Compreender a legislação relativa aos cookies e implementar soluções eficazes de gestão do consentimento tornou-se crucial para todos os sítios Web. Este guia explora as diferenças entre as regulamentações europeia e americana, analisa o funcionamento do Modo de consentimento do Google e compara as principais soluções de gestão de consentimento.

‍

Legislação sobre cookies e gestão do consentimento: actualizações 2025

Compreender a legislação relativa aos cookies e implementar soluções eficazes de gestão do consentimento tornou-se fundamental para todos os sítios Web. Este guia explora as diferenças entre as regulamentações europeia e americana, analisa o funcionamento do Modo de consentimento do Google e compara as principais soluções de gestão de consentimento, com as últimas actualizações até 2025.

‍

Legislação europeia: RGPD e Diretiva Privacidade e Comunicações Electrónicas

Na Europa, a proteção dos dados pessoais e da privacidade em linha é regida principalmente por dois diplomas legislativos:

O RGPD (Regulamento Geral sobre a Proteção de Dados)

Com entrada em vigor em 2018, o RGPD impõe requisitos rigorosos ao tratamento de dados pessoais, estabelecendo princípios fundamentais:

• Legalidade e transparência: todos os tratamentos devem ter uma base jurídica válida
• Minimização dos dados: recolher apenas os dados necessários
• Segurança: assegurar medidas de proteção adequadas

Para recolher e tratar dados pessoais (incluindo identificadores em linha, como os cookies), é necessário ter uma base jurídica válida, como o seu consentimento explícito, um interesse legítimo ou uma obrigação contratual.

‍

As violações do RGPD podem resultar em sanções muito elevadas, até 4% do volume de negócios global da empresa.

A Diretiva Privacidade e Comunicações Electrónicas

A Diretiva Privacidade e Comunicações Electrónicas (2002/58/CE, alterada em 2009) incide especificamente na privacidade das comunicações electrónicas, incluindo a utilização de cookies e tecnologias de rastreio.

O n.º 3 do artigo 5.º da diretiva estabelece que é obrigatório obter o consentimento prévio do utilizador antes de armazenar ou aceder a informações no seu dispositivo, salvo excepções (como os cookies técnicos estritamente necessários).

Na prática, isto significa que os sítios Web europeus devem:

• Informar claramente o utilizador sobre a finalidade dos cookies
• Obter o consentimento livre, específico e informado antes de instalar cookies não essenciais
• Permitir que o utilizador rejeite e modifique as preferências em qualquer altura

As autoridades europeias responsáveis pela proteção da privacidade sancionaram ativamente as violações: por exemplo, a CNIL francesa multou a Google e a Amazon entre 2020 e 2022 por depositarem cookies de rastreio sem consentimento válido.

‍

Actualizações 2025

Em março de 2024, entrou em vigor a Lei dos Mercados Digitais (DMA) da UE, que tornou ainda mais rigorosos os requisitos de consentimento para as grandes plataformas tecnológicas, afectando significativamente a gestão de cookies e de rastreio. Isto levou empresas como a Google a atualizar as suas soluções de gestão do consentimento.

‍

Em fevereiro de 2025, a Comissão Europeia retirou oficialmente a sua proposta de um novo regulamento relativo à privacidade e às comunicações electrónicas, mantendo em vigor a diretiva existente. Isto significa que os requisitos de consentimento para os cookies permanecem como estão atualmente, ainda vinculativos e sujeitos a uma aplicação rigorosa em toda a Europa.

‍

Em março de 2024, o Tribunal de Justiça Europeu emitiu um acórdão importante sobre o processo TCF do IAB, com implicações importantes para a aplicação do Quadro de Transparência e Consentimento, que as empresas ainda estão a assimilar.

‍

Regulamentação dos EUA: CCPA, CPRA e desenvolvimentos estatais

Nos EUA, ao contrário da UE, não existe uma lei federal geral sobre privacidade comparável ao RGPD. A regulamentação ocorre a nível estatal e setorial, com desenvolvimentos significativos nos últimos anos.

CCPA (Lei da Privacidade do Consumidor da Califórnia) e CPRA (Lei dos Direitos de Privacidade da Califórnia)

O CCPA, que entrou em vigor em 2020, foi reforçado pelo CPRA (em vigor a partir de 2023), aproximando-o ainda mais do modelo europeu.

O CPRA tem:

• Introduziu o conceito de "partilha" de dados para além da "venda
• Dar aos consumidores o direito de optarem por não verem os seus dados pessoais partilhados para fins de publicidade intercontextual
• Definiu uma categoria de informações pessoais sensíveis com um direito específico de restringir a sua utilização
• Alargou os direitos existentes e criou uma agência específica, a Agência de Proteção da Privacidade da Califórnia (CPPA)

Actualizações 2025

Entre 2023 e 2025, o panorama da privacidade nos Estados Unidos registou uma rápida evolução:

A partir de janeiro de 2025, cerca de 20 estados dos EUA têm agora leis abrangentes sobre privacidade de dados, com oito novas leis a entrar em vigor em 2025. Isto significa que aproximadamente 40 por cento dos consumidores dos EUA têm agora direitos de privacidade digital. No entanto, a fragmentação regulamentar representa um desafio significativo para as empresas, que têm de navegar entre requisitos frequentemente semelhantes, mas não idênticos.

‍

A Califórnia continua na linha da frente, com a CPPA particularmente ativa em 2024-2025. A agência emitiu várias penalidades significativas, incluindo uma multa de US $ 6,75 milhões para uma empresa de software em nuvem em 2024. Também emitiu novas propostas de regulamentos sobre segurança cibernética, avaliações de risco e tecnologias de decisão automatizada (ADMT), com um período de comentários públicos aberto até junho de 2025.

‍

Entre os desenvolvimentos mais relevantes na gestão de cookies, a Califórnia alargou a definição de "informação pessoal sensível" para incluir "dados neurais" (informação gerada pela medição da atividade do sistema nervoso) e clarificou que a informação pessoal também inclui formatos digitais e abstractos, como os gerados pela inteligência artificial.

‍

O Delaware aprovou uma lei sobre privacidade que, ao contrário de outras, não isenta as organizações sem fins lucrativos e as instituições académicas da sua cobertura, alargando significativamente o seu âmbito.

‍

Ao contrário da UE, o modelo dos EUA continua a basear-se principalmente no opt-out e não no consentimento prévio. Um sítio dos EUA que sirva utilizadores da UE terá, por conseguinte, de adotar uma faixa em conformidade com o RGPD para esses utilizadores, enquanto que para os utilizadores dos EUA poderá simplesmente apresentar um aviso e uma ligação de auto-exclusão sem bloquear previamente os cookies.

‍

IAB TCF: O Quadro de Transparência e Consenso

O Interactive Advertising Bureau (IAB) Europe desenvolveu o Transparency & Consent Framework (TCF) como uma norma do sector para ajudar as empresas a gerir o consentimento dos utilizadores em conformidade com o RGPD e a Diretiva Privacidade e Comunicações Electrónicas, particularmente relevante no contexto da publicidade digital.

Desenvolvimento e versões do TCF

O TCF teve várias iterações:

• TCF v1.1: lançado em abril de 2018
• TCF v2.0: lançado em agosto de 2019
• TCF v2.1: lançado em agosto de 2020, alinhado com o acórdão Planet49 do Tribunal de Justiça da UE
• TCF v2.2: lançado em maio de 2023, implementado até novembro de 2023, em resposta a um plano de ação acordado com a Autoridade Belga para a Proteção de Dados (APD)

TCF v2.2: Principais alterações

O TCF v2.2 introduziu alterações importantes:

1. Eliminação do interesse legítimo como base jurídica para a personalização da publicidade e dos conteúdos. Para as finalidades 3, 4, 5 e 6 (criação de perfis de publicidade personalizados, seleção de anúncios personalizados, criação de perfis de conteúdos personalizados e seleção de conteúdos personalizados), só é agora permitido o consentimento explícito.
2. Descrições mais conviviais que substituem a informação jurídica para fins e funcionalidades, tornando a comunicação com os utilizadores mais clara e acessível.
3. Normalização e expansão da informação dos vendedores, incluindo categorias de dados recolhidos, períodos de retenção e orientações sobre a aplicação do interesse legítimo.
4. Requisitos mais rigorosos para os editores, que devem divulgar o número total de fornecedores e de Google Ad Tech Providers utilizados já no primeiro nível da CMP.
5. Melhoria dos mecanismos de aplicação, com novos processos de auditoria e procedimentos de aplicação diferenciados.

TCF v2.3: Os últimos desenvolvimentos

Em abril de 2025, o IAB Tech Lab e o IAB Europe abriram a especificação técnica TCF v2.3 para comentários públicos, com um período de comentários até 19 de maio de 2025. A atualização visa proporcionar maior clareza aos fornecedores em cenários específicos em que não é claro se os dados foram divulgados ao utilizador, o que é particularmente importante quando um fornecedor pretende processar dados para fins especiais com base em interesses legítimos.

O calendário para o TCF v2.3 inclui:

• Final de maio de 2025: Finalização das especificações técnicas
• 1 de fevereiro de 2026: Prazo para todas as CMP e fornecedores actualizarem a sua implementação para suportar a v2.3

Modo de consentimento do Google: o que é e como funciona

Para ajudar os sítios e os anunciantes a respeitarem as opções de consentimento dos utilizadores, a Google introduziu o Modo de consentimento, uma solução técnica que ajusta o comportamento das etiquetas Google de acordo com o estado de consentimento do utilizador.

Modo de consentimento do Google V2

Em novembro de 2023, a Google lançou o Modo de consentimento V2, com implementação obrigatória até março de 2024 para sites que utilizam os serviços Google e recolhem dados de utilizadores no Espaço Económico Europeu (EEE). Esta atualização foi especificamente concebida para se alinhar com a Lei dos Mercados Digitais (DMA) da UE.

O Modo de consentimento V2 introduz dois novos parâmetros para além dos originais:

• ad_storage e analytics_storage (existentes): controlar o armazenamento de cookies de publicidade e de análise
• ad_user_data (novo): gere o consentimento para a utilização de dados pessoais para fins publicitários
• ad_personalisation (novo): gere o consentimento para a utilização de dados para remarketing personalizado

Ao contrário do ad_storage e do analytics_storage, estes novos parâmetros não influenciam o comportamento das etiquetas no próprio sítio, mas são parâmetros adicionais enviados aos serviços Google para indicar a forma como os dados do utilizador podem ser utilizados.

Métodos de aplicação

O Modo de consentimento do Google V2 tem dois modos de implementação:

1. Modo de consentimento básico: As etiquetas do Google são completamente bloqueadas até que o utilizador interaja com o banner de consentimento. Se o utilizador não der o seu consentimento, não são recolhidas quaisquer informações.
2. Modo de consentimento avançado: As etiquetas do Google são carregadas antes de o utilizador interagir com o banner. Se o utilizador não der o seu consentimento, as etiquetas funcionam em modo limitado, enviando "pings anónimos" (sem identificadores do utilizador) que a Google utiliza para modelar estatisticamente os resultados.

É importante notar que alguns especialistas em privacidade levantaram dúvidas sobre a conformidade do modo avançado com os regulamentos de proteção de dados, uma vez que os "pings" podem representar dados pessoais processados sem consentimento.

Impacto no marketing e na análise

Sem o Modo de Consentimento da Google, as plataformas de publicidade não podem obter dados sobre novos utilizadores do EEE, o que limita significativamente a capacidade de recolher dados sobre audiências, medir a eficácia das campanhas e implementar estratégias de publicidade direcionada.

‍

Com o Modo de Consentimento V2, os sítios Web podem continuar a recolher dados analíticos básicos mesmo que os utilizadores não tenham dado o seu consentimento aos cookies, através de técnicas de modelização avançadas que respeitam as preferências de consentimento.

‍

‍

Soluções de Gestão de Consentimentos (CMP)

Para cumprir todos estes regulamentos, os sítios Web utilizam plataformas de gestão do consentimento (CMP) que fornecem banners e interfaces para obter o consentimento dos utilizadores e mecanismos para respeitar estas escolhas.

O papel do IAB na CMP

O IAB desempenha um papel fundamental na certificação de CMPs por meio da estrutura do TCF. Uma CMP certificada pelo IAB TCF v2.2 deve:

1. Apresentar informações claras sobre as finalidades do tratamento de dados
2. Recolha de consentimentos granulares para diferentes fins
3. Permitir que os utilizadores alterem facilmente as suas preferências
4. Armazenar os consentimentos de forma segura (TC String)
5. Comunicar estas preferências a todos os fornecedores no formato TCF normalizado

Em 2023-2024, a Google introduziu requisitos de certificação específicos para as CMP que pretendam apoiar o Google Ads na UE e no Reino Unido, sendo o principal requisito a conformidade actualizada com o TCF do IAB. As CMP certificadas pela Google podem utilizar os produtos Google Ads e estão incluídas numa lista oficial.

Comparação das principais soluções de CMP até 2025

Finweet (Consentimento de Cookie Finsweet)

Uma solução especialmente orientada para sítios criados com o Webflow, com suporte total para o IAB TCF v2.2 e o Google Consent Mode v2.

Vantagens:

• Gratuito (versão básica)
• Personalização gráfica total (o banner está integrado diretamente no Webflow designer)
• Abordagem sem código para utilizadores do Webflow

Desvantagens:

• Requer conhecimentos técnicos especializados para uma aplicação correta
• A versão gratuita abrange apenas os aspectos básicos do RGPD
• É necessária uma subscrição para funcionalidades avançadas, como o Modo de consentimento do Google v2.

Ideal para: programadores ou agências que trabalham com o Webflow e que pretendem um controlo total e um design personalizado.

CookieSim

Uma solução plug-and-play actualizada para suportar IAB TCF v2.2 e Google Consent Mode v2, agora com certificação Gold como Google CMP Partner.

Vantagens:

• Facilidade de utilização (basta copiar/colar o código)
• Verificação automática dos cookies do sítio
• Actualizações regulares para manter a conformidade com os regulamentos
• Suporte para a resolução de problemas de implementação do Modo de consentimento do Google v2

Desvantagens:

• Opções de personalização limitadas
• Modelo de subscrição recorrente
• Pode ser demasiado simplista para marcas exigentes

Ideal para: pequenos sítios ou proprietários que pretendem começar a trabalhar rapidamente.

Solução Iubenda Cookie

A Iubenda é uma empresa italiana que oferece um conjunto completo de ferramentas de conformidade, totalmente atualizado para suportar o IAB TCF v2.2 e o Google Consent Mode v2.

Vantagens:

• Solução tudo-em-um (inclui geradores multilingues de políticas de privacidade e de cookies)
• Certificação IAB TCF v2.2
• Google Partners para o Modo de consentimento v2
• Mantém um registo dos consentimentos por auditoria
• Apoio à geo-localização dos utilizadores e gestão diferenciada UE/EUA

Desvantagens:

• Taxa de serviço (com planos anuais baseados nos serviços utilizados)
• Pode ser sobredimensionado para sítios muito pequenos
• Para os utilizadores do Webflow, não é "nativo" como o Finsweet

Ideal para: empresas que procuram uma solução profissional e completa com um mínimo de manutenção.

Cookiebot (CMP da Usercentrics)

Uma das primeiras soluções populares SaaS CMP, agora parte da plataforma Usercentrics.

Vantagens:

• Automatização da conformidade dos cookies
• Verificação periódica de rastreadores e cookies, classificando-os automaticamente
• Geração de uma política de cookies dinâmica actualizada
• Certificado para TCF v2.2 e compatível com o Modo de consentimento do Google v2
• Apoio à conformidade multijurisdicional (UE e EUA)

Desvantagens:

• Modelo de negócio Freemium com custos que crescem com o tráfego
• Personalização moderada de banners
• Não é completamente desenhável a partir do zero, como acontece com o Finsweet

Ideal para: sites de média dimensão e empresas que pretendam delegar a gestão de cookies na automatização.

UniConsentimento

Uma CMP emergente que oferece uma solução completa para integração com o Google Consent Mode V2 e o IAB TCF v2.2.

Vantagens:

• Fácil integração com o Modo de consentimento do Google V2 (básico e avançado)
• Suporte para conformidade com IAB TCF v2.2
• Configuração simplificada com o Google Analytics 4 (GA4)
• Painel de controlo intuitivo para a gestão do consentimento

Desvantagens:

• Marca menos estabelecida em comparação com outras soluções
• Disponibilidade de documentação menos extensa

Ideal para: empresas que procuram uma solução centrada na integração com o Google Consent Mode V2.

Soluções empresariais

Para as grandes organizações multinacionais, existem CMP empresariais como a OneTrust, TrustArc, Didomi, Usercentrics, Osano, etc.

Vantagens:

• Integrações profundas com sistemas empresariais (CRM, etc.)
• Personalização avançada
• Gestão de consentimento multicanal (Web, aplicação móvel, TV ligada)
• Formas de conformidade para além dos cookies (tratamento dos pedidos das partes interessadas, avaliações de impacto)
• Suporte global para conformidade multijurisdicional

Desvantagens:

• Orçamentos elevados
• Implementação complexa
• Exigir aconselhamento especializado

Ideal para: grandes empresas com presença global e necessidades complexas de gestão de consensos.

Conclusões

A adaptação aos regulamentos relativos aos cookies/privacidade requer tanto uma compreensão jurídica dos diferentes regulamentos como a implementação de soluções técnicas adequadas.

‍

Na Europa, prevalece um regime rigoroso de consentimento prévio, enquanto nos EUA prevalece o opt-out com obrigação de transparência, embora as leis estatais estejam a evoluir progressivamente para normas mais rigorosas, aproximando-se do modelo europeu.

‍

Ferramentas como o Google Consent Mode V2 e o IAB TCF v2.2/v2.3 ajudam a colmatar o fosso entre o marketing e a privacidade, permitindo que os sítios utilizem serviços de análise e publicidade, cumprindo simultaneamente a legislação relativa aos cookies.

‍

A escolha da plataforma de gestão de consentimento depende de factores como a dimensão do sítio, os recursos técnicos disponíveis, o orçamento e a necessidade de conformidade multinacional. O importante é dar aos utilizadores um controlo real sobre os seus dados e permitir que o sítio funcione de forma transparente e em conformidade com a legislação aplicável.

‍

As empresas que operam tanto na Europa como nos EUA terão de continuar a navegar num cenário regulamentar complexo e em evolução, adaptando as suas soluções de gestão de consentimento às diferentes jurisdições.

‍

FAQ sobre a legislação relativa aos cookies e a gestão do consentimento

Quais são as principais diferenças entre a legislação europeia e americana em matéria de biscoitos?

Na Europa (RGPD e Diretiva Privacidade Eletrónica) prevalece um modelo de opt-in: é necessário obter o consentimento explícito do utilizador antes de utilizar cookies não essenciais. Em contraste, nos EUA (CCPA/CPRA e outras leis estatais) prevalece um modelo de exclusão: os cookies podem ser utilizados até que o utilizador se oponha explicitamente e as empresas devem fornecer uma forma clara de excluir a venda/partilha de dados.

‍

Que cookies podem ser utilizados sem necessidade de consentimento do utilizador na Europa?

Na Europa, apenas os cookies "estritamente necessários" (ou "técnicos") podem ser utilizados sem consentimento. Estes incluem os cookies que são essenciais para o funcionamento do sítio, tais como os cookies de autenticação, de armazenamento de itens num carrinho de compras de comércio eletrónico ou de segurança do sítio.

‍

O que é o Modo de consentimento V2 do Google e porque é que é importante?

O Google Consent Mode V2 é uma interface que comunica ao Google as opções de consentimento do utilizador. Introduz quatro parâmetros de consentimento (ad_storage, analytics_storage, ad_user_data, ad_personalisation) que regem o comportamento das etiquetas do Google. É importante porque permite aos sítios equilibrar a medição do desempenho de marketing com a conformidade com a privacidade, e tornou-se obrigatório a partir de março de 2024 para os sítios que utilizam os serviços Google na Europa.

‍

Como é que escolho a solução CMP mais adequada para o meu sítio?

A escolha depende de vários factores: dimensão e tráfego do sítio, orçamento disponível, conhecimentos técnicos internos, plataforma em que o sítio é construído (por exemplo, Webflow, WordPress) e requisitos de conformidade específicos. Também é importante verificar se a CMP tem certificação TCF v2.2 do IAB e se suporta o Modo de consentimento V2 do Google, especialmente se forem utilizados serviços de publicidade do Google.

‍

A faixa de cookies também é necessária para um sítio que não utilize cookies de marketing ou analíticos?

Na Europa, tecnicamente sim. Mesmo que o sítio utilize apenas cookies essenciais, continua a ser necessário informar os utilizadores sobre os cookies utilizados. No entanto, neste caso, não é necessário solicitar o consentimento, pelo que a faixa pode ser simplificada num aviso informativo que não exija interação.

‍

Quais são as sanções aplicáveis em caso de incumprimento da legislação relativa aos cookies?

Na Europa, as violações do RGPD podem resultar em penalizações até 4% do volume de negócios global anual ou 20 milhões de euros, o que for maior. Na Califórnia, as infracções à CCPA/CPRA podem resultar em sanções civis até 2 500 dólares por infração não intencional e 7 500 dólares por infração intencional, bem como em potenciais processos judiciais contra os consumidores. As entidades reguladoras tornaram-se mais activas na aplicação da lei, tendo sido aplicadas várias coimas significativas nos últimos anos.

‍

O Modo de consentimento do Google V2 substitui a necessidade de um banner de cookies?

Não, o Modo de consentimento do Google V2 não substitui o cookie de banner, mas funciona em conjunto com ele. Continua a ser necessário um sistema para recolher o consentimento do utilizador (CMP), que depois comunicará as preferências ao Modo de consentimento do Google para regular o comportamento da etiqueta.

‍

Como gerir os consentimentos para um sítio que tem utilizadores na Europa e nos EUA?

A melhor solução é implementar um sistema que reconheça a localização geográfica do utilizador e apresente a interface adequada: uma faixa de opt-in para os utilizadores europeus e um aviso de opt-out para os utilizadores americanos. As PMC mais avançadas oferecem esta funcionalidade de geo-direcionamento.

‍

O que é o IAB TCF e porque é que é importante?

A Estrutura de Transparência e Consentimento (TCF) do IAB é uma norma da indústria que ajuda as empresas a gerir o consentimento do utilizador em conformidade com o RGPD e a Diretiva Privacidade e Comunicações Electrónicas, especialmente no contexto da publicidade digital. Fornece um mecanismo normalizado para recolher, armazenar e partilhar as preferências de consentimento dos utilizadores entre editores, anunciantes e fornecedores de tecnologia de publicidade. A versão mais recente, TCF v2.2, foi concebida para melhorar a transparência e a responsabilidade, e foi desenvolvida em resposta às orientações das autoridades de proteção de dados.

‍

Quais são as principais novidades introduzidas pelo TCF v2.3?

O TCF v2.3, atualmente em consulta pública até maio de 2025, visa proporcionar mais clareza aos vendedores em cenários específicos em que não é claro se os dados foram divulgados ao utilizador. Esta distinção é particularmente importante quando um vendedor tenciona tratar dados para fins especiais com base num interesse legítimo. Prevê-se que as especificações técnicas sejam finalizadas até ao final de maio de 2025, com um prazo de implementação de 1 de fevereiro de 2026.

‍

Fontes

1. IAB Europa (2025). O TCF v2.3 está aberto a comentários públicos". IAB Tech Lab. https://iabtechlab.com/tcf-v2-3-is-open-for-public-comment/
2. IAB Europa (2025). "Lançamento do TCF 2.2! Tudo o que precisa de saber". https://iabeurope.eu/tcf-2-2-launches-all-you-need-to-know/
3. IAB Europa (2025). "Recursos de apoio ao TCF". https://iabeurope.eu/tcf-supporting-resources/
4. Google (2025). 'Actualizações ao modo de consentimento para tráfego no Espaço Económico Europeu (EEE)'. Ajuda do Google Tag Manager. https://support.google.com/tagmanager/answer/13695607
5. Termly (2025). "O que é o Modo de consentimento do Google v2?" . https://termly.io/resources/articles/what-is-google-consent-mode-v2/.
6. Cookieyes (2024). "O que é o Modo de consentimento V2 do Google? Como implementá-lo?" . https://www.cookieyes.com/blog/google-consent-mode-v2/.
7. CookieFirst (2024). "Explicação do Modo de consentimento V2 da Google". https://cookiefirst.com/google-consent-mode-v2-released/
8. Bloomberg Law (2025). "Que estados têm leis de privacidade de dados do consumidor?" . https://pro.bloomberglaw.com/insights/privacy/state-privacy-legislation-tracker/.
9. IAPP (2025). "Rastreador de Legislação de Privacidade do Estado dos EUA". https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
10. Agência de Proteção da Privacidade da Califórnia (2025). "Regulamentos propostos sobre actualizações da CCPA, auditorias de cibersegurança, avaliações de risco, tecnologia de tomada de decisões automatizada (ADMT) e companhias de seguros ." https://cppa.ca.gov/regulations/ccpa_updates.html
11. White & Case LLP (2025). "Atualização da privacidade dos dados". https://www.whitecase.com/insight-alert/data-privacy-update-2025
12. Associação de Advogados da Califórnia (2025). "Lei de Privacidade do Estado em 2025 - O que esperar". https://calawyers.org/privacy-law/state-privacy-law-in-2025-what-to-expect/