Um guia prático de identificadores pessoais

Este guia explica identificadores pessoais na prática, com foco em decisões de analytics que respeitam a privacidade.

Os identificadores Google Analytics não são apenas detalhes técnicos de implementação. Eles são o mecanismo que permite ao GA4 distinguir usuários, conectar eventos em sessões, potencializar recursos de publicidade e criar relatórios que parecem mais precisos do que contadores de páginas agregados.

Para as equipes de privacidade, a questão principal não é se um identificador se parece com um nome. É se ele pode destacar um navegador, dispositivo, instalação de aplicativo, conta ou pessoa. De acordo com GDPR, os identificadores online podem ser dados pessoais quando se referem a uma pessoa identificável.

Isso não torna todo identificador analítico "PII" no sentido estrito e cotidiano de nome, e-mail, número de telefone ou endereço. Um Client ID geralmente é um pseudônimo. Ainda merece controles porque identificadores pseudônimos podem vincular comportamentos ao longo do tempo e podem tornar-se identificáveis quando combinados com outros dados.

Client ID

Para sites, o Google diz que o Analytics armazena um ID de cliente em um cookie primário chamado _ga para distinguir usuários e sessões únicas (coleta de dados GA4). O Google também afirma que os clientes podem controlar se os cookies são usados para armazenar um identificador de cliente pseudônimo ou aleatório (proteções Google Analytics).

Um ID de cliente é pseudônimo e não anônimo. Pode não conter um nome, mas pode vincular visualizações de páginas e eventos do mesmo navegador ao longo do tempo. Combinado com localização derivada de IP, informações do dispositivo, caminhos de páginas, dados de campanha e detalhes de eventos, torna-se um registro comportamental.

User ID

User ID é opcional, mas mais sensível. Ele permite que um site envie seu próprio identificador para usuários autenticados para que o Analytics possa conectar atividades em dispositivos e sessões. Se implementados de forma descuidada, estes podem tornar-se dados pessoais diretos ou um identificador interno estável que facilita a reidentificação.

Nunca envie endereços de e-mail, nomes de usuário, números de telefone ou IDs CRM para Google Analytics como User IDs ou dimensões personalizadas, a menos que a revisão legal aprove explicitamente. As políticas Google Analytics proíbem o envio de informações de identificação pessoal para o Analytics, e o risco de privacidade aumenta drasticamente quando o Analytics se junta aos dados da conta.

Session ID e identificadores de eventos

O modelo de evento do GA4 agrupa interações em sessões e eventos. Os identificadores de sessão ajudam os relatórios a calcular engajamento, conversões e jornadas. Mesmo quando um único ID de sessão tem vida curta, ele ainda pode revelar o comportamento de uma visita: páginas visualizadas, arquivos baixados, etapas do formulário alcançadas e cliques de saída.

Isso é importante em sites confidenciais. Uma sessão que inclui visitas a páginas de saúde mental, assistência jurídica, políticas ou médicas pode revelar mais do que o usuário pretendia.

App Instance ID e identificadores móveis

Para aplicativos, o Google diz que o Firebase SDK gera e atribui automaticamente um identificador de instância de aplicativo para cada instância de aplicativo, e o SDK pode coletar identificadores móveis como Android Advertising ID e iOS Identifier for Advertisers quando disponíveis (Coleta de dados GA4).

Os identificadores móveis levantam questões adicionais de consentimento e políticas de plataforma. No iOS, a estrutura App Tracking Transparency da Apple pode exigir autorização do usuário para rastreamento em aplicativos e sites de propriedade de outras empresas. No Android, o comportamento do ID de publicidade depende das configurações e permissões da plataforma.

Google Signals

Google Signals é uma consideração de privacidade separada. O Google afirma que a ativação de Google Signals pode ativar remarketing, recursos de relatórios de publicidade e dados demográficos e interesses de usuários conectados a contas do Google que têm a Personalização de anúncios ativada (documentação Google Signals).

Isso pode ser útil para os anunciantes, mas aproxima a análise da identidade publicitária. Se você não precisa de remarketing ou relatórios demográficos, desabilitar Google Signals reduz o risco e simplifica a explicação em seu aviso de privacidade.

Endereços e localização IP

O Google diz que GA4 não registra ou armazena endereços IP e usa endereços IP para fins como derivar localização e proteger o serviço (proteções Google Analytics). Esse é um controle significativo, mas não torna o restante do conjunto de dados analíticos anônimo. Client IDs, sequências de eventos, dados do dispositivo e recursos vinculados à conta ainda podem ser dados pessoais.

Evite o erro comum de dizer "GA4 é anônimo porque os endereços IP não são armazenados". A lei de privacidade analisa o conjunto completo de dados e a identificabilidade razoável, não apenas um campo.

Por que os identificadores acionam perguntas de consentimento

Na Europa, armazenar ou acessar identificadores em um dispositivo pode acionar regras de consentimento de cookies ePrivacy. GDPR rege então o processamento de dados pessoais que se segue. Estas são questões relacionadas, mas separadas: ePrivacy pode exigir consentimento para o mecanismo de armazenamento ou acesso, enquanto GDPR requer uma base legal para o processamento subsequente. Essa base legal geralmente é o consentimento para publicidade ou criação de perfil, mas não é correto dizer que todo identificador sempre requer o consentimento GDPR em todas as configurações.

O consentimento válido, quando utilizado, deve ser dado livremente, específico, informado e inequívoco, conforme explica EDPB (orientação de consentimento EDPB).

Se GA4 estiver configurado com recursos de publicidade, retenção longa, User ID ou Google Signals, a carga de consentimento e transparência aumentará. Se estiver configurado apenas para medição limitada atrás de um CMP, o risco pode ser menor, mas não zero.

Lista de verificação de configuração mais segura

Para equipes que mantêm GA4, considere estes controles:

• Desative Google Signals, a menos que seja especificamente necessário
• Não habilite a personalização de anúncios por padrão
• Não envie User ID a menos que seja necessário e revisado
• Nunca envie e-mails ou outros identificadores diretos
• Remova dados pessoais de URLs antes de rastrear
• Mantenha as propriedades do evento categóricas e mínimas
• Use Consent Mode com cuidado e entenda o modo básico versus avançado
• Reduza a retenção de dados sempre que possível
• Excluir tráfego interno
• Revise as exportações Google Ads e BigQuery vinculadas

Para equipes que precisam apenas de desempenho, campanhas e conversões do site, considere análises que priorizam a privacidade, que evitam totalmente identificadores persistentes.

Lista de verificação de auditoria de identificador

Separe identificadores diretos, identificadores on-line pseudônimos e métricas agregadas. Registre se a medição aprimorada, Google Signals, personalização de anúncios, User-ID, exportação de BigQuery, Consent Mode, medição de vários domínios e configurações específicas da região estão ativadas. Para cada identificador, documente sua finalidade, vida útil, local de armazenamento, base legal, dependência de consentimento e se ele sai da sua organização.

Mantenha GA4 apenas onde os anúncios do Google ou o ecossistema de relatórios justificarem a privacidade, o consentimento e o custo de manutenção. Para páginas de linha de base, referenciadores, campanhas, metas e funis agregados, a análise que prioriza a privacidade pode responder à pergunta com menos identificadores.

O resultado final

Os identificadores são o que transformam a análise de contagem agregada em medição comportamental. Às vezes isso é justificado. Frequentemente, é mais do que um site de marketing precisa.

Antes de habilitar outro identificador, pergunte qual decisão ele suporta. Se a resposta for vaga, deixe-a de lado. A pilha analítica mais limpa é aquela que mede os resultados sem acumular identidade.

Auditar dimensões personalizadas

As dimensões personalizadas são onde entram muitos problemas de privacidade do GA4. Revise cada dimensão e parâmetro para identificar identificadores diretos, IDs internos, texto livre e contexto confidencial. Se uma propriedade for útil apenas para identificar uma pessoa ou conta, ela provavelmente pertence a um CRM ou banco de dados de produtos com controles de acesso mais rígidos, e não a um relatório de análise de marketing.