DPIA para Consentimento de Cookies: Quando os Editores Devem Realizar uma Avaliação de Impacto na Proteção de Dados
A maioria dos editores considera uma Avaliação de Impacto na Proteção de Dados como uma tarefa de conformidade para outra pessoa — o encarregado de proteção de dados, advogado externo, o raro projeto de engenharia que toca em biometria. Na realidade, o RGPD exige uma DPIA para um conjunto de atividades muito mais amplo do que a maioria dos operadores de ad-tech percebe, e muitos fluxos de consentimento de cookies e de publicidade comportamental se enquadram precisamente no gatilho. A questão que os reguladores agora colocam aos editores em auditorias e investigações de reclamações é direta: realizou uma DPIA antes de implantar este rastreamento e pode mostrá-la? Este guia explica quando uma DPIA é obrigatória, o que deve conter e como produzir uma que resista à revisão dos reguladores.
O que é uma DPIA e por que ela existe
A Avaliação de Impacto na Proteção de Dados está definida no Article 35 do RGPD. É uma análise documentada que um responsável pelo tratamento deve realizar antes de iniciar qualquer operação de tratamento que seja suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares. A DPIA obriga o responsável pelo tratamento a descrever o tratamento, avaliar a sua necessidade e proporcionalidade, identificar os riscos e documentar as medidas tomadas para os mitigar. Se o risco residual permanecer elevado, o responsável pelo tratamento deve consultar a autoridade de controlo antes de avançar.
Para os editores, a DPIA não é um artefato jurídico único. É o documento central que um regulador solicitará ao investigar uma reclamação relacionada com cookies ou rastreamento, e é o documento que determina se o editor pode demonstrar responsabilidade ao abrigo do Article 5(2). Sem ela, o ónus da prova desloca-se decisivamente contra si.
Quando uma DPIA é obrigatória para fluxos de cookies e consentimento
O Article 35(3) lista três gatilhos explícitos de DPIA. As diretrizes do Article 29 Working Party (agora adotadas pelo EDPB) acrescentam uma lista de nove critérios indicativos. Presume-se que uma atividade de tratamento que satisfaça quaisquer dois desses critérios requer uma DPIA. Para fluxos de cookies e ad-tech os critérios mais relevantes são:
- Avaliação sistemática e exaustiva — incluindo a perfilização para publicidade e personalização de conteúdo.
- Tratamento em grande escala — medido pelo volume de dados, número de titulares de dados, extensão geográfica e duração. Os sites de editores com utilizadores mensais na casa dos sete algarismos quase sempre se qualificam.
- Utilização inovadora de tecnologia — abrange a identificação por fingerprinting, identificação entre dispositivos, federated learning, medição de atenção, inferência comportamental baseada em IA.
- Rastreamento de localização ou comportamento — diretamente captado pela publicidade comportamental e retargeting.
- Combinação ou correspondência de conjuntos de dados — incluindo enriquecimento do lado do servidor, grafos de identidade, data clean rooms, interligação de plataformas de dados de clientes.
Um site típico de um editor de médio porte que utiliza publicidade comportamental e executa mais do que um punhado de pixels de terceiros satisfará pelo menos três destes critérios simultaneamente. A presunção de que uma DPIA é necessária é, na prática, uma quase-certeza. Várias autoridades de proteção de dados nacionais publicaram as suas próprias listas obrigatórias de DPIA; o Garante italiano, a CNIL francesa e o DSK alemão nomearam todos a publicidade programática e a perfilização entre sites como gatilhos padrão de DPIA.
O que o documento DPIA deve conter
O Article 35(7) estabelece quatro conteúdos obrigatórios. Uma DPIA que não tenha qualquer um deles é tratada pelos reguladores como se não tivesse sido realizada de todo.
Uma descrição sistemática do tratamento
Não se trata de um resumo de um parágrafo. A descrição deve cobrir cada categoria de dados pessoais tratados, cada finalidade, cada destinatário, cada período de retenção e cada transferência transfronteiriça. Para um fluxo de ad-tech, isso significa listar cada fornecedor na sua string TCF, os dados que cada um recebe e a base jurídica invocada para cada um. Os editores que copiam a lista de fornecedores TCF v2.2 diretamente para o apêndice da DPIA produziram documentos utilizáveis; aqueles que a resumem em duas frases não o fizeram.
Uma avaliação de necessidade e proporcionalidade
A necessidade pergunta se o mesmo objetivo pode ser alcançado com menos dados ou com dados não pessoais. Para um fluxo de publicidade comportamental, isso significa abordar honestamente se a publicidade contextual serviria o mesmo objetivo. O EDPB Opinion 28/2024 é explícito ao afirmar que uma DPIA não pode dispensar a publicidade contextual numa única linha — o responsável pelo tratamento deve demonstrar que a alternativa foi considerada e explicar por que foi rejeitada.
Uma avaliação dos riscos para os titulares dos dados
A análise de risco deve considerar o acesso ilícito, a divulgação não autorizada, a alteração, a perda e os riscos sociais mais amplos da perfilização — efeitos inibidores, discriminação, dependência. Para cada risco identificado, a avaliação deve indicar a probabilidade, a gravidade e o nível residual após as mitigações.
As medidas tomadas para fazer face aos riscos
É aqui que a plataforma de gestão do consentimento aparece na DPIA. Recolha granular de consentimento, opt-out por fornecedor, revogação fácil, limites de retenção, encriptação em trânsito e em repouso, salvaguardas contratuais para subcontratantes — cada medida deve estar associada a um risco específico identificado. Uma declaração genérica de que o editor utiliza um CMP não é uma medida.
O papel do Encarregado de Proteção de Dados
O Article 35(2) exige que o responsável pelo tratamento solicite o parecer do DPO ao realizar uma DPIA. Para editores com um DPO designado, isso é direto. Para editores menores sem um, a DPIA ainda pode ser realizada, mas deve ser executada com aconselhamento externo documentado — advogado externo, consultor do setor ou equipa de conformidade de um fornecedor de CMP. O papel do DPO é contestar a análise de necessidade do responsável pelo tratamento, não a aprovar.
Quando é necessária consulta prévia
O Article 36 exige consulta prévia à autoridade de controlo quando a DPIA mostra que o tratamento resultaria num elevado risco que o responsável pelo tratamento não consegue mitigar. Na prática, isso é raro para fluxos de cookies e consentimento — a maioria dos riscos pode ser mitigada através de consentimento granular, redução de fornecedores, limites de retenção e salvaguardas contratuais. Mas não é zero. Dois casos que desencadearam consulta prévia em 2024 e 2025: um identificador baseado em fingerprinting implantado sem integração TCF, e um grafo de identidade entre dispositivos que combinava dados primários com corretores de dados de terceiros. Os editores que exploram qualquer um dos padrões devem planear um cronograma de consulta de seis a doze semanas.
Como os reguladores utilizam a DPIA nas investigações
A DPIA é o único documento que um regulador pede primeiro quando uma reclamação sobre cookies chega à fase de investigação formal. O Garante italiano, a CNIL francesa, a APD belga e a BayLDA da Baviera abrem todos os seus ficheiros processuais com um pedido de DPIA que cobre a atividade em questão. Três padrões emergem de decisões recentes:
DPIAs produzidas tardiamente são fortemente descontadas
Uma DPIA com data posterior ao pedido do regulador não será tratada como prova de avaliação pré-lançamento. Várias decisões de 2025 notaram explicitamente que o documento foi criado post-hoc e pesou-o em conformidade. A DPIA deve preceder o lançamento do tratamento, e os metadados do documento ou o histórico de versões devem deixar isso claro.
DPIAs genéricas são tratadas como inexistentes
Uma DPIA modelo copiada do portal de um fornecedor de CMP sem análise específica do site é cada vez mais rejeitada. A decisão do Garante de 2025 contra um grupo de editores italiano nomeou seis dos nove sites no âmbito e concluiu que uma única DPIA partilhada que os cobria a todos não satisfazia o Article 35.
As medidas de mitigação devem corresponder ao que está efetivamente implantado
Se a DPIA descreve uma retenção de cookies de 60 dias, mas os cookies implantados utilizam uma duração de 24 meses, o regulador tratará a DPIA como imprecisa. A auditoria trimestral da configuração implantada em comparação com a descrição da DPIA já não é opcional.
Reunindo tudo
Para a maioria dos editores, a resposta prática é a mesma: uma DPIA é necessária, deve ser elaborada antes de qualquer novo rastreamento ser lançado, e deve ser revista trimestralmente em relação à configuração implantada. O documento não precisa de ser longo, mas deve ser específico para o site, escrito antes do lançamento, aprovado pelo DPO ou por um consultor externo documentado, e alinhado com o que está efetivamente a funcionar em produção. Os editores que acertam nesses quatro pontos transformam a DPIA de um fardo de conformidade na defesa mais sólida que têm quando um regulador vem fazer perguntas.