Este guia explica Google Analytics e privacidade na prática, com foco em decisões de analytics que respeitam a privacidade.

Um guia prático de Google Analytics e privacidade

Google Analytics não é automaticamente ilegal e GA4 não é o mesmo produto que Universal Analytics. Mas as preocupações com a privacidade permanecem porque o GA faz parte de um ecossistema maior de publicidade e dados, e muitas implementações coletam mais informações do que um site realmente precisa.

A questão prática não é se Google Analytics é “ruim”. É se o seu uso é necessário, proporcional, transparente, consentido quando necessário e legalmente respaldado pelos países e usuários envolvidos.

As melhorias de privacidade GA4 não encerram a análise

O Google afirma que GA4 não registra ou armazena endereços IP, e sua documentação descreve controles para recursos de publicidade, personalização e retenção (proteções Google Analytics). Essa é uma melhoria significativa na privacidade em relação às suposições mais antigas.

No entanto, o tratamento do endereço IP é apenas um fator. GA4 ainda pode coletar dados de eventos, página URLs, dados de dispositivo/navegador, parâmetros de campanha, IDs de usuário, se configurados, sinais do Google, se ativados, eventos de comércio eletrônico e dimensões personalizadas. Alguns desses dados podem ser pessoais ou tornar-se pessoais quando combinados.

Por exemplo, um URL como /reset-password?email=name@example.com nunca deve chegar à análise. Um evento personalizado que inclua um ID de usuário, uma consulta de pesquisa sobre uma condição médica ou uma entrada de formulário de texto livre pode criar registros analíticos confidenciais, mesmo que a própria ferramenta tenha controles de privacidade.

Consentimento e cookies

GA4 normalmente usa cookies e identificadores primários para medir sessões e usuários. Em muitos contextos europeus, os cookies analíticos não essenciais requerem consentimento, a menos que se aplique uma isenção restrita de medição de audiência. Essa isenção depende da legislação e da configuração local e não deve ser assumida para análises completas vinculadas a publicidade ou serviços entre sites.

Se o GA for acionado antes do consentimento, você poderá ter um problema de conformidade de cookies independente das questões de transferência GDPR. Se o GA for acionado somente após o consentimento, seus dados poderão ser direcionados às pessoas que aceitam o rastreamento. Essa é uma das razões pelas quais a análise sem cookies pode produzir relatórios operacionais mais estáveis.

Integrações de publicidade aumentam o risco

O GA se torna mais sensível à privacidade quando conectado a Google Ads, remarketing, públicos ou sinais que oferecem suporte à personalização de publicidade. Uma configuração apenas de relatórios e uma configuração de ativação de publicidade são perfis de risco diferentes.

Se você usa o GA apenas para entender páginas e conversões, desative os recursos desnecessários. Se você usa o GA para remarketing, seja explícito nos avisos e nas opções de consentimento. Não enterre os propósitos publicitários na linguagem analítica genérica.

Preocupações com a transferência EU-US

Após Schrems II, as autoridades europeias examinaram Google Analytics porque os dados transferidos para o US poderiam estar sujeitos às leis de acesso US. A orientação de CNIL sobre medição de audiência e transferências discute como as ferramentas de análise podem se tornar compatíveis e como a Estrutura de privacidade de dados EU-US alterou as transferências para entidades US certificadas (orientação CNIL).

A Estrutura de Privacidade de Dados de 2023 reabriu um caminho de adequação para organizações certificadas, mas os controladores ainda precisam verificar o mecanismo, o escopo e o fluxo de dados. Um aviso de privacidade que diz “usamos Google Analytics” não é uma avaliação de transferência.

Retenção e acesso

As configurações de retenção Google Analytics afetam por quanto tempo os dados de nível de usuário e de evento são retidos para determinados relatórios. As equipes devem definir a retenção deliberadamente, exportar apenas o que precisam e evitar manter dados brutos indefinidamente em BigQuery ou em data warehouses sem finalidade.

O controle de acesso também é importante. O Analytics geralmente contém dados comercialmente sensíveis e potencialmente pessoais. Limite quem pode visualizar, exportar e conectar dados do GA a outros sistemas.

Uma lista de verificação de implementação mais segura

Se você mantiver GA4, no mínimo:

• desativar recursos de publicidade, a menos que seja ativamente necessário e consentido;
• evite IDs de usuário, a menos que haja um motivo forte;
• bloquear análises até consentimento, quando necessário;
• auditar todos os eventos e parâmetros personalizados;
• retirar dados pessoais do URLs antes que a análise os receba;
• configurar a retenção intencionalmente;
• revisar mecanismos de transferência e documentação do fornecedor;
• documentar por que o GA4 é necessário em comparação com opções menos invasivas;
• testar caminhos de rejeição no navegador;
• compare conversões analíticas com registros de back-end.

Quando a troca é mais limpa

Se sua organização precisar de atribuição avançada, públicos de anúncios e integração Google Ads, GA4 ainda poderá fazer parte da pilha. Se você precisar de análises básicas de sites, elas podem ser excessivas.

A análise que prioriza a privacidade é atraente porque restringe o problema. Nenhum cookie, nenhum perfil pessoal, nenhum enriquecimento de rede de anúncios, retenção mínima e relatórios agregados podem responder à maioria das questões de desempenho do site com menos riscos legais e de reputação.

Boas análises devem ajudar a melhorar o site. Não deve exigir que os visitantes se tornem parte de um sistema de rastreamento entre serviços apenas para que você possa ver qual postagem do blog foi convertida.

Decida o que você realmente precisa da análise

Um exercício interno útil é listar todos os relatórios analíticos recorrentes e a decisão que eles suportam. Se um relatório não tiver proprietário ou decisão, retire-o. Se uma decisão puder ser tomada com dados agregados, não colete dados em nível de usuário para ela. Se uma métrica for necessária apenas para otimização de publicidade, mantenha-a atrás do consentimento de publicidade, em vez de misturá-la com análises gerais do site.

Este exercício muitas vezes revela que uma empresa usa Google Analytics por hábito, não por necessidade. A equipe pode precisar de relatórios de campanha confiáveis, metas de conversão, desempenho da página de destino e abandono do funil. Essas necessidades podem ser atendidas com uma pegada de dados menor e que prioriza a privacidade.

As preocupações com a privacidade tornam-se mais fáceis de gerir quando o plano de medição é menor. Reduzir o escopo não é um downgrade se remover dados sobre os quais ninguém atua.

Auditoria de configuração GA4

Não analise Google Analytics como uma ferramenta de sim ou não. Medição aprimorada de inventário, Google Signals, personalização de anúncios, User-ID, exportação de BigQuery, Consent Mode, medição de vários domínios, links de produtos e configurações específicas da região.

Para cada configuração, nomeie a decisão de negócios que ela suporta e os controles de consentimento, transferência, retenção e acesso relacionados a ela. Se uma configuração existir apenas porque foi habilitada por padrão, desative-a e mantenha o plano de medição menor.