Um guia prático de cookies de rastreamento entre sites

Este guia explica cookies de rastreamento entre sites na prática, com foco em decisões de analytics que respeitam a privacidade.

O Relatório de Privacidade do Safari torna o rastreamento entre sites visível para visitantes comuns. Se o seu site carregar rastreadores, Safari poderá mostrar que o rastreamento foi impedido. Isso é bom para os usuários, mas estranho para os proprietários de sites que não percebem quantos scripts de terceiros suas páginas acumularam.

Um Relatório de Privacidade limpo não é apenas uma métrica de vaidade. Geralmente significa menos scripts invasivos, páginas mais rápidas, conformidade mais simples e um melhor sinal de confiança.

O que Safari está bloqueando

A Prevenção de Rastreamento Inteligente do Safari foi projetada para limitar o rastreamento entre sites. O WebKit documenta o bloqueio completo de cookies de terceiros, referenciadores de terceiros rebaixados, defesas de decoração de links, um limite de sete dias para armazenamento gravável por script em determinados contextos de rastreamento e defesas contra cloaking CNAME (WebKit Tracking Prevention).

Em linguagem simples, Safari tenta impedir que as empresas reconheçam a mesma pessoa em diferentes sites usando cookies, armazenamento, redirecionamentos, links decorados ou solicitações disfarçadas de terceiros.

Por que seu site pode aparecer no relatório de privacidade

Um site pode acionar avisos de rastreador porque carrega scripts ou recursos de domínios que Safari classifica como rastreadores. As causas comuns incluem:

• Google Analytics ou Google Tag Manager
• Meta Pixel
• Scripts de publicidade e retargeting
• Widgets de compartilhamento social
• Vídeos incorporados com scripts de rastreamento
• Ferramentas de automação de marketing
• Ferramentas de repetição de sessão e mapa de calor
• Sistemas de comentários de terceiros
• Análises ou endpoints de anúncios com camuflagem CNAME

Você pode não pensar no seu site como um rastreamento de usuários, mas Safari avalia o comportamento e os domínios envolvidos, não sua intenção.

Análise e ITP

A análise tradicional geralmente depende de cookies ou armazenamento gravável por script para reconhecer visitantes. As proteções do Safari podem reduzir a vida útil dos cookies, bloquear o acesso de terceiros e reduzir a precisão da atribuição para campanhas entre sites.

Esse é um dos motivos pelos quais análises com muitos cookies podem mostrar contagens menores de visitantes recorrentes ou sessões fragmentadas em Safari. Uma ferramenta de análise que prioriza a privacidade, que evita rastreamento entre sites e identificadores persistentes, tem menos probabilidade de combater o navegador.

Como auditar seu site

Use Safari, ferramentas de desenvolvimento de navegador e um perfil limpo. Visite sua página inicial e as principais páginas de destino. Verifique:

• Quais domínios de terceiros são carregados
• Quais cookies são definidos antes do consentimento
• Se localStorage ou IndexedDB é usado
• Se os gerenciadores de tags injetam scripts inesperados
• Se a mídia incorporada é carregada antes da interação
• Se os parâmetros URL contêm IDs de clique em anúncios ou dados pessoais
• Se a rejeição em seu banner realmente interrompe scripts não essenciais

Repita depois de aceitar e rejeitar cookies. Um banner com aparência compatível não é suficiente se os scripts forem carregados antes da escolha.

Como limpar

Comece removendo tags não utilizadas. Muitos sites mantêm pixels antigos de campanhas anteriores, ferramentas de teste A/B abandonadas, trechos de análise duplicados e scripts de fornecedores que ninguém possui.

Em seguida, substitua o que puder:

• Use análises que priorizam a privacidade em vez de análises com muitos cookies
• Use links sociais estáticos em vez de widgets JavaScript
• Use incorporações de vídeo com privacidade aprimorada ou marcadores de posição clique para carregar
• Fontes auto-hospedadas em vez de carregar Google Fonts dos servidores do Google
• Remova pixels de retargeting que não estão produzindo valor mensurável
• Evite a repetição da sessão em páginas confidenciais
• Reduza as permissões do gerenciador de tags e publique fluxos de trabalho

Cada script removido melhora a privacidade, o desempenho e a depuração.

O consentimento ainda é importante

Safari bloquear um rastreador não torna a tentativa de rastreamento compatível. Se o seu site carregar cookies não essenciais ou tecnologias de rastreamento antes do consentimento, isso continuará sendo um problema de acordo com as regras de cookies EU. A força-tarefa de banner de cookies EDPB identificou padrões comuns de consentimento inválido, incluindo opções de rejeição ausentes e caixas pré-marcadas (relatório EDPB).

Seu objetivo não deve ser “ocultar-se de Safari”. Deveria ser "não carregue rastreamento com o qual os visitantes não concordaram".

Benefícios comerciais de um relatório de limpeza

Um site tracker-light geralmente carrega mais rápido, quebra com menos frequência e produz análises primárias mais confiáveis. Também reduz o risco do fornecedor. Se um regulador, cliente ou revisor de segurança perguntar quais scripts são executados em seu site, a resposta será mais curta e mais fácil de defender.

Para marcas focadas na privacidade, o Relatório de Privacidade do Safari é uma prova pública. Os visitantes podem ver se suas reivindicações correspondem à sua implementação.

O alvo prático

Procure zero rastreadores não essenciais no carregamento da primeira página. Se precisar de mídia incorporada, carregue-a após a interação. Se você precisar de pixels de marketing, carregue-os somente após consentimento válido. Se você precisar de análises, escolha uma abordagem que não dependa do rastreamento entre sites.

Safari não está tentando quebrar a medição honesta. Está afastando a web da vigilância invisível. Os proprietários de sites podem combater essa tendência com soluções alternativas ou usá-la como um motivo para simplificar sua pilha.

Fique atento à camuflagem CNAME

Alguns fornecedores de análise e publicidade incentivam a camuflagem CNAME, em que um serviço de terceiros é roteado por meio de um subdomínio de aparência primária, como metrics.example.com. A ideia é fazer com que a solicitação pareça mais uma solicitação primária. O WebKit documenta explicitamente as defesas contra cloaking CNAME de terceiros e limita determinados cookies definidos por meio dessas respostas (WebKit Tracking Prevention).

Trate a camuflagem CNAME com cuidado. Isso pode criar uma falsa sensação de controle primário e, ao mesmo tempo, enviar dados para um fornecedor externo. Também pode complicar o seu aviso de privacidade porque os visitantes não verão o terceiro real tão facilmente nas ferramentas do navegador.

Crie um inventário de scripts

Mantenha um inventário simples com script URL, proprietário, finalidade, categoria de consentimento, fornecedor, dados coletados e data da última revisão. Se ninguém possuir um script, remova-o. Se um script só for útil para uma campanha que terminou há meses, remova-o. Se um script for interrompido quando bloqueado por Safari, decida se a empresa realmente precisa dele ou se o recurso deve ser reconstruído com lógica primária.

O relatório Safari é um teste de pressão útil porque mostra o que os navegadores preocupados com a privacidade já assumem: o rastreamento deve ser excepcional, não a condição padrão de leitura de uma página.

Lista de verificação de limpeza Safari

Use o relatório Safari como um prompt prático de auditoria. Remova scripts desnecessários de terceiros, evite o enriquecimento do corretor, mantenha as análises agregadas sempre que possível, reduza a retenção de dados brutos, publique o uso de dados em linguagem simples e facilite as saídas.

Em seguida, verifique o site novamente em Safari, Firefox e Chrome com um perfil limpo. Se um navegador preocupado com a privacidade bloquear algo importante, reconstrua-o com lógica própria ou decida se a empresa realmente precisa desse rastreador.