Dark Patterns em banners de cookies: o que é ilegal, o que é arriscado e como manter-se em conformidade
Os reguladores em toda a Europa já não verificam apenas se você tem um banner de cookies — verificam como ele se comporta. Dark patterns — escolhas de design enganosas que manipulam utilizadores para que deem consentimento que não pretendiam — tornaram-se o principal alvo de execução das autoridades de proteção de dados em 2025–2026. As multas são reais, estão a crescer e afetam empresas de todos os tamanhos.
O que são dark patterns no consentimento de cookies?
Um dark pattern é qualquer escolha de design que empurra os utilizadores para o consentimento, quando um design neutro os levaria a recusar ou a fazer uma escolha genuinamente livre. O European Data Protection Board (EDPB) emitiu orientações vinculativas em 2023 definindo categorias específicas de dark patterns. Estas não são sugestões — têm força de lei em todos os estados-membros da UE.
Os 7 dark patterns mais comuns (e por que são ilegais)
1. Botão de rejeição oculto
Tornar "Aceitar tudo" um botão verde proeminente enquanto "Rejeitar" é uma pequena hiperligação de texto cinzenta enterrada numa segunda camada. Várias APDs declararam isto inválido. A CNIL multou uma grande empresa tecnológica em €60 milhões parcialmente por esta prática.
2. Caixas pré-marcadas
Carregar o banner de consentimento com todas as categorias de cookies já marcadas. O CJEU decidiu no caso Planet49 (2019) que as caixas pré-marcadas não constituem consentimento válido. Este é um direito assente.
3. Muros de cookies
Bloquear completamente o acesso ao site até que o utilizador consinta. As orientações do EDPB afirmam que o consentimento não é livremente dado se o acesso ao serviço estiver condicionado a ele. A maioria das APDs da UE confirmou esta posição.
4. Linguagem confusa
Usar jargão jurídico, duplas negativas ou formulações intencionalmente complexas para confundir os utilizadores. "Ao não optar por não usar cookies não essenciais, você concorda com..." é um dark pattern. É exigida linguagem clara e simples.
5. Manipulação emocional
Fazer os utilizadores sentirem-se culpados com frases como "Não me preocupo com a minha experiência" para a opção de rejeição, ou usar ícones tristes e cores de aviso no botão de recusa. Os reguladores têm especificamente apontado isto.
6. Esforço assimétrico
Um clique para aceitar, cinco cliques para rejeitar. Se recusar o consentimento exige navegar por múltiplos ecrãs, interruptores e diálogos de confirmação enquanto aceitar é um único botão, isso é um dark pattern.
7. Solicitação repetida
Mostrar o banner de consentimento novamente a utilizadores que já recusaram, na esperança de que eventualmente cliquem em aceitar por fadiga. Uma vez que um utilizador faz uma escolha, essa escolha deve ser respeitada até que ele a mude ativamente.
Multas reais por dark patterns
- CNIL (França): Multas de €60M e €40M contra grandes empresas tecnológicas por banners de consentimento onde rejeitar era mais difícil do que aceitar
- APD Italiana: Multa de €20M por caixas de consentimento pré-marcadas e muros de cookies
- AEPD Espanhola: Multa de €2,5M por design manipulador de banner de cookies
- APD Belga: Determinou que a implementação original do TCF da IAB Europe envolvia dark patterns
- DSB Austríaco: Múltiplas decisões contra designs de consentimento assimétrico
Como auditar o seu banner por dark patterns
Execute esta lista de verificação em relação ao seu atual banner de consentimento:
- Os botões Aceitar e Rejeitar têm o mesmo tamanho, proeminência de cor e número de cliques
- Nenhuma caixa está pré-marcada — todas as categorias de cookies começam como desmarcadas
- O site é acessível sem consentimento (sem muro de cookies)
- A linguagem é simples, clara e no idioma do visitante
- Sem texto que induza culpa ou manipulação emocional na opção de rejeição
- As escolhas anteriores são lembradas — o banner não reaparece para utilizadores que recusaram
- Existe uma opção "Gerir preferências" ao lado de Aceitar e Rejeitar
- Retirar o consentimento é tão fácil quanto dá-lo
FlexyConsent: Concebido sem dark patterns
FlexyConsent é construído com conformidade regulatória como padrão. Botões iguais, sem caixas pré-marcadas, sem muros de cookies, linguagem simples em mais de 43 idiomas e respeito automático pelas escolhas anteriores. Como Google Certified CMP registada na IAB Europe, a FlexyConsent segue a interpretação mais rigorosa das orientações do EDPB — para que nunca precise de se preocupar com a execução de dark patterns.