Um guia prático de analytics web em conformidade com o GDPR

Este guia explica analytics web em conformidade com o GDPR na prática, com foco em decisões de analytics que respeitam a privacidade.

A análise da web compatível com o GDPR é possível, mas requer mais do que adicionar um banner de cookie. A configuração da análise deve ter uma base legal, respeitar as regras ePrivacy, minimizar os dados pessoais, lidar com as transferências legalmente e fornecer informações claras aos usuários.

A questão tornou-se mais visível após o Schrems II, quando o Tribunal de Justiça invalidou o Privacy Shield e tornou as organizações responsáveis ​​pela avaliação dos riscos de transferência de países terceiros (CJEU C-311/18). Vários reguladores europeus posteriormente consideraram implementações específicas de Google Analytics ilegais porque os dados foram transferidos para os Estados Unidos sem salvaguardas adequadas, incluindo a análise da notificação formal da CNIL francesa (decisão anonimizada CNIL) e o caso austríaco DSB resumido por noyb (decisão austríaca da DSB sobre Google Analytics).

O que a análise compatível deve resolver

Uma configuração pronta para GDPR precisa de respostas para cinco perguntas.

Quais dados são coletados? Endereços IP, IDs de cookies, IDs de usuários, dados de dispositivos, URLs, termos de pesquisa e propriedades de eventos podem ser dados pessoais.

Por que eles são coletados? Defina finalidades como medição de desempenho, melhoria de conteúdo, acompanhamento de conversões ou segurança. Evite reutilização vaga.

Qual base jurídica se aplica? Muitas vezes é necessário consentimento para cookies e rastreadores de publicidade. Interesses legítimos podem ser considerados para análises primárias de baixo risco, mas exigem um teste de equilíbrio e podem não satisfazer as regras de consentimento ePrivacy em todos os países.

Para onde vão os dados? Mapeie processadores, subprocessadores, acesso de suporte, logs, backups e transferências.

Por quanto tempo eles são retidos? Os dados brutos de eventos devem ter um período de retenção definido.

Google Analytics áreas de risco

GA4 inclui controles mais fortes do que o antigo Universal Analytics, e o Google diz que GA4 não registra ou armazena endereços IP (proteções do Google). Mas os proprietários de sites ainda precisam avaliar cookies, dados de dispositivos, Google Signals, recursos de publicidade, configurações de compartilhamento de dados, modo de consentimento, contratos, controles regionais e transferências internacionais. A Data Privacy Framework UE-EUA pode ser relevante quando um destinatário dos EUA certificado está envolvido, mas não substitui o trabalho de consentimento, minimização, transparência ou limitação de finalidade do ePrivacy.

O principal erro de conformidade é tratar Google Analytics como automaticamente legal ou ilegal em todas as situações. A resposta certa depende da configuração, do país, do mecanismo de transferência, do comportamento de consentimento e se os recursos de publicidade estão habilitados. Para muitas equipes que priorizam a privacidade, a escolha mais simples é evitar grande parte dessa complexidade.

Arquitetura analítica mais segura

Uma pilha de análises que prioriza a privacidade geralmente inclui:

• Sem cookies de terceiros.
• Sem rastreamento entre sites.
• Sem impressões digitais.
• Nenhum armazenamento de endereços IP completos.
• Nenhum dado pessoal nas propriedades do evento.
• UE ou processamento do país de adequação, sempre que possível.
• Relatórios agregados por padrão.
• Curta retenção para eventos brutos.
• Uma lista clara de DPA e subprocessadores.

Isto não isenta a organização da análise jurídica, mas reduz o risco e facilita a análise.

Lista de verificação prática de configuração

1. Audite os scripts atuais com ferramentas de desenvolvimento do navegador.
2. Remova tags e pixels não utilizados.
3. Decida quais métricas são realmente necessárias.
4. Escolha uma ferramenta que suporte medição sem cookies.
5. Remova parâmetros de consulta que possam conter dados pessoais.
6. Escreva uma política de nomenclatura de eventos.
7. Documentar a base jurídica e o comportamento de consentimento por país.
8. Revise as transferências de dados e contratos de fornecedores.
9. Defina períodos de retenção.
10. Atualize o aviso de privacidade.

O que evitar

Evite a repetição de sessões em páginas confidenciais, coletando entradas de texto livre, enviando IDs de usuários logados para plataformas de publicidade, habilitando todos os recursos de medição “aprimorados” por padrão e assumindo o anonimato quando os dados são meramente pseudônimos.

A análise compatível com o GDPR é principalmente uma restrição disciplinada. Meça o que melhora o site, nem tudo que um navegador pode revelar.

Consentimento versus interesses legítimos

As equipes geralmente desejam uma resposta universal sobre se a análise pode ser executada de acordo com interesses legítimos. Não existe uma resposta universal. Uma configuração de análise agregada, sem cookies e própria, usada apenas para entender o desempenho do site, pode ser mais fácil de justificar em algumas jurisdições. Análises que definem identificadores, rastreiam usuários em sessões, compartilham dados com plataformas de publicidade ou permitem a criação de perfis geralmente precisam de consentimento sob as regras ePrivacy e podem ser mais difíceis de justificar sob interesses legítimos GDPR.

Documente seu raciocínio. Se você confia em interesses legítimos, faça um teste de equilíbrio. Se você depende do consentimento, torne a recusa tão fácil quanto a aceitação e garanta que as tags não sejam disparadas antes do consentimento.

Gatilhos DPIA

Considere um DPIA quando a análise envolve pessoas vulneráveis, páginas confidenciais, perfis em grande escala, localização precisa, dados de crianças, contextos de saúde ou financeiros ou transferências transfronteiriças com fornecedores de alto risco. Um DPIA não é apenas um artefato legal; força a equipe a definir se os dados valem o risco.

Um exemplo prático de implementação

Para um site de marketing SaaS típico, comece permitindo apenas visualizações de página, referenciadores, parâmetros UTM, classe de dispositivo, país e um pequeno conjunto de eventos de conversão, como signup_started, demo_requested e checkout_completed. Remova endereços de e-mail, IDs de conta, texto de pesquisa e tokens de convite de URLs antes que a análise os veja. Mantenha os parâmetros da campanha, mas defina uma lista de permissões para que valores acidentais, como ?email= ou ?customer_id=, sejam descartados.

Em seguida, teste a implementação em um perfil de navegador limpo. Rejeite cookies opcionais, recarregue o site e inspecione o armazenamento de rede e aplicativos. O resultado deve corresponder ao aviso de privacidade e à base jurídica documentada. Se o navegador ainda mostrar chamadas de terceiros ou identificadores persistentes, a história de conformidade não estará concluída.

Evidências de conformidade a serem mantidas

Mantenha um pacote de evidências analíticas: inventário de eventos, finalidade de cada evento, armazenamento e comportamento de consentimento por região, mecanismo de transferência, contratos de fornecedores, configurações de retenção, recursos de publicidade habilitados e capturas de tela ou registros de testes do navegador. Trate o texto GDPR como um objetivo de implementação, não como uma conclusão legal geral sobre o nome de uma ferramenta.

Em seguida, teste a página em um perfil de navegador limpo e compare o resultado com o aviso de privacidade. Se o navegador ainda mostrar chamadas não planejadas de terceiros, identificadores persistentes ou dados de string de consulta após a rejeição, a história de conformidade estará inacabada.