Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 1-2 h
Cookies e trackers antes do consentimento
Corrija scripts de analytics, marketing e terceiros que se ativam antes de o visitante tomar uma decisão de consentimento.
Abrange: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 30-90 min
Banner de consentimento em falta
Reponha ou implemente um banner de consentimento de primeira camada antes de qualquer tracking ou armazenamento opcional começar.
Abrange: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 15-60 min
Sem opção de rejeição ou rejeição suprimida
Torne a rejeição tão simples e visível quanto a aceitação, corrigindo ações Reject ausentes, escondidas ou enfraquecidas.
Abrange: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Gravidade: AltaResponsável: DesenvolvimentoTempo para corrigir: 1-2 h
Cookie wall
Remova padrões que bloqueiam o acesso ao conteúdo até o visitante aceitar tracking opcional.
Abrange: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Gravidade: MédiaResponsável: MarketingTempo para corrigir: 30-120 min
Cookies não classificados
Classifique cookies desconhecidos, documente a sua finalidade e deixe de enviar armazenamento não declarado para produção.
Abrange: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 1-2 h
Inconsistência no Google Consent Mode
Corrija casos em que as tags Google se comportam como se o consentimento tivesse sido concedido apesar de o estado runtime indicar denied.
Abrange: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Gravidade: AltaResponsável: DesenvolvimentoTempo para corrigir: 1-3 h
Pedidos de terceiros antes do consentimento
Impeça fornecedores opcionais de fazer chamadas de rede antes de o visitante decidir se os quer permitir.
Abrange: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Gravidade: MédiaResponsável: DesenvolvimentoTempo para corrigir: 30-90 min
Google Fonts antes do consentimento ou carregamento externo de fontes
Aloje fontes localmente e remova chamadas remotas que expõem pedidos antes do opt-in.
Abrange: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Gravidade: MédiaResponsável: DesenvolvimentoTempo para corrigir: 30-120 min
Cookies de tracking inseguros (problemas Secure ou SameSite)
Reforce os atributos de cookies para que cookies opcionais não sejam entregues com definições fracas de segurança do navegador.
Abrange: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Gravidade: AltaResponsável: DesenvolvimentoTempo para corrigir: 1-3 h
Fingerprinting antes do consentimento
Adie ou substitua scripts que analisam capacidades do navegador antes de o visitante tomar uma decisão de consentimento.
Abrange: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 1-2 h
Google Consent Mode não detetado
Implemente defaults e atualizações de Consent Mode para que as tags Google recebam um estado de consentimento explícito em vez de funcionarem sem qualquer sinal.
Abrange: consent_mode_not_detected, consent_mode_missing
- Confirme que os defaults de Consent Mode existem no primeiro carregamento antes das tags opcionais.
- Confirme que Reject mantém os estados storage da Google em denied.
Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 30-90 min
Analytics antes do consentimento
Impeça que ferramentas de analytics carreguem ou escrevam storage antes de o visitante dar consentimento explícito.
Abrange: pre_consent_analytics_cookie, analytics_before_consent
- Confirme que nenhum pedido de analytics sai antes do consentimento.
- Confirme que não são definidos cookies de analytics até o utilizador aceitar.
Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 30-90 min
Cookies de marketing antes do consentimento
Bloqueie cookies e scripts publicitários ou de retargeting até o utilizador aceitar explicitamente marketing.
Abrange: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Confirme que não existem cookies de marketing antes do consentimento.
- Confirme que não saem pedidos para redes publicitárias até o utilizador aceitar.
Gravidade: AltaResponsável: MarketingTempo para corrigir: 30-60 min
Meta Pixel antes do consentimento
Impeça que o Meta Pixel carregue ou envie eventos enquanto o visitante não tiver concedido o consentimento de marketing necessário.
Abrange: meta_pixel_before_consent, pre_consent_meta_pixel
- Confirme que nenhum pedido Meta é emitido antes do consentimento.
- Confirme que os cookies Meta permanecem ausentes em estado denied.
Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 30-60 min
GA4 antes do consentimento
Atrase o Google Analytics 4 até existir consentimento válido para analytics e confirme que os parâmetros de Consent Mode permanecem consistentes.
Abrange: ga4_before_consent, pre_consent_ga4
- Confirme que nenhuma chamada GA4 sai antes do consentimento analytics.
- Confirme que os cookies `_ga` permanecem ausentes antes do opt-in.
Gravidade: AltaResponsável: DesenvolvimentoTempo para corrigir: 1-2 h
Tags GTM a disparar antes do consentimento
Corrija os triggers do GTM para que as tags opcionais não executem nada até existir o consentimento necessário.
Abrange: gtm_tags_before_consent, pre_consent_gtm_fire
- Confirme no Preview que nenhuma tag GTM opcional dispara antes do consentimento.
- Confirme que no primeiro carregamento permanecem apenas tags essenciais.
Gravidade: AltaResponsável: Admin CMPTempo para corrigir: 15-45 min
Reject apenas na segunda camada
Mostre Reject já na primeira camada em vez de obrigar o utilizador a abrir preferências ou fazer cliques extra para recusar processamento opcional.
Abrange: reject_in_second_layer, reject_not_first_layer
- Confirme que Reject está presente na primeira camada em desktop e mobile.
- Confirme que Reject na primeira camada bloqueia tags opcionais.
Gravidade: AltaResponsável: DesenvolvimentoTempo para corrigir: 30-90 min
O banner de consentimento não aparece em mobile
Corrija problemas de viewport, CSS e lazy-load que fazem o banner desaparecer ou não renderizar em mobile.
Abrange: mobile_banner_missing, consent_banner_mobile
- Confirme que o banner aparece num dispositivo móvel real.
- Confirme que o utilizador consegue usar Accept e Reject em mobile.
Gravidade: MédiaResponsável: DesenvolvimentoTempo para corrigir: 30-90 min
O estado de consentimento não é persistido
Corrija storage e comportamento em reload para que a escolha do visitante seja lembrada e aplicada entre páginas e sessões.
Abrange: consent_not_persisted, consent_state_lost
- Confirme que a mesma escolha persiste após reload e navegação cross-page.
- Confirme que Reject permanece denied numa visita posterior.
Gravidade: AltaResponsável: DesenvolvimentoTempo para corrigir: 1-2 h
Embeds de terceiros antes do consentimento
Atrase YouTube, mapas, chat, reservas e outros embeds de terceiros até o visitante consentir ou escolher explicitamente carregá-los.
Abrange: pre_consent_embed, third_party_embed_before_consent
- Confirme que fornecedores de embed não recebem pedidos no primeiro carregamento.
- Confirme que o embed só carrega após opt-in ou click-to-load.
Gravidade: AltaResponsável: MarketingTempo para corrigir: 15-45 min
Hotjar antes do consentimento
Impeça que o Hotjar carregue scripts de session replay ou heatmap antes de o visitante ter dado consentimento analytics ou marketing.
Abrange: hotjar_before_consent, pre_consent_hotjar
- Confirme que o Hotjar não carrega antes do consentimento.
- Confirme que os cookies Hotjar estão ausentes em pre-consent.
Gravidade: MédiaResponsável: MarketingTempo para corrigir: 30-120 min
Declaração de cookies desatualizada
Alinhe a sua declaração de cookies publicada com os cookies e vendors realmente observados na evidência runtime.
Abrange: cookie_declaration_outdated, declaration_mismatch
- Confirme que cada cookie observado aparece na declaração.
- Confirme que vendors removidos já não constam se deixaram de correr.
Gravidade: AltaResponsável: DesenvolvimentoTempo para corrigir: 1-2 h
Cookies continuam a ser definidos após Reject
Corrija fluxos em que cookies ou pedidos opcionais continuam apesar de o visitante ter rejeitado explicitamente o tracking.
Abrange: cookies_after_reject, reject_not_enforced
- Reject e reload: confirme que os cookies opcionais continuam ausentes.
- Reject e reload: confirme que os pedidos opcionais continuam bloqueados.
Gravidade: MédiaResponsável: DesenvolvimentoTempo para corrigir: 30-90 min
Banner de consentimento bloqueado por CSP
Atualize a Content Security Policy para permitir que script CMP, estilos ou recursos iframe carreguem sem abrir a segurança desnecessariamente.
Abrange: cmp_blocked_by_csp, consent_banner_csp_error
- Confirme que erros CSP ligados a assets CMP desaparecem.
- Confirme que o banner renderiza normalmente e aceita interação do utilizador.
Gravidade: AltaResponsável: DesenvolvimentoTempo para corrigir: 1-3 h
Problemas de consentimento com GTM server-side
Alinhe o routing GTM server-side e a propagação do consentimento para que o tagging do lado do servidor não contorne o estado de consentimento do visitante.
Abrange: ssgtm_consent_issue, server_side_gtm_before_consent
- Confirme que nenhum evento opcional é proxied para GTM server-side antes do consentimento.
- Confirme que Accept ativa o fluxo de eventos pretendido e que Reject o mantém denied.