RGPD no Site da Empresa: Cookies, Formulários e Consentimento

O site é o ponto onde o RGPD se torna visível para qualquer visitante — e onde mais empresas falham sem saber. Um banner de cookies que não cumpre, um formulário de contacto sem consentimento, scripts de marketing a carregar antes de o utilizador aceitar: são exatamente os pontos que geram queixas. A boa notícia é que pôr o site em conformidade é concreto e fazível.

Nota: este artigo foca a parte técnica. A validação jurídica deve ser feita por um DPO ou advogado.

Cookies: o erro mais comum dos sites portugueses

A maioria dos banners de cookies que se vê por aí não cumpre o RGPD. O erro típico: o site carrega cookies de marketing e analytics (Google Analytics, píxel do Facebook, etc.) antes de o utilizador consentir, e o banner serve apenas para "informar". Isto está errado. O consentimento tem de ser prévio e ativo.

• Bloqueio prévio — cookies não essenciais só devem disparar depois de o utilizador aceitar.
• Escolha real — "Aceitar" e "Rejeitar" com o mesmo destaque; nada de só haver um botão de aceitar.
• Granularidade — permitir aceitar por categorias (essenciais, estatística, marketing).
• Registo do consentimento — guardar prova de quem consentiu e a quê.
• Revogação fácil — o utilizador deve poder mudar de ideias a qualquer momento.

Formulários: consentimento e minimização

Cada formulário do site — contacto, pedido de orçamento, newsletter, marcação — recolhe dados pessoais e precisa de cumprir regras:

• Pedir só o necessário — se só precisas de nome e email para responder, não exijas morada e NIF.
• Finalidade clara — dizer para que servem os dados ("para responder ao seu pedido").
• Consentimento separado para marketing — subscrever a newsletter não pode estar amarrado a enviar uma mensagem de contacto. São finalidades diferentes.
• Sem caixas pré-marcadas — o utilizador tem de marcar ativamente.
• Ligação à política de privacidade — acessível junto ao formulário.

Política de privacidade: clara e verdadeira

A política de privacidade não é um texto decorativo copiado de outro site. Deve refletir o que a empresa realmente faz: que dados recolhe, com que finalidade, com que base legal, com quem os partilha (analytics, email marketing, alojamento), quanto tempo os guarda e como o utilizador exerce os seus direitos. Uma política genérica que não corresponde à realidade é pior do que não ter nenhuma — é uma declaração falsa.

O que carrega o teu site sem tu saberes

Muitos sites partilham dados de visitantes com terceiros sem que o dono se aperceba: fontes do Google, mapas incorporados, vídeos do YouTube, chats, píxeis de redes sociais. Cada um destes serviços pode recolher o IP e dados do visitante. Faz parte da conformidade saber o que o site carrega e garantir que nada não essencial dispara antes do consentimento — o que muitas vezes exige ajustes técnicos no código.

Segurança do próprio site

A conformidade não termina no consentimento. Um site que recolhe dados deve protegê-los: certificado SSL (HTTPS) ativo, formulários sem envio em texto aberto, software e plugins atualizados, e proteção contra ataques. Um site desatualizado e vulnerável que é invadido e expõe dados de clientes é uma violação de dados — com obrigação de notificação à CNPD em 72 horas.

Checklist rápido para o teu site

• Banner de cookies bloqueia scripts não essenciais até ao consentimento.
• Botões "Aceitar" e "Rejeitar" com igual destaque.
• Formulários pedem só o necessário e têm finalidade clara.
• Consentimento de marketing separado e ativo.
• Política de privacidade real, atualizada e acessível.
• HTTPS ativo e software atualizado.

Posto isto, o site deixa de ser o ponto fraco da conformidade e passa a transmitir aos visitantes — e à fiscalização — que a empresa leva a sério a proteção dos seus dados.