Pesquisa
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min leitura
Oito anos depois de o GDPR entrar em vigor, decidimos parar de especular sobre a conformidade do consentimento e medi-la. Apontamos o nosso scanner a 97.304 websites em 25 estados-membros da UE e registamos exatamente o que acontece num navegador real antes, durante e depois do consentimento. Nao o que a politica de privacidade promete. Nao o que o dashboard da CMP reporta. O que realmente e acionado no navegador quando um visitante pela primeira vez chega a uma pagina.
No nosso conjunto de dados, o rastreamento pré-consentimento era comum: dois terços dos websites da UE comecam a rastrear visitantes antes de qualquer interacao de consentimento ocorrer. Mais de metade nao apresenta qualquer banner de consentimento. E quando os websites oferecem um botao de rejeicao, este falha em parar o rastreamento 80% das vezes. Estes nao sao casos marginais ou tecnicidades. Este e o estado de base da conformidade de consentimento na Uniao Europeia em 2026.
Metodologia: Como Medimos Isto
Antes de entrar nas conclusoes, importa como recolhemos estes dados, porque a metodologia determina se numeros como estes sao significativos ou enganadores.
A lista de websites
Retirámos a nossa amostra da lista Tranco Top 1M, um ranking de dominios de grau de investigacao produzido pela combinacao de dados múltiplas fontes de classificação independentes. O Tranco foi especificamente concebido para resistir a manipulacao e fornecer rankings estaveis para estudos de medicao web, o que o torna a fonte padrao para investigacao web em larga escala. Filtrámos dominios associados a 25 estados-membros da UE com base em TLDs de codigo de pais e dados de registo, obtendo 114.748 URLs candidatos. Destes, 97.304 foram concluidos com sucesso -- os restantes falharam devido a erros de DNS, timeouts de ligacao ou sites que estavam totalmente inacessiveis.
O que o scanner faz
Cada analise utiliza o nosso motor de scanner de producao: uma aplicacao Go que controla um navegador Chromium headless completo atraves do Chrome DevTools Protocol. Isto nao e um scraper de HTML estatico ou uma consulta a base de dados de cookies. Para cada website, o scanner:
1. Lanca uma instancia Chromium limpa sem cookies armazenados, sem armazenamento local e sem historico de navegacao -- simulando um visitante genuinamente pela primeira vez.
2. Navega para o URL alvo e espera que a pagina carregue.
3. Tira um snapshot pre-consentimento: cada cookie definido, cada pedido de rede efetuado, cada dominio de terceiros contactado -- tudo antes de qualquer interacao de consentimento.
4. Tenta detetar o banner de consentimento usando uma biblioteca que cobre 45 CMPs conhecidos e heuristicas genericas.
5. Interage com o banner (aceitar ou rejeitar) e regista o estado pos-interacao.
6. Para teste do fluxo de rejeicao: recarrega a pagina e verifica se a rejeicao foi respeitada ou se os cookies reaparecem.
Cada passo produz evidencias com marca temporal: inventarios completos de cookies, logs de pedidos de rede e capturas de ecra. Quando dizemos que um website "ativa rastreamento antes do consentimento", queremos dizer que observámos pedidos HTTP reais para dominios de rastreamento conhecidos e cookies reais a serem definidos no navegador -- nao que o inferimos de uma tag de script no HTML.
O que "pre-consentimento" significa tecnicamente
Este e o conceito critico. O comportamento pre-consentimento e tudo o que acontece entre o momento em que a pagina comeca a carregar e o momento em que o utilizador interage pela primeira vez com um mecanismo de consentimento. Na pratica, esta janela e tipicamente de 2-5 segundos, mas em muitos sites estende-se mais enquanto a pagina carrega recursos adicionais. Durante esta janela, o visitante nao teve qualquer oportunidade de aceitar ou recusar nada. Ao abrigo do Artigo 5(3) da Diretiva ePrivacy (conforme interpretado pelo TJUE em Planet49, C-673/17), armazenar informacao no equipamento terminal de um utilizador ou aceder a informacao ja armazenada requer consentimento previo -- exceto para cookies estritamente necessarios para o servico solicitado pelo utilizador. Qualquer coisa nao essencial que e acionada durante esta janela esta, por definicao, a operar sem consentimento valido.
Conclusao 1: O Rastreamento Pre-Consentimento E a Norma, Nao a Excecao
O numero mais importante neste estudo: 68% dos websites analisados ativam rastreamento de terceiros antes de o utilizador ter dado consentimento. Estreitamente relacionado: 66,6% definem cookies antes do consentimento.
Estas nao sao a mesma metrica. Um website pode contactar um dominio de rastreamento de terceiros (disparando um pixel, carregando um script) sem que esse dominio defina com sucesso um cookie -- por exemplo, se o navegador bloqueia cookies de terceiros. Inversamente, um cookie de analytics de primeira parte pode ser definido sem contactar um dominio externo. Ambos os comportamentos sao problematicos, mas representam mecanismos tecnicos diferentes e exposicoes legais diferentes.
A escala da atividade pre-consentimento e substancial:
| Metrica | Valor |
|---|---|
| Media de dominios de terceiros contactados pre-consentimento | 10,4 |
| Mediana de dominios de terceiros contactados pre-consentimento | 6 |
| Maximo de dominios de terceiros contactados pre-consentimento | 171 |
A mediana de 6 e provavelmente mais informativa do que a media. Metade de todos os websites analisados contactam pelo menos seis dominios externos antes de o utilizador ter qualquer oportunidade de consentir. Estes nao sao redes de entrega de conteudo ou servidores de fontes (que excluimos da classificacao de rastreamento). Sao plataformas de publicidade e servicos de analytics.
Decompondo a atividade pre-consentimento por categoria de cookie revela para que serve realmente este rastreamento:
| Categoria de Cookie | Sites Afetados | % de Todos os Sites |
|---|---|---|
| Cookies de analytics definidos pre-consentimento | 30.239 | 31,1% |
| Cookies de marketing definidos pre-consentimento | 17.793 | 18,3% |
| Rastreadores pre-consentimento ativos (qualquer tipo) | 42.904 | 44,1% |
Quase um em cada tres websites da UE define cookies de analytics antes do consentimento. Quase um em cada cinco define cookies de marketing. A posicao legal sobre estes e inequivoca: o EDPB confirmou repetidamente que cookies de analytics e marketing requerem consentimento ao abrigo do Artigo 5(3) ePrivacy. A decisao Planet49 do TJUE deixou claro que o consentimento deve ser um ato ativo e afirmativo -- e nao pode ser afirmativo se ainda nao aconteceu.
A implicacao pratica e que, no momento em que um visitante ve um banner de cookies e considera se deve aceitar ou rejeitar, o seu navegador ja foi identificado, a sua visita ja foi registada por plataformas de analytics, e em muitos casos o seu perfil de navegacao ja foi atualizado por redes de publicidade. A escolha de consentimento, quando chega, e parcialmente retroativa -- e consentimento retroativo nao e consentimento de todo.
Conclusao 2: A Lacuna do Banner de Consentimento
Mais de metade dos websites que analisámos -- 53.508 de 97.304, ou 55% -- nao apresentou qualquer banner de consentimento que o nosso sistema de detecao conseguisse identificar.
Este numero requer interpretacao cuidadosa. Nem todos os websites sem banner estao necessariamente a violar a lei. Um website que nao define cookies nao essenciais e nao contacta servicos de rastreamento de terceiros pode legitimamente operar sem um mecanismo de consentimento. A excecao ePrivacy para cookies "estritamente necessarios" significa que um site que utiliza apenas cookies de sessao para login ou funcionalidade de carrinho de compras nao tem obrigacao de consentimento para esses cookies especificos.
Mas nao e isso que observamos. Dos 53.508 sites sem banner detetavel, 18.026 estao ativamente a definir cookies nao essenciais e a contactar dominios de rastreamento de terceiros. Estes sites nao tem mecanismo de consentimento e estao a rastrear visitantes desde o primeiro carregamento de pagina. Não temos conhecimento de uma base legal válida para isto ao abrigo do GDPR ou da Diretiva ePrivacy.
Os restantes sites sem banners dividem-se em varias categorias: sites que genuinamente nao definem cookies nao essenciais (e portanto podem nao precisar de banner), sites que utilizam mecanismos de consentimento que o nosso sistema de detecao nao conseguiu identificar, e sites que sao simplesmente nao funcionais ou dominios de conteudo minimo. A nossa biblioteca de detecao de 45 CMPs mais heuristicas genericas cobre a grande maioria das solucoes de consentimento conhecidas, mas implementacoes personalizadas em frameworks ou linguas incomuns podem nao ser detetadas.
Ainda assim, o numero 18.026 e o minimo, nao o maximo, para sites sem banner com rastreamento. Estes sao sites onde temos evidencia positiva tanto de atividade de rastreamento como de ausencia de banner.
Conclusao 3: Os Botoes de Rejeicao Falham 80% das Vezes
Dedicámos uma publicacao separada a esta conclusao, mas merece cobertura substancial aqui porque atinge o cerne do modelo de consentimento.
Dos 28.891 websites onde detetámos e interagimos com sucesso com um botao de rejeicao, 80,4% continuaram o rastreamento apos o utilizador clicar em rejeitar. Apenas 5.650 sites (19,6%) passaram no teste do fluxo de rejeicao -- o que significa que o rastreamento realmente parou e se manteve parado.
As falhas dividem-se em categorias sobrepostas:
| Tipo de Falha | Sites Afetados |
|---|---|
| Cookies nao essenciais ainda presentes apos rejeicao | 10.848 |
| Servicos de rastreamento ainda ativos apos rejeicao | 14.547 |
| Consent respawn detetado (cookies regressam apos recarregamento) | 1.642 |
| Cookies individuais que reapareceram | 4.932 |
Consent respawn e um padrao que identificámos durante esta investigacao. O utilizador clica em rejeitar, a CMP remove cookies, e depois no carregamento de pagina seguinte esses cookies reaparecem. Em 1.642 sites, observámos 4.932 cookies individuais a exibir este comportamento. O mecanismo varia -- scripts de terceiros que redisparam independentemente do estado de consentimento, gestores de tags que nao propagam a rejeicao a todos os servicos integrados, cabeçalhos Set-Cookie do lado do servidor que ignoram decisoes de consentimento do lado do cliente -- mas o efeito e o mesmo. O botao de rejeicao torna-se uma pausa temporaria, nao uma escolha permanente.
Ao abrigo do Artigo 7(3) do GDPR, a retirada do consentimento deve ser tao facil como da-lo, e o responsavel pelo tratamento deve agir sobre essa retirada. Um botao de rejeicao que nao para realmente o rastreamento falha este requisito independentemente da causa tecnica.
Conclusao 4: Comparacao Pais a Pais
O GDPR e uma regulacao unica, mas a conformidade nao e uniforme. A percentagem de websites de alto risco varia numa proporcao de quase tres para um entre os estados-membros da UE.
| Pais | % Alto Risco | Pontuacao Media de Risco |
|---|---|---|
| Hungria | 58,8% | 60,1 |
| Chequia | 55,1% | 59,0 |
| Romenia | 53,9% | 56,2 |
| Polonia | 53,3% | 56,1 |
| Grecia | 52,5% | 54,9 |
| Italia | 44,6% | 51,8 |
| Espanha | 44,1% | 50,2 |
| Franca | 44,1% | 49,7 |
| Paises Baixos | 43,5% | 53,1 |
| Belgica | 42,1% | 47,4 |
| Dinamarca | 42,1% | 48,3 |
| Finlandia | 40,3% | 46,4 |
| Suecia | 33,4% | 49,0 |
| Alemanha | 23,7% | 33,9 |
| Austria | 20,9% | 31,2 |
O padrão é consistente com as diferenças na atividade de aplicação. A Alemanha e a Austria -- sede do BfDI, dezasseis DPAs a nivel estadual, e da DSB respetivamente -- estiveram entre as autoridades europeias mais ativas em visar especificamente violacoes de consentimento e cookies. A DSB emitiu uma das primeiras decisoes de aplicacao pos-Schrems II. As DPAs estaduais alemas conduziram auditorias setoriais de cookies e emitiram orientacoes prescritivas sobre o que constitui consentimento valido.
No outro extremo, a Hungria, a Chequia, a Romenia e a Polonia tem DPAs que sao tipicamente subfinanciadas relativamente ao tamanho das suas economias digitais e historicamente concentraram a aplicacao em violacoes de dados e pedidos de acesso dos titulares em vez de consentimento de cookies. Isto nao e uma critica a essas autoridades -- operam com os orcamentos que lhes sao atribuidos -- mas e uma demonstracao clara de que a aplicacao impulsiona a conformidade. O mesmo texto legal, aplicado com diferente intensidade de aplicacao, produz resultados marcadamente diferentes.
A Franca e instrutiva. A CNIL tem sido um dos organismos de aplicacao mais visiveis da Europa, emitindo multas recorde contra grandes empresas de tecnologia. No entanto, os websites franceses situam-se em 44,1% de alto risco, proximo da media da UE. A explicacao provavelmente reside na estrategia de aplicacao da CNIL: acoes de alto perfil contra grandes plataformas geram manchetes mas nao mudam diretamente o comportamento de milhares de pequenas e medias empresas que compoem a cauda longa da web. A mudanca comportamental ampla requer campanhas de aplicacao setoriais (como a Alemanha levou a cabo) ou um aumento geral no risco percebido de aplicacao.
Cobrimos os dados por pais com maior profundidade na nossa publicacao de comparacao por paises.
Conclusao 5: Quota de Mercado dos CMP e o Que Nos Diz
Entre os 43.796 websites (45%) que apresentaram um banner de consentimento detetavel, identificámos 45 plataformas de gestao de consentimento distintas. O mercado e concentrado no topo mas fragmentado na cauda longa.
| CMP | Sites | Quota de Mercado |
|---|---|---|
| Cookiebot | 6.481 | 14,8% |
| OneTrust | 3.101 | 7,1% |
| Usercentrics | 1.820 | 4,2% |
| Complianz | 1.590 | 3,6% |
| Didomi | 1.472 | 3,4% |
| iubenda | 1.250 | 2,9% |
| Generico / nao identificado | 15.179 | 34,7% |
A maior categoria individual e "Generico / nao identificado" com 34,7%. Estes sao sites que utilizam solucoes de consentimento que nao corresponderam a nenhuma das 45 assinaturas de CMP na nossa biblioteca de detecao. Incluem barras de cookies personalizadas, plugins WordPress nao amplamente reconhecidos, fornecedores de CMP regionais e implementacoes tao minimas que consistem num unico div dispensavel com um botao "Entendido". A qualidade de conformidade desta categoria e, em media, significativamente inferior a dos CMPs estabelecidos, embora ainda nao tenhamos publicado taxas de conformidade por CMP.
Os dados de interacao com banners revelam outra preocupacao. Dos 43.796 banners detetados:
| Funcionalidade do Banner | Prevalencia |
|---|---|
| Opcao de rejeicao na primeira camada | 56,3% |
| Sem opcao de rejeicao visivel | 19,6% |
| Incerto (UI ambigua) | 24,1% |
Quase um em cada cinco banners de consentimento nao oferece forma visivel de rejeitar cookies nao essenciais sem navegar para uma segunda camada de definicoes. As Diretrizes 05/2020 do EDPB sobre consentimento afirmam que recusar consentimento nao deve exigir mais esforco do que da-lo. Um design que requer cliques adicionais para recusar mas oferece aceitacao com um clique e, ao abrigo destas diretrizes, um dark pattern que mina a validade do consentimento.
Tambem detetámos implementacoes especificas de dark patterns: 3.454 sites (7,9% dos que tem banners) colocaram a opcao de rejeicao apenas numa segunda camada, 84 sites empregaram cookie walls (bloqueando conteudo ate o consentimento ser dado), e 137 sites exibiram evasao de consentimento a bots -- escondendo deliberadamente o banner de scanners automatizados enquanto o mostram a visitantes humanos.
Conclusao 6: Abuso do Tempo de Vida dos Cookies
A CNIL recomenda um tempo de vida máximo de cookies de 13 meses — um padrão que várias outras autoridades nacionais de proteção de dados adotaram ou referenciaram. Este não é um limite legal rígido no texto do GDPR, mas reflete uma interpretação do princípio de limitação de armazenamento (Artigo 5(1)(e)) aplicado a identificadores de rastreamento.
A nossa analise encontrou 26.250 websites (27%) com pelo menos um cookie que excede o limiar de 13 meses, compreendendo 58.127 cookies individuais no total.
O infrator mais comum e o cookie `_ga` utilizado pelo Google Analytics, que e definido com um tempo de vida predefinido de dois anos. Isto significa que mesmo websites com mecanismos de consentimento funcionais estao frequentemente em violacao simplesmente porque nao substituiram o prazo de expiracao predefinido do cookie GA. E uma questao de configuracao, nao uma limitacao tecnica -- o Google Analytics permite tempos de vida de cookies personalizados -- mas o predefinido nao e conforme com as orientacoes do EDPB, e a maioria dos operadores de sites nunca o altera.
Cookies de longa duracao criam um risco de privacidade cumulativo. Um cookie de dois anos nao e apenas "um pouco mais do que 13 meses." Significa que um utilizador que visita um site uma vez, consente, e nunca regressa pode ainda ser identificado e rastreado pelos analytics desse site durante dois anos. Se o utilizador revogar posteriormente o consentimento ou a base legal mudar, o cookie persiste como um identificador fantasma ate expirar.
Conclusoes Adicionais
Varias outras conclusoes do estudo merecem mencao breve:
Fingerprinting. Detetámos sinais de fingerprinting do navegador (canvas fingerprinting, WebGL fingerprinting, audio context fingerprinting) em 4.114 websites (4,2%). O fingerprinting e particularmente preocupante porque nao pode ser eliminado apagando cookies -- utiliza caracteristicas inerentes do navegador e do dispositivo como identificadores. A Diretiva ePrivacy trata o fingerprinting como equivalente ao rastreamento baseado em cookies para efeitos de consentimento. Discrepancias do Google Consent Mode. Entre os sites que implementam o Google Consent Mode, 28,4% foram detetados como utilizando-o, enquanto 13,7% dos sites que usam servicos Google nao mostraram qualquer implementacao do Consent Mode. Mais preocupante, 11,9% mostraram discrepancias -- o estado de consentimento reportado a API do Google nao correspondia ao comportamento de rastreamento real observado no navegador. Isto significa que a CMP diz ao Google que o consentimento foi negado, mas os pedidos de rastreamento continuam a ser disparados. Acessibilidade. Os banners de consentimento sao elementos de UI legalmente obrigatorios, e se forem inacessiveis, um segmento de utilizadores nao pode exercer os seus direitos. Entre os banners detetados: 25% tinham alvos de toque abaixo dos tamanhos minimos recomendados, 15,2% tinham texto de baixo contraste, e 3,4% nao eram acessiveis por teclado. Um banner que nao pode ser operado por teclado nega efetivamente a escolha de consentimento a utilizadores que dependem de tecnologia assistiva -- uma violacao que interseta tanto o GDPR como as regulamentacoes de acessibilidade.Distribuicao Global de Risco
Juntando tudo, a classificacao agregada de risco dos 97.304 sites analisados:
| Nivel de Risco | Percentagem |
|---|---|
| Risco elevado | 41,0% |
| Risco baixo | 27,6% |
| Risco medio | 16,8% |
| Inconclusivo | 14,9% |
A taxa de 14,9% de inconclusivos reflete sites onde o scanner nao conseguiu chegar a uma determinacao fiavel -- tipicamente devido a detecao de bots, arquiteturas complexas de single-page-application, ou comportamento dependente do tempo. Reportamos estes honestamente em vez de os forcar numa classificacao passa/falha, porque falsa confianca em dados de conformidade e pior do que incerteza admitida.
O Que Isto Significa para Proprietarios de Websites
Se opera um website que serve visitantes da UE, quatro acoes abordam as conclusoes mais comuns e de maior risco:
1. Audite o que carrega antes do consentimento. Abra o seu site numa janela de navegador privada, abra as ferramentas de desenvolvimento, e observe os separadores Rede e Aplicacao antes de interagir com qualquer banner. Se vir pedidos para dominios de analytics ou publicidade, ou cookies desses servicos a aparecer, o seu comportamento pre-consentimento nao esta em conformidade. A correcao e tipicamente configuracao do gestor de tags: assegure que scripts nao essenciais sao bloqueados ate o consentimento afirmativo ser registado. 2. Teste o seu fluxo de rejeicao de ponta a ponta. Clique em rejeitar no seu proprio banner, depois verifique se os cookies nao essenciais desapareceram. Depois recarregue a pagina e verifique novamente. Se os cookies reaparecerem, tem um problema de consent respawn que requer investigar quais scripts contornam o seu mecanismo de consentimento. Os nossos dados mostram que isto afeta um numero surpreendentemente grande de sites, mesmo aqueles que utilizam CMPs reputados. 3. Verifique os tempos de vida dos seus cookies. Se utiliza o Google Analytics com definicoes predefinidas, o seu cookie `_ga` tem um tempo de vida de dois anos. Altere-o para 13 meses ou menos. Reveja todos os cookies que o seu site define e assegure que nenhum excede o máximo recomendado de 13 meses. Esta e uma correcao de configuracao rapida que elimina uma conclusao de conformidade comum. 4. Assegure que o seu banner e acessivel e oferece rejeicao na primeira camada. Se a sua opcao de rejeicao requer navegar para uma segunda pagina de definicoes enquanto "Aceitar Tudo" e um clique, o seu mecanismo de consentimento pode nao cumprir as diretrizes do EDPB. Reveja o banner quanto a acessibilidade por teclado, dimensionamento de alvos de toque e racios de contraste.Notas Metodologicas e Limitacoes Honestas
Queremos ser transparentes sobre o que este estudo pode e nao pode dizer-lhe.
O que mede bem: Comportamento pre-consentimento, inventarios de cookies, pedidos de rede para dominios de rastreamento conhecidos, presenca e estrutura de banners, resultados do fluxo de rejeicao e tempos de vida de cookies. Estas sao medicoes objetivas, baseadas em evidencias, registadas do comportamento real do navegador. O que mede imperfeitamente: A detecao de CMP nao e 100% abrangente. Sites que utilizam solucoes de consentimento nao presentes na nossa biblioteca de 45 CMPs podem ser incorretamente categorizados como nao tendo banner. Banners dependentes de GeoIP podem apresentar-se de forma diferente com base na localizacao de rede do scanner. Aplicacoes de pagina unica que gerem consentimento em estado do lado do cliente sem alteracoes DOM sao mais dificeis de avaliar. Alguns sites detetam navegadores automatizados e alteram o seu comportamento em conformidade (encontrámos 137 a faze-lo deliberadamente). O que nao mede: Alegacoes de interesse legitimo (que requerem avaliacao legal em vez de tecnica), a qualidade das politicas de privacidade, se os registos de consentimento sao devidamente armazenados, ou se as atividades de tratamento de dados sao proporcionais. Estas sao dimensoes de conformidade importantes que nao sao observaveis apenas pelo comportamento do navegador.A taxa de 14,9% de inconclusivos e a nossa valvula de seguranca para sites onde nao conseguimos chegar a uma determinacao tecnica fiavel. Preferimos incerteza honesta a precisao falsa.
Verifique o seu proprio website. Execute uma analise gratuita em gdprprivacymonitor.eu e veja exatamente o que acontece antes, durante e depois do consentimento no seu site. O scanner produz as mesmas evidencias mostradas neste estudo -- snapshots pre-consentimento, inventarios de cookies, resultados do fluxo de rejeicao e classificacao de risco -- para qualquer URL que submeta.
Verifique o seu website
Execute uma verificação gratuita de conformidade RGPD — sem registo necessário.
Analise o seu website gratuitamente