Como configurar o consentimento de cookies no WordPress (GDPR)

Sob a lei europeia de privacidade, você não pode definir cookies de rastreamento, cookies de análise ou cookies de marketing no navegador de um visitante sem o seu consentimento explícito e informado. Isso não é opcional, e violações acarretam multas sérias. A boa notícia é que configurar uma solução adequada de consentimento de cookies no WordPress leva cerca de 30 minutos, uma vez que você entenda os requisitos. Este guia cobre a base legal, a implementação técnica e os erros comuns que podem colocá-lo em apuros.

O que o GDPR e a Diretiva ePrivacy realmente exigem

Duas peças da legislação da UE governam como os sites lidam com cookies. O GDPR (Regulamento Geral de Proteção de Dados) estabelece as regras para o processamento de dados pessoais, enquanto a Diretiva ePrivacy (frequentemente chamada de "Diretiva de Cookies") aborda especificamente o armazenamento de informações no dispositivo do usuário. Juntos, eles criam uma estrutura clara:

• Artigo 6 do GDPR (Base Legal): Você precisa de uma base legal para processar dados pessoais. Para cookies que rastreiam usuários, a base relevante é o consentimento sob o Artigo 6(1)(a). Interesse legítimo (Artigo 6(1)(f)) não se aplica a cookies não essenciais, segundo a maioria das autoridades europeias de proteção de dados.
• Artigo 7 do GDPR (Condições para o Consentimento): O consentimento deve ser dado livremente, ser específico, informado e inequívoco. Deve ser um opt-in ativo (sem caixas pré-marcadas). Retirar o consentimento deve ser tão fácil quanto concedê-lo.
• Diretiva ePrivacy (Artigo 5(3)): Armazenar ou acessar informações no dispositivo de um usuário (incluindo cookies, localStorage e tecnologias similares) requer consentimento prévio, a menos que o cookie seja estritamente necessário para o serviço que o usuário solicitou explicitamente.

Na prática, isso significa: nada de análises, nada de pixels de marketing, nada de incorporações de redes sociais, nada de vídeos incorporados de terceiros e nada de cookies de publicidade até que o usuário clique em "Aceitar". Cookies estritamente necessários (como cookies de sessão para um carrinho de compras ou cookies de autenticação) não exigem consentimento.

Entendendo as categorias de cookies

Uma implementação adequada de consentimento categoriza os cookies em grupos para que os usuários possam fazer escolhas granulares. Aqui estão as categorias padrão:

• Estritamente Necessários (Essenciais): Cookies necessários para a funcionalidade básica do site. Os exemplos incluem cookies de sessão (por exemplo, o cookie de login do WordPress wordpress_logged_in_*), cookies de carrinho do WooCommerce, tokens CSRF e o próprio cookie de preferência de consentimento. Esses não exigem consentimento e não podem ser rejeitados pelo usuário.
• Funcionais (Preferências): Cookies que lembram preferências do usuário como seleção de idioma, preferência de tema ou região. Esses não são estritamente necessários, mas aprimoram a experiência do usuário. Eles exigem consentimento.
• Análise (Estatísticas): Cookies definidos por ferramentas como Google Analytics, Matomo ou Plausible que medem como os visitantes usam seu site. Mesmo cookies de análise "anônimos" normalmente exigem consentimento na UE, a menos que você use uma ferramenta focada em privacidade que não defina cookies (como Plausible ou Fathom no modo cookieless).
• Marketing (Publicidade): Cookies de redes de publicidade, plataformas de retargeting e pixels de redes sociais (Facebook Pixel, Google Ads, LinkedIn Insight Tag). Esses sempre exigem consentimento.

Configurando o Complianz (recomendado para a maioria dos sites)

1. Instale o Complianz - GDPR/CCPA Cookie Consent do diretório de plugins do WordPress.
2. Execute o assistente de configuração. O Complianz pergunta sobre a localização da sua empresa, as regiões que você atende e quais serviços de terceiros você usa. Responda honestamente, pois o assistente gera sua política de cookies e a configuração de consentimento com base nessas respostas.
3. O plugin varre automaticamente seu site para detectar cookies. Revise os resultados da varredura e categorize quaisquer cookies que ele não conseguiu identificar automaticamente.
4. Configure o design do banner de consentimento em Complianz > Consent Banner. Escolha entre um banner no topo ou na parte inferior, um popup centralizado ou um painel lateral. Certifique-se de que o botão "Rejeitar Tudo" seja igualmente proeminente quanto o botão "Aceitar Tudo" (este é um requisito legal).
5. Habilite o bloqueio de scripts. O Complianz pode bloquear automaticamente scripts conhecidos (Google Analytics, Facebook Pixel, incorporações do YouTube) até que o usuário dê consentimento. Vá para Integrations e verifique se seus serviços de terceiros estão listados.
6. Para scripts personalizados que o Complianz não reconhece, envolva-os com o placeholder do Complianz. Mude o tipo de script de text/javascript para text/plain e adicione um atributo data-category.
7. Teste abrindo seu site em uma janela anônima. Antes de aceitar cookies, verifique se nenhum script de análise ou marketing está sendo carregado (verifique a aba Network nas DevTools do navegador). Após aceitar, verifique se os scripts carregam corretamente.

Configurando o Real Cookie Banner (melhor para a região DACH)

O Real Cookie Banner é um plugin desenvolvido na Alemanha que adota uma abordagem baseada em serviços, em vez de uma abordagem baseada em cookies. Em vez de categorizar cookies individuais, você configura cada serviço (Google Analytics, YouTube, Google Maps, etc.) e o plugin cuida do resto. Essa abordagem se alinha bem com a interpretação alemã do GDPR.

1. Instale o Real Cookie Banner do diretório de plugins do WordPress.
2. Execute o assistente de configuração. O plugin inclui um grande banco de dados de templates de serviços pré-configurados, então você não precisa inserir manualmente nomes de cookies ou períodos de retenção para serviços comuns.
3. Para cada serviço detectado, o plugin fornece descrições juridicamente revisadas, detalhes de processamento de dados e informações de cookies. Revise-as e ajuste se necessário.
4. Configure o layout do banner de consentimento. O Real Cookie Banner oferece amplas opções de personalização para cores, estilos de botão e texto.
5. O plugin gera um bloqueador de conteúdo para conteúdo incorporado (vídeos do YouTube, Google Maps, incorporações de redes sociais). Os visitantes veem um placeholder com um aviso de consentimento em vez do conteúdo incorporado.

Configurando o CookieYes

1. Instale o CookieYes | GDPR Cookie Consent do diretório de plugins do WordPress ou cadastre-se em cookieyes.com.
2. Execute a varredura automática de cookies. O CookieYes identifica cookies em seu site e os categoriza.
3. Personalize a aparência do banner, cores dos botões e texto no painel do CookieYes.
4. Configure o bloqueio de scripts para cada categoria de cookie. O CookieYes suporta tanto bloqueio automático quanto manual de scripts.
5. O CookieYes também fornece um gerador de política de cookies que você pode incorporar na sua página de política de privacidade.

Integração com o Google Consent Mode v2

Se você usa serviços do Google (Analytics, Ads, Tag Manager), você precisa implementar o Google Consent Mode v2. Desde março de 2024, o Google exige o Consent Mode para sites que veiculam anúncios para usuários do EEE. Sem ele, o Google Ads não coletará dados de usuários no Espaço Econômico Europeu.

O Consent Mode v2 introduz dois novos parâmetros, além dos originais:

• ad_user_data: Controla se os dados do usuário podem ser enviados ao Google para fins de publicidade.
• ad_personalization: Controla se a publicidade personalizada (remarketing) é permitida.
• analytics_storage: Controla se os cookies de análise podem ser definidos.
• ad_storage: Controla se os cookies de publicidade podem ser definidos.

Todos os três plugins recomendados (Complianz, Real Cookie Banner, CookieYes) suportam o Google Consent Mode v2 imediatamente. Certifique-se de habilitá-lo nas configurações do plugin. Quando um usuário não deu consentimento, o Consent Mode envia "cookieless pings" para o Google, que fornecem dados agregados e modelados sem identificar usuários individuais.

TCF 2.2 e o Framework IAB

O Transparency and Consent Framework (TCF) versão 2.2, gerenciado pelo Interactive Advertising Bureau (IAB), é um protocolo padronizado para comunicar o consentimento do usuário aos fornecedores de publicidade. Se você executa publicidade programática em seu site (Google AdSense, header bidding, redes de anúncios), sua solução de consentimento deve oferecer suporte a TCF 2.2. Isso garante que as redes de anúncios recebam sinais de consentimento em um formato padronizado que possam processar.

Nem todos os plugins gratuitos de consentimento suportam TCF 2.2. O Complianz inclui suporte a TCF em sua versão premium. O CookieYes também oferece TCF 2.2 em seus planos pagos. Se você depende da receita de anúncios, vale o investimento.

Lidando com o Google Analytics e o Tag Manager com consentimento

A configuração mais comum envolve carregar o Google Tag Manager (GTM) com o Consent Mode v2 como estado padrão e, em seguida, atualizar o consentimento quando o usuário interagir com seu banner. Aqui está o padrão:

<!-- Carregar GTM com estado de consentimento padrão (negado) -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});
</script>

Seu plugin de consentimento então chama gtag('consent', 'update', {...}) quando o usuário aceita. Se você usa um dos plugins WordPress recomendados, isso é tratado automaticamente. Você não precisa escrever esse código manualmente.

Auditando os cookies do seu site manualmente

Antes de configurar uma solução de consentimento, ajuda saber exatamente quais cookies seu site define. Veja como auditá-los:

1. Abra seu site em uma janela anônima do navegador.
2. Abra as DevTools (F12) e vá para a aba Application (Chrome) ou Storage (Firefox).
3. Em Cookies, clique em seu domínio. Anote cada nome de cookie, seu domínio, expiração e se é HttpOnly ou Secure.
4. Navegue por várias páginas, incluindo páginas com conteúdo incorporado (vídeos do YouTube, Google Maps, feeds de redes sociais). Cada interação pode definir cookies adicionais.
5. Verifique também o localStorage e o sessionStorage, pois também são cobertos pela Diretiva ePrivacy.
6. Use a aba Network do seu navegador para identificar quais requisições definem cookies (procure por cabeçalhos de resposta Set-Cookie).

O InspectWP pode ajudar com essa auditoria. Execute uma varredura e verifique a seção de cookies, que lista todos os cookies detectados durante a varredura.

Erros comuns de consentimento de cookies que levam a multas

As autoridades europeias de proteção de dados emitiram multas significativas por violações de cookies. Aqui estão os erros mais comuns a evitar:

• Caixas de consentimento pré-marcadas: O TJUE (Tribunal de Justiça da União Europeia) decidiu no caso Planet49 (2019) que caixas pré-marcadas não constituem consentimento válido. Cada categoria não essencial deve ser opt-in.
• Muros de cookies: Bloquear o acesso ao seu site a menos que os usuários aceitem todos os cookies é considerado coerção e invalida o consentimento. Os usuários devem poder acessar seu conteúdo mesmo se rejeitarem todos os cookies não essenciais.
• Botões de rejeição confusos: Tornar o botão "Rejeitar" pequeno, cinza ou escondido atrás de um link "Gerenciar Preferências", enquanto o botão "Aceitar Tudo" é grande e colorido, é um dark pattern. A CNIL francesa multou o Google em 150 milhões de euros, em parte por isso. Ambos os botões devem ser igualmente visíveis.
• Sem maneira de retirar o consentimento: Os usuários devem poder alterar suas preferências de cookies a qualquer momento. Inclua um link ou ícone persistente (frequentemente um pequeno escudo ou ícone de cookie no canto) que reabra o diálogo de consentimento.
• Definindo cookies antes do consentimento: Se seu script de análise dispara antes do banner de consentimento ser exibido, você está violando a lei, independentemente de quão bonito seja seu banner. Use as DevTools do seu navegador para verificar o tempo.
• Ignorar o consentimento para conteúdo incorporado: Incorporações do YouTube, iframes do Google Maps e widgets de redes sociais definem cookies. Você precisa bloqueá-los até que o consentimento seja dado, normalmente substituindo a incorporação por um placeholder.

Testando sua implementação de consentimento de cookies

Após configurar sua solução de consentimento, teste-a minuciosamente:

1. Abra seu site em modo anônimo. O banner de consentimento deve aparecer imediatamente.
2. Antes de interagir com o banner, verifique as DevTools em busca de cookies. Você deve ver apenas cookies estritamente necessários.
3. Clique em "Rejeitar Tudo". Nenhum cookie de análise ou marketing deve ser definido. Navegue por várias páginas para confirmar.
4. Limpe os cookies e recarregue. Clique em "Aceitar Tudo". Verifique se os scripts de análise e marketing agora carregam corretamente.
5. Limpe os cookies novamente. Clique em "Gerenciar Preferências" e aceite apenas análise. Verifique se os cookies de marketing não são definidos, mas os cookies de análise sim.
6. Após aceitar, procure a opção de retirar o consentimento. Clique nela e verifique se os cookies não essenciais são removidos.

Verifique a sua configuração de cookies com o InspectWP

Execute uma varredura do InspectWP para ver uma lista completa dos cookies que seu site define durante o carregamento de uma página. A seção GDPR sinaliza cookies de terceiros e recursos externos que podem exigir consentimento. Se você ver cookies do Google Analytics, cookies do Facebook ou outros cookies de rastreamento no relatório do InspectWP, verifique se sua solução de consentimento está bloqueando-os adequadamente antes do consentimento ser dado. Lembre-se de que o InspectWP varre o seu site sem dar consentimento de cookies, portanto, quaisquer cookies de rastreamento que apareçam no relatório indicam um possível problema de conformidade.