dp_cookieconsent para TYPO3: em conformidade com a LGPD Cookie-Management

Por que um banner de cookies sozinho não garante conformidade com a LGPD

Toda instalação TYPO3 que incorpora Google Analytics, vídeos do YouTube, plugins de redes sociais ou fontes externas enfrenta a mesma tarefa desde a entrada em vigor da LGPD no Brasil: antes do carregamento de um script de terceiros, é necessário um consentimento ativo e informado do usuário. O dp_cookieconsent é a extensão mais difundida na comunidade TYPO3 que assume exatamente essa tarefa. Ela se destina a empresas que querem operar seu site em conformidade com a LGPD sem uma ferramenta externa de Consent Management, atendendo assim empresas de médio porte, órgãos públicos e instituições de ensino que não querem arcar com custos contínuos de CMPs comerciais.

Cenários típicos de uso

Uma indústria brasileira com catálogo de produtos e 45 landing pages usa Google Analytics, um vídeo explicativo do YouTube, formulários do HubSpot e Google Fonts. Sem o dp_cookieconsent, todos esses serviços definiriam cookies assim que um usuário abrisse a página, expondo a empresa a questionamentos da ANPD (PT: CNPD) nos termos da LGPD. A extensão agrupa os serviços por categoria, carrega o código do HubSpot apenas após o consentimento de marketing e oferece Google Fonts em versão auto-hospedada, eliminando ali a necessidade de consentimento.

Um segundo quadro típico é o de uma universidade brasileira, como USP ou UFRJ, com um portal principal e vários sites descentralizados de faculdades. Cada faculdade mantém seus próprios conteúdos e incorpora seus próprios serviços, às vezes um mapa do OpenStreetMap, às vezes um vídeo do YouTube, às vezes um tracking Matomo. O dp_cookieconsent centraliza a gestão de consentimento na instalação principal, entrega o banner via Fluid Partials a todos os subsites e armazena o consentimento entre domínios, para que o usuário não precise consentir novamente em cada site de faculdade.

Um terceiro caso são prefeituras com formulários online e aplicações de mapa. Aqui, a complicação extra é que os encarregados de proteção de dados (DPOs) realizam auditorias regulares e exigem uma documentação completa dos serviços utilizados. O dp_cookieconsent entrega a categorização e o texto de privacidade diretamente via TypoScript, o que permite a manutenção pela equipe editorial sem intervenção de desenvolvedores.

Arquitetura técnica: bloqueio de scripts no nível do template

O dp_cookieconsent funciona segundo o princípio de “type-attribute swapping”: todos os scripts de terceiros no código-fonte não são entregues com type=“text/javascript”, mas com um tipo neutro como type=“text/plain” e um atributo adicional data-cookieconsent. O navegador ignora tags assim e não as executa. Apenas quando o usuário consente no banner, um pequeno JavaScript substitui os atributos de tipo e dispara a execução atrasada. O mesmo mecanismo vale para iframes, que até o consentimento são exibidos como placeholders.

A configuração da extensão é feita totalmente via constantes e setup TypoScript, complementada por um arquivo YAML para as definições de serviço. Cada serviço é registrado ali com nome, descrição, categoria, nomes de cookie e tempo de vida do cookie, o que facilita significativamente a documentação posterior para o DPO. Fluid Partials definem a aparência do banner e do modal de configurações, permitindo adaptar o design à identidade visual sem alterar a extensão.

Problemas frequentes e soluções

O primeiro e mais frequente problema: mesmo com o banner ativo, os scripts de terceiros carregam, porque são incorporados via caminhos de include que não passam pelo TypoScript. Típicos são blocos HTML estáticos, elementos de conteúdo Fluid com tags script hard-coded ou footer includes de templates mais antigos. Uma solução limpa exige um crawl completo do site com devtools do navegador ou uma ferramenta automatizada que registra todas as requisições de saída e compara quais delas são disparadas antes do consentimento.

O segundo problema é o armazenamento do consentimento. O dp_cookieconsent guarda a decisão em um cookie local, o que gera exibições repetidas do banner para usuários com configuração de navegador restritiva ou no modo anônimo. Quem quer medir taxas de consentimento precisa ativar adicionalmente um logging no servidor, que grava os consentimentos junto com timestamp e hash de IP em uma tabela de banco de dados, fornecendo documentação robusta para auditorias.

O terceiro tema é performance. O banner carrega um bundle JavaScript que, conforme o volume dos serviços configurados, pode ficar notavelmente grande e atrasar o First Contentful Paint. A Gosign otimiza a entrega via deferred loading, reduz Fluid Partials desnecessários e adota, sempre que possível, uma combinação de analytics sem cookies e assets auto-hospedados, de modo que o banner só seja necessário para poucos serviços.

Um quarto problema aparece em mudanças de consentimento: o usuário dá seu consentimento, usa o site, muda de ideia depois e revoga. O dp_cookieconsent reseta a flag do cookie, mas os scripts já carregados continuam rodando em segundo plano até o usuário recarregar a página. Uma solução limpa exige um trigger de reload ou a remoção direcionada de cookies já definidos no momento da revogação, para que a revogação de privacidade seja efetivamente aplicada e não apenas documentada formalmente.

Migração e compatibilidade de versões

O dp_cookieconsent está disponível para TYPO3 v11, v12 e v13, sendo que a compatibilidade com a v13 é atualizada regularmente e atualmente é considerada pronta para produção. O salto de v11 para v12 geralmente exige um re-mapping das constantes TypoScript, já que alguns nomes foram renomeados. Para usuários de versões mais antigas da extensão, vale notar que as definições de serviço antes eram mantidas exclusivamente via formulários de backend, enquanto versões mais novas trabalham com YAML e, portanto, encaixam muito melhor em workflows Git.

Quem migra de outra ferramenta de consentimento como Cookiebot, OneTrust ou Usercentrics economiza custos recorrentes de licença, mas precisa reconstruir a configuração de serviços. A Gosign conduz essas migrações incluindo análise da taxa de consentimento, para que a mudança não cause perdas mensuráveis na quota de aceitação.

Além disso, vale uma visão estratégica sobre a pergunta de se um banner de cookies ainda é a resposta certa. Quem adota fontes auto-hospedadas de forma consistente, migra para analytics sem cookies como Matomo com cookies desativados ou Plausible, e substitui embeds de vídeo por imagens de preview estáticas com clique para carregar, pode remover o banner para muitas páginas. A vantagem regulatória é considerável, porque cada consentimento evitado também é um risco evitado junto à ANPD, e ao mesmo tempo a taxa de conversão não é prejudicada pelo diálogo do banner.