Um guia prático de Como construir análises de sites compatíveis com

Este guia explica Como construir análises de sites compatíveis com na prática, com foco em decisões de analytics que respeitam a privacidade.

A análise sem cookies não é automaticamente compatível com GDPR. É uma direção de design, não um rótulo mágico.

Uma ferramenta pode evitar cookies e ainda coletar dados pessoais. Ele pode fazer hash de endereços IP de uma forma que permaneça vinculável. Ele pode imprimir dispositivos com impressões digitais. Ele pode armazenar trilhas de eventos detalhadas que destacam as pessoas. Para criar análises que priorizem genuinamente a privacidade, você precisa reduzir o armazenamento e a identificabilidade do navegador.

Comece com as duas camadas legais

A análise europeia geralmente aborda dois regimes relacionados, mas distintos.

A Diretiva Privacidade Eletrónica, implementada através de leis nacionais, regulamenta o armazenamento ou o acesso a informações a partir do equipamento terminal de um utilizador. As [Diretrizes 2/2023 relativas ao artigo 5.º, n.º 3]](https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf) finais do CEPD deixam claro que o âmbito de aplicação é mais amplo do que os cookies clássicos.

A GDPR regula o tratamento de dados pessoais. Uma configuração pode evitar cookies, mas ainda processar dados pessoais se coletar endereços IP, IDs exclusivos, localização granular, impressões digitais de dispositivos ou comportamento detalhado que possa identificar ou destacar uma pessoa.

Portanto, o objetivo da arquitetura é duplo:

• evite armazenamento não essencial do navegador e acesso ao dispositivo
• minimizar ou anonimizar dados pessoais no pipeline de análise

O que não fazer

Não substitua simplesmente os cookies por impressões digitais. Combinar endereço IP, agente do usuário, fuso horário, tamanho da tela, fontes, idioma e propriedades do dispositivo para criar um identificador estável ainda é um rastreamento. Pode ser pior porque os usuários não conseguem vê-lo ou excluí-lo facilmente.

Não presuma que hash é igual a anonimato. Um hash de um endereço IP e um agente de usuário ainda podem ser dados pessoais se a mesma entrada produzir a mesma saída e o controlador puder vincular atividades ao longo do tempo. A orientação GDPR do EDPB trata os dados pseudonimizados como dados ainda pessoais quando a reidentificação permanece razoavelmente possível.

Não envie URLs completo sem higienização. As strings de consulta geralmente contêm dados pessoais, tokens, endereços de e-mail, termos de pesquisa ou cliques em anúncios IDs.

Não reutilize dados analíticos para publicidade. As orientações de medição de audiência da CNIL tratam análises isentas de forma restrita: finalidade limitada, sem rastreamento entre sites, sem combinação com outros dados e sem divulgação para fins não relacionados.

Uma arquitetura melhor sem cookies

Um evento de análise que prioriza a privacidade deve ser pequeno:

{
  "type": "pageview",
  "path": "/pricing",
  "referrer_host": "example.com",
  "utm_source": "newsletter",
  "utm_medium": "email",
  "country": "DE",
  "device": "desktop"
}

Evite enviar:

• endereços IP brutos para armazenamento de longo prazo
• agentes de usuário completos se uma categoria grosseira de navegador/dispositivo for suficiente
• strings de consulta completas
• e-mails, nomes, conta IDs, endereços de carteira ou cliente IDs
• campos de formulário de formato livre
• geolocalização precisa

Use o endereço IP apenas temporariamente, se necessário, para derivar país ou região aproximada. Descarte-o antes do armazenamento persistente. Se você precisar de detecção de bot ou limitação de taxa, mantenha esse pipeline separado dos relatórios analíticos e aplique retenção curta.

Contando visitas sem cookies

Contar visualizações de página é fácil sem identificadores. Contar visitas é mais difícil.

Um padrão comum de preservação de privacidade é criar uma chave de visita derivada de curta duração a partir de atributos de solicitação mais um sal secreto rotativo. Por exemplo, um servidor pode derivar uma chave do prefixo IP, do agente de usuário grosseiro, do site ID e de um salt que gira diariamente ou com mais frequência. As entradas brutas não são armazenadas e a chave não pode ser usada por longos períodos.

Esta ainda é uma abordagem com muitas advertências. Pode ser pseudônimo em vez de anônimo, dependendo da implementação, da retenção e da capacidade do controlador de recalcular ou vincular registros. Trate isso como uma técnica de minimização, não como prova de que GDPR não se aplica mais.

Se você puder responder à questão comercial com menos, faça menos. Muitas equipes só precisam de visualizações de página, páginas principais, referenciadores, campanhas e conversões. A contagem de visitantes únicos é útil, mas não vale a pena rastrear invasivamente.

Análise sem consentimento: quando é plausível

A análise sem consentimento é mais plausível quando:

• nenhum cookie, localStorage ou identificadores semelhantes são usados
• nenhuma impressão digital do dispositivo é criada
• os dados pessoais não são armazenados, ou são anonimizados de forma rápida e irreversível
• os dados são usados apenas para medição agregada de audiência
• os dados não são compartilhados com redes de anúncios nem reutilizados entre clientes
• a retenção é curta
• os usuários são informados de forma transparente
• páginas e parâmetros sensíveis são excluídos

É por isso que muitas ferramentas que priorizam a privacidade são mais simples que o Google Analytics. A simplicidade não é uma característica que falta. É a estratégia de conformidade.

Lista de verificação de implementação

Antes do lançamento, teste o site em um perfil de navegador limpo:

1. Abra o DevTools e confirme se nenhum cookie analítico está definido.
2. Verifique localStorage, sessionStorage, IndexedDB e uso de cache.
3. Inspecione as solicitações de rede e confirme se as cargas analíticas são mínimas.
4. Confirme se os parâmetros de consulta estão na lista de permissões ou foram removidos.
5. Verifique se GPC ou opções de consentimento desativam quaisquer tags de publicidade.
6. Confirme se as configurações de retenção correspondem ao seu aviso de privacidade.
7. Documente a base legal e a análise de privacidade eletrônica com um advogado se você opera em mercados regulamentados.

Verificação da realidade da conformidade

Não trate “sem cookies” como uma conclusão legal. Antes do lançamento, documente cada evento, a decisão que ele suporta, se algum armazenamento ou identificador de dispositivo está envolvido, quais fornecedores recebem os dados e quando os registros brutos expiram.

Em seguida, teste o site em um perfil de navegador limpo e compare o resultado com o aviso de privacidade. Se o navegador ainda mostrar chamadas de terceiros, identificadores persistentes ou dados de string de consulta não planejados, a história de conformidade precisará de mais trabalho antes que a declaração de marketing seja publicada.

O resultado final

A análise sem cookies alinhada ao GDPR é possível, mas somente quando o sistema é projetado em torno da minimização de dados. Evite o armazenamento de dispositivos, evite identificadores entre sites, evite a reutilização de anúncios e mantenha os relatórios agregados.

A configuração analítica de menor risco é aquela que responde à questão comercial sem a necessidade de saber quem é o visitante.