Um guia prático de Web Analytics compatível com o GDPR sem

Este guia explica Web Analytics compatível com o GDPR sem na prática, com foco em decisões de analytics que respeitam a privacidade.

A análise da web sem consentimento é possível em alguns casos, mas as condições são mais restritas do que muitas postagens de blog sugerem. A questão não é se a ferramenta se autodenomina sem cookies. A questão é se evita o acesso não essencial a dispositivos e evita o tratamento de dados pessoais, ou se tem outra base jurídica válida para o tratamento limitado.

Esta é uma visão geral do risco jurídico, não um aconselhamento jurídico. As equipes que operam em setores regulamentados ou em vários países UE devem validar sua configuração com um advogado.

As duas perguntas de consentimento

Existem duas questões distintas:

1. A ferramenta de análise armazena informações ou acessa informações do dispositivo do visitante?
2. A ferramenta analítica processa dados pessoais?

A primeira pergunta vem das regras ePrivacy. O artigo 5.º, n.º 3, da Diretiva ePrivacy exige consentimento para armazenar ou aceder a informações em equipementos terminais, a menos que seja aplicável uma isenção. As [Diretrizes 2/2023] finais do EDPB (https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf) deixam claro que isso não se limita aos cookies.

A segunda pergunta vem de GDPR. Se a análise processa dados pessoais, você precisa de uma base legal, transparência, minimização, limites de retenção e processos de direitos do titular dos dados. O consentimento é uma base legal, mas não a única. No entanto, quando ePrivacy exige consentimento para o mecanismo de coleta, esse consentimento geralmente também conduz a análise downstream do GDPR.

Quando a análise sem consentimento é mais Plausible

A análise sem consentimento é mais defensável quando a ferramenta:

• não define cookies
• não usa localStorage, sessionStorage, IndexedDB ou armazenamento semelhante
• não faz impressão digital de dispositivos
• não usa identificadores de usuário persistentes
• não coleta endereços IP brutos em relatórios
• parâmetros de consulta de faixas ou listas de permissões
• usa apenas relatórios agregados
• não compartilha dados com redes de anúncios
• não combina dados analíticos entre clientes
• mantém a retenção curta

As [orientações de medição de público] do CNIL (https://www.cnil.fr/en/sheet-ndeg16-use-analytics-your-websites-and-applications) são uma referência útil para esse tipo de configuração. Ela permite isenções limitadas de medição de audiência apenas sob condições estritas e afirma que a maioria das grandes ofertas de medição de audiência não se qualificam, independentemente da configuração.

Interesses legítimos não são uma solução alternativa para cookies

Algumas equipes dizem: “Contamos com interesses legítimos para análise”. Isso pode ser relevante sob o GDPR para processamento limitado, mas não substitui os requisitos de consentimento ePrivacy onde a ferramenta armazena ou acessa informações no dispositivo do usuário.

Em outras palavras: se a sua análise requer um cookie não essencial, normalmente você não pode evitar o consentimento do cookie apontando para interesses legítimos.

E quanto aos logs do servidor?

Os logs básicos do servidor podem ser necessários para segurança, depuração e entrega de serviços. A análise criada a partir de registros pode apresentar menor risco do que o rastreamento baseado em navegador, mas não é automaticamente anônima. Os endereços IP podem ser dados pessoais de acordo com a lei UE, e registros detalhados podem revelar comportamento.

Se você usar logs para análise:

• registros de segurança separados dos relatórios analíticos
• truncar ou anonimizar endereços IP rapidamente
• excluir caminhos sensíveis
• limitar a retenção
• restringir o acesso
• agregar antes de reportar

Não transforme silenciosamente os logs de segurança em um produto de análise comportamental.

E quanto aos identificadores com hash?

Hashing não anonimiza automaticamente os dados. Se a mesma entrada produzir a mesma saída e você puder vincular visitas ao longo do tempo, o resultado ainda poderá ser dados pessoais pseudônimos. Sais rotativos, janelas curtas e derivação unidirecional reduzem o risco, mas não dispensam o rastreamento ilimitado.

Use chaves de visita derivadas somente quando necessário, alterne-as com frequência e evite usá-las entre sites ou por longos períodos.

Uma árvore de decisão prática

Faça estas perguntas:

1. A ferramenta define ou lê alguma coisa no dispositivo do usuário?
   • Em caso afirmativo, verifique o consentimento ePrivacy ou uma isenção restrita.
2. A ferramenta cria um identificador estável?
   • Se sim, trate-o como rastreamento e avalie o risco GDPR.
3. A ferramenta envia dados para terceiros?
   • Em caso afirmativo, revise a função, a finalidade, as transferências e a reutilização do fornecedor.
4. Os dados são usados ​​para anúncios, personalização ou criação de perfil?
   • Se sim, provavelmente será necessário consentimento e o risco de privacidade será alto.
5. A mesma questão empresarial pode ser respondida com dados agregados?
   • Se sim, colete menos.

O que colocar em seu aviso de privacidade

Mesmo que você não precise de um banner de consentimento, seja transparente. Explicar:

• qual ferramenta de análise você usa
• quais dados são coletados
• se cookies são usados
• se os dados são partilhados com terceiros
• período de retenção
• como os usuários podem contestar ou fazer perguntas

Privacidade em primeiro lugar não significa invisível.

Lista de verificação de evidências sem consentimento

Antes de chamar a análise sem consentimento, mantenha evidências de quatro afirmações: nenhum armazenamento ou acesso não essencial ao dispositivo, nenhum identificador de visitante ou impressão digital estável, nenhuma publicidade ou reutilização entre sites e nenhum dado pessoal além do necessário para medição agregada. Adicione capturas de tela de armazenamento do navegador, amostras de carga de rede, configurações de retenção e documentação do fornecedor ao registro.

Em seguida, teste novamente após alterações no marketing ou no gerenciador de tags. O status sem consentimento não será permanente se alguém adicionar um pixel, um ID persistente, uma exportação em nível de usuário ou um novo destino.

O resultado final

O caso mais forte de análise sem consentimento é simples: sem armazenamento no navegador, sem impressão digital, sem identificadores pessoais em relatórios, sem reutilização de anúncios, retenção curta e medição agregada com finalidade limitada.

Se a sua ferramenta de análise precisa reconhecer pessoas ao longo do tempo, enriquecer o público dos anúncios ou combinar dados entre sites, não é a mesma coisa. Ainda pode ser legal com o consentimento e os controles corretos, mas não é uma análise de privacidade que prioriza a privacidade sem consentimento.

Documente o caso sem consentimento

Se você decidir que a análise pode ser executada sem consentimento, documente o raciocínio em uma página. Inclua se a ferramenta armazena ou lê informações do dispositivo, se os endereços IP são coletados ou truncados, se os identificadores são estáveis, se os relatórios são agregados, onde os dados são processados, quem os recebe e o período de retenção.

Anexe evidências técnicas: capturas de tela de armazenamento do navegador, exemplos de solicitações de rede, exemplos de carga útil de eventos e documentação do fornecedor. Em seguida, agende uma nova verificação após alterações no produto. O status de isenção de consentimento pode ser perdido se alguém adicionar impressões digitais, IDs de usuário, exportações de publicidade ou uma integração com gerenciador de tags. A questão não é criar papelada por si só; é evitar que uma implementação restrita se torne silenciosamente um rastreamento comum.