvolvedor digital.
Esta é uma temática que abrange todas as áreas do quotidiano atual, mas é de especial importância no âmbito do Direito do Consumo, uma vez que, com o exponencial crescimento das compras e vendas online (ou apoiadas em serviços digitais), deparamo-nos com a especial vulnerabilidade dos dados bancários e financeiros do titular.
Cabe-nos questionar o atual paradigma. Se toda a lei que lhes seja pertinente tem como fundamento a proteção do consumidor, do titular ou do utilizador, como é que se concebe que este consentimento de que falamos e a sua vitalidade para o tratamento dos dados pessoais tenha sido cristalizado numa espécie de indiferença ou cegueira sociológica?
No que concerne ao consumidor e ao mundo do Direito do Consumo, existem diversos perigos emergentes do tratamento “consentido sem real consentimento” de dados pessoais para além da mera violação da privacidade e do aproveitamento do seu valor económico-comercial. Desde logo:
1. A formação de perfis comportamentais (o chamado profiling) que podem levar às restantes consequências ou a outras mais gravosas;
2. A redução da autodeterminação e do controlo informacional, fazendo com que os consumidores percam o real controlo dos seus dados pessoais e dos caminhos (legítimos ou não) que estes percorrem;
3. A criação e difusão de publicidade direcionada e indesejada;
4. O aproveitamento da acumulação de dados pessoais como plataforma de crescimento económico-empresarial insustentável e desigual (ao introduzir externalidades negativas no funcionamento do mercado), o que, entre outras, prejudica as pequenas empresas que dependem de consentimentos legítimos, e;
5. Tantos outros casos que se verificam no dia a dia de qualquer utilizador digital.
Que não se pense que estas temáticas são inevitáveis, nem da parte do legislador, nem da parte do utilizador-consumidor. Diversas soluções cumulativas foram e são discutidas a todo o momento.
Em primeiro lugar, regulamentação pertinente deverá ser debatida e adotada no sentido de estabelecer regras de “design ético” para janelas de confirmação de consentimento que não condicionem o consumidor, ainda que inconscientemente, a aceitar determinado tratamento de dados pessoais ou cookies. Na mesma nota, dever-se-á adotar uma premissa de “privacidade por padrão” (“privacy by default”) na criação e disponibilização de websites. Isto significaria que, à partida, qualquer website teria como predefinição a total privacidade e anonimato dos seus utilizadores, que, só e apenas se quisessem, poderiam subscrever e aceitar distinta política de privacidade quando assim o entendessem (procurando, por exemplo, uma experiência mais personalizada ou completa, sendo que aquela oferecida por padrão, nunca poderia carecer de funcionalidades essenciais).
Por outro lado, deve haver um maior “investimento”, tanto da parte dos consumidores, como das autoridades competentes (como por exemplo, a CNPD e a EDPB), respetivamente, no desenvolvimento de uma melhor literacia digital e de melhores esforços de supervisão e fiscalização do cumprimento das regras de proteção de dados e de consumo digital de acordo com princípios éticos, de justiça e, sobretudo, de privacidade.
Recentemente (mais concretamente, no dia 19 de novembro de 2025) foi publicada a proposta do Digital Omnibus, um pacote legislativo europeu que, entre diversas alterações e adições relevantes, pretende modernizar as regras referentes aos cookies, melhorando a experiência do utilizador digital. Esta proposta almeja reduzir o número de vezes em que janelas pop up são apresentadas ao utilizador, permitindo que este apresente o seu consentimento e preferências de escolha de cookies, guardando-os nas definições gerais dos seus browsers e sistemas operativos.
Esta proposta representa uma iniciativa refrescante, ainda que relativamente tímida, para a simplificação e melhoria do tratamento de dados proveniente de cookies. Não sendo propriamente uma “privacidade por padrão”, é uma “escolha padrão” que permitirá combater a “fadiga do consentimento” e, por conseguinte, aumentar a disponibilidade do utilizador para atender mais facilmente ao modo como são tratados os seus dados e à forma como é gerida a sua privacidade digital.
No mesmo sentido e (curiosamente) no mesmo dia de publicação da proposta Digital Omnibus, foi ainda publicada a 2030 Consumer Agenda que, entre outras temáticas, pretende promover a proteção do consumidor digital. Através do Digital Fairness Act (a ser proposto em 2026), a Comissão Europeia pretende combater práticas como os já referidos “dark patterns” e, entre outras, a personalização abusiva baseada em vulnerabilidades dos utilizadores (algo bastante relevante quando discutimos cookies que exploram padrões de comportamento e preferências aparentes dos utilizadores). Esta é uma notícia bastante agradável no que toca à segurança e privacidade digital, especialmente no que concerne a grupos de maior vulnerabilidade, tais como as crianças.
Os cookies digitais são, atualmente, mais inevitáveis do que propriamente escolhidos ou consentidos. A sociedade encontra-se condicionada por si mesma no que toca à aceitação passiva do tratamento dos seus dados pessoais, parecendo não atender à elevada importância que estes têm, não só ao nível da privacidade individual, mas também do seu real valor económico. É, portanto, de suma importância que continuemos a explorar e a debater soluções para que o Direito do Consumo, especialmente na sua vertente digital, evolua a fim de garantir escolhas verdadeiramente livres e informadas, integrando no seu domínio a proteção de dados e seus relevantes diplomas como uma nova dimensão essencial do consumidor digital.