Name: Flowsery
Author: Flowsery

Operar um serviço de analytics focado em privacidade significa buscar constantemente formas de aprimorar a privacidade do usuário enquanto ainda entrega analytics úteis para sites. O desafio central é fornecer contagens de visitas únicas e visualizações totais de página sem interromper a experiência do visitante. Nenhum proprietário de site quer exibir pop-ups intrusivos de consentimento de cookies, a menos que seja absolutamente exigido por lei.

Aqui está uma visão técnica de como analytics sem cookies e compatível com a privacidade pode ser implementado.

Evitando Tecnologias Similares a Cookies

Para alcançar total conformidade com a Diretiva ePrivacy, incluindo PECR e outras implementações de estados-membros, uma ferramenta de analytics deve evitar todas as formas de tecnologia similar a cookies:

Cookies
localStorage
sessionStorage
Dados derivados de "Equipamento Terminal" (fuso horário, dimensões do dispositivo, etc.)

Essas restrições são na verdade razoáveis do ponto de vista da privacidade. Inspecionar dados armazenados no dispositivo de um visitante parece invasivo, então essas limitações técnicas se alinham bem com uma filosofia de privacidade em primeiro lugar.

Rastreando Visitas Sem Cookies

Qualquer plataforma de analytics significativa precisa da capacidade de distinguir entre visitas únicas e visualizações de página brutas. Contagens de visualizações de página sozinhas, sem dados de visitas, fornecem insights limitados sobre os padrões reais de tráfego.

O processamento de certos dados pessoais (especificamente endereços IP e strings User-Agent, conforme definido pelo GDPR) é permitido sob as seis bases legais do regulamento. Operadores de sites podem se basear no interesse legítimo quando não há risco para o titular dos dados e quando anonimização adequada é aplicada.

A abordagem envolve combinar múltiplos pontos de dados para gerar um hash único por visitante:

Um valor de salt rotativo vinculado ao endereço IP e identificador do site
O próprio endereço IP
A string User-Agent
O hostname (o domínio do site)
Um identificador específico do site

Esses inputs são processados por um algoritmo de hashing SHA256, produzindo saídas como: cd3f1ed906bb12b62dd5eff809aa1778211a02d1c11992476f0c9977c0db0646

Os hashes resultantes são matematicamente irreversíveis. É importante notar que hashing difere fundamentalmente de criptografia. Dados criptografados podem ser descriptografados com a chave correta, enquanto hashing é estritamente unidirecional.

Rotacionar a string de salt diariamente à meia-noite adiciona uma camada extra de proteção contra avanços futuros em poder computacional e ataques de rainbow table.

O resultado é um hash anonimizado armazenado no banco de dados que não pode ser usado para identificar nenhuma pessoa individual.

Conformidade com o Schrems II

Após a decisão Schrems II em 2020, provedores de analytics que operam internacionalmente também precisam abordar os requisitos de transferência de dados da UE. Como múltiplas autoridades de proteção de dados da UE consideraram o Google Analytics não compatível, qualquer alternativa focada em privacidade deve demonstrar conformidade robusta.

Uma abordagem eficaz é criar infraestrutura europeia isolada onde nenhum tráfego da UE saia de servidores baseados na UE. Os dados passam por rodadas adicionais de hashing usando chaves de criptografia armazenadas exclusivamente em infraestrutura da UE antes de tocar qualquer serviço fora da UE. O acesso a esses servidores pode ser restrito a engenheiros baseados na UE ou em países com decisões de adequação do GDPR, como o Canadá. Até sistemas de CI/CD podem ser auto-hospedados dentro da UE para manter o isolamento completo.

O Papel da Anonimização

O propósito do hashing dos dados do visitante é garantir que nenhum indivíduo possa jamais ser identificado a partir dos dados de analytics coletados. Essa é a base de analytics genuinamente focado em privacidade.

A conformidade com o GDPR, a CCPA e o PECR não deve ser uma reflexão tardia. O Considerando 26 do GDPR fornece orientação-chave:

Flowsery

—

Analytics orientado para receitas para o seu site

Painel em tempo real

Rastreamento de metas

Rastreamento sem cookies

Considerando 26	Análise
Para determinar se uma pessoa natural é identificável, devem ser considerados todos os meios razoavelmente prováveis de serem utilizados, como a individualização.	Com hashing adequado, uma pessoa natural não pode ser individualizada. Atualizações de visualizações de página ocorrem dentro de transações únicas de banco de dados, e logs de consultas não são retidos.
Devem ser considerados todos os fatores objetivos, como os custos e o tempo necessário para a identificação.	Forçar bruscamente um hash de 256 bits custaria aproximadamente 10^44 vezes o PIB global -- tornando a identificação reversa essencialmente impossível com tecnologia atual ou previsível.
Os princípios de proteção de dados não devem se aplicar a informações anônimas ou dados pessoais tornados anônimos de forma que o titular dos dados não seja mais identificável.	Dados devidamente hashados tornam indivíduos não identificáveis, potencialmente colocando tais analytics fora do escopo do GDPR inteiramente.
Este Regulamento não diz respeito ao processamento de tais informações anônimas, incluindo para fins estatísticos ou de pesquisa.	Mesmo que o GDPR fosse considerado aplicável, existe um interesse comercial legítimo em entender o desempenho do site por meio de estatísticas agregadas e anonimizadas.

Considerações Finais

Construir analytics sem cookies enquanto ainda fornece métricas significativas de visitas é alcançável por meio da aplicação cuidadosa de técnicas de hashing e anonimização. Algumas plataformas de analytics sem cookies rastreiam apenas visualizações de página, omitindo dados de visitas únicas completamente. Para empresas que dependem de entender padrões de tráfego, visitas únicas representam uma métrica crítica que técnicas de preservação de privacidade como as descritas aqui podem entregar de forma eficaz.