O custo oculto dos banners de consentimento
Os banners de consentimento não são apenas um problema de UX. São um problema de dados. Nos mercados europeus com plataformas de gestão de consentimento ativas, entre 30 e 50 % dos visitantes recusam ou ignoram o banner. Esse tráfego desaparece completamente da sua análise. Os dados sobre os quais toma decisões não são uma amostra representativa da sua audiência real.
Se precisa de um banner de consentimento depende completamente do que a sua ferramenta de análise faz tecnicamente, não do facto de estar a fazer análise.
O que realmente aciona o requisito de consentimento
O requisito legal de banners de consentimento na Europa provém de dois textos separados que são frequentemente confundidos:
- A Diretiva ePrivacy (2002/58/CE), Artigo 5.º(3): Requer consentimento antes de armazenar qualquer informação no dispositivo de um utilizador ou aceder a informação já armazenada. Isto abrange cookies, localStorage e qualquer forma de persistência do lado do cliente.
- O RGPD: Requer uma base legal para o tratamento de dados pessoais, dos quais o consentimento é uma opção mas não a única.
O banner de consentimento para análise é principalmente um requisito da ePrivacy, não do RGPD. Se a sua ferramenta de análise coloca um cookie no navegador do visitante, o Artigo 5.º(3) aplica-se e o consentimento é necessário antes de esse cookie ser definido.
Se a sua ferramenta não armazena nada no dispositivo do visitante, o Artigo 5.º(3) não se aplica. O requisito do banner de consentimento desaparece na sua raiz legal.
Como a análise sem cookies evita o requisito
As ferramentas de análise sem cookies funcionam de forma diferente a nível técnico. Em vez de colocar um identificador no dispositivo do visitante e lê-lo em cada visita subsequente, processam sinais disponíveis do lado do servidor: o endereço IP, a string de user agent, o cabeçalho referrer e o caminho da página.
A partir destes sinais, a ferramenta deriva a fonte de tráfego, o tipo de dispositivo, o país e os dados de sessão sem armazenar nada no navegador do visitante. Nenhum cookie é definido. Nenhuma chave de localStorage é escrita. O Artigo 5.º(3) da Diretiva ePrivacy simplesmente não se aplica.
Isto não é uma brecha regulatória. É a consequência direta de como a lei está escrita. O requisito de consentimento está ligado ao armazenamento em equipamentos terminais, não à análise como categoria.
O RGPD ainda se aplica: eis por que não é um problema
Mesmo sem cookies, os endereços IP são dados pessoais ao abrigo do RGPD. Uma ferramenta de análise sem cookies ainda processa dados pessoais quando recebe um pedido de um navegador. A questão é qual a base legal aplicável.
Para ferramentas de análise que:
- anonimizam ou fazem hash dos endereços IP imediatamente ao recebê-los
- não criam perfis de utilizadores individuais
- não partilham dados com terceiros
- armazenam dados exclusivamente dentro da UE
- usam os dados apenas para medição de audiência agregada
O interesse legítimo (Artigo 6.º(1)(f) do RGPD) é uma base legal válida. O tratamento é proporcionado, o impacto no indivíduo é mínimo e o propósito é legítimo. O consentimento não é necessário.
Os critérios da CNIL: a orientação da UE mais detalhada disponível
A CNIL (autoridade francesa de proteção de dados) publicou critérios específicos para ferramentas de análise que podem operar sem consentimento. Para se qualificar, uma ferramenta de análise deve:
Por que o Google Analytics não cumpre estes critérios
- Cookies: O GA4 define cookies de primeira parte que persistem entre sessões:
_ga(identificador único do navegador, guardado por 2 anos),_gid(identificador de sessão, 24 horas). Isto aciona imediatamente o requisito de consentimento do Artigo 5.º(3). - Uso próprio dos dados pela Google: Os termos de serviço da Google permitem à Google usar dados de análise para melhoria dos seus próprios produtos. Os dados são partilhados com um terceiro que tem os seus próprios propósitos de tratamento.
A decisão da CNIL não disse «a análise requer consentimento». Disse «o Google Analytics requer consentimento por causa de como o Google Analytics funciona». O requisito é específico da ferramenta, não da categoria.
| Google Analytics 4 Ver comparação → |
Sublim Analytics Experimentar grátis → |
|
|---|---|---|
| Banner de consentimento necessário | Sim | Não |
| Completude dos dados | ~60 % | 100 % |
| Dados alojados na UE | Não | Sim |
| Partilha de dados com terceiros | Nenhuma |
Implicações práticas para a sua configuração de análise
Vê 100 % do seu tráfego. Não há funil de consentimento para perder visitantes. O visitante que chega, lê uma página e sai é contado. Os seus dados correspondem à sua audiência real.
O seu site não tem banner de consentimento para análise. Pode ainda precisar de um para outros fins (cookies de publicidade, pixels de marketing, embeds de terceiros). Mas se a análise é o principal motivo pelo qual mostra um banner, esse motivo desaparece.
Para uma comparação de ferramentas que se qualificam, consulte a nossa comparação de ferramentas de análise web.
O que acertar na sua política de privacidade
Operar sem banner de consentimento não significa operar sem transparência. Mesmo sob interesse legítimo, o RGPD requer informar os utilizadores sobre o tratamento de dados. A sua política de privacidade deve descrever:
- Que dados são recolhidos (caminho da página, referrer, país, tipo de dispositivo)
- A base legal (interesse legítimo para medição de audiência)
- O período de retenção
- Como os utilizadores podem fazer opt-out
