Uma auditoria independente conduzida pela empresa de tecnologia de privacidade webXray revelou que algumas das maiores corporações do setor, Google, Microsoft e Meta, estariam consistentemente ignorando as escolhas de privacidade dos usuários, instalando cookies de publicidade nos navegadores mesmo na ausência de autorização expressa. A investigação, que analisou o tráfego de milhares de sites populares na Califórnia, lança luz sobre práticas que, segundo o relatório, violam a Lei de Privacidade do Consumidor da Califórnia (CCPA).
A Violação Persistente da Privacidade Digital
Os testes foram realizados em um cenário crucial: a Califórnia, estado com uma das legislações de privacidade mais robustas do mundo. A auditoria focou em como as empresas reagiam quando os consumidores ativavam o sinal de recusa de rastreamento, um mecanismo vital para a proteção de dados. Apesar dessas configurações, um volume alarmante de dados continuava sendo coletado. A pesquisa examinou o tráfego de mais de 7 mil sites e identificou 125.106 cookies publicitários instalados sem o consentimento dos usuários, desafiando diretamente suas preferências de exclusão.
A base legal para essa recusa é o Global Privacy Control (GPC), um padrão técnico endossado pelo procurador-geral da Califórnia. O GPC permite que os consumidores exerçam seu direito garantido pela CCPA de impedir que empresas vendam ou compartilhem seus dados pessoais com terceiros. Tecnologicamente, quando ativado, o navegador envia o cabeçalho 'sec-gpc: 1' em cada requisição de rede, funcionando como uma instrução jurídica clara para que o servidor não retorne cookies de rastreamento.
Desempenho Crítico das Maiores Plataformas de Publicidade
A auditoria detalhou o desempenho de cada gigante da tecnologia, revelando taxas de não conformidade preocupantes. O <b>Google</b> exibiu a pior performance, com uma taxa de falha de 86% nos sites onde sua tecnologia publicitária foi detectada. Mesmo com o recebimento do sinal 'sec-gpc: 1', o servidor de anúncios da empresa respondia com um comando 'set-cookie', criando o cookie 'IDE', vinculado ao domínio .doubleclick.net e com validade de dois anos. A webXray conseguiu capturar o tráfego de rede, fornecendo evidências forenses do intercâmbio entre o navegador do usuário e os servidores do Google.
A <b>Microsoft</b> registrou uma taxa de falha de 50%. O servidor bat.bing.com, que opera o pixel de conversão da plataforma Microsoft Advertising, também ignorou o sinal de privacidade, instalando o cookie 'MUID', um identificador de usuário com validade de um ano no domínio .bing.com.
Já a <b>Meta</b> apresentou uma taxa de falha de 69%, com uma particularidade técnica notável. O pixel da empresa, frequentemente integrado por publicadores em seus próprios sites, foi identificado como desprovido de qualquer verificação do sinal GPC. Isso significa que o código é carregado de forma incondicional, acionando um evento de rastreamento independentemente das preferências de privacidade configuradas pelo visitante.
A Ineficácia dos Banners de Consentimento Certificados
O estudo também estendeu sua análise às Plataformas de Gerenciamento de Consentimento (CMPs), os populares banners de cookies que surgem na maioria dos websites e são projetados para permitir que os usuários exerçam seus direitos de privacidade. A webXray apontou um potencial conflito de interesses ao destacar que o Google opera um programa de certificação para esses fornecedores de CMPs.
Os resultados foram desalentadores: todos os 11 fornecedores de CMP avaliados falharam em impedir a instalação de cookies do Google mesmo após a ativação do GPC. Três dessas CMPs, identificadas anonimamente para fins de divulgação responsável como A, B e C, registraram taxas de falha de 77%, 90% e 91%, respectivamente. A auditoria concluiu que a falha reside não no banner em si, mas na recusa do Google em respeitar o sinal enviado pelo navegador, independentemente da configuração do publicador.
Soluções Técnicas Simples e as Consequências Legais
Timothy Libert, fundador da webXray e ex-chefe de política e conformidade de cookies do Google até 2023, afirmou à 404 Media que a correção para essas falhas é tecnicamente trivial. Para servidores de anúncios, a solução seria retornar o código de status HTTP 451 'Unavailable For Legal Reasons' ao detectar o cabeçalho 'Sec-GPC: 1', abstendo-se de definir qualquer cookie. Para o pixel da Meta, bastariam duas linhas de código, envolvendo o script em uma condicional que verificasse 'navigator.globalPrivacyControl'.
As violações da CCPA não são sem consequências. A lei prevê multas de US$ 2.500 por infração, valor que pode subir para US$ 7.500 em casos de conduta intencional. Com base na média de seis ações de fiscalização públicas que abordaram explicitamente o descumprimento do GPC, a webXray estimou uma exposição agregada potencial de US$ 5,8 bilhões para os 4.170 sites identificados como não conformes. Este valor considera acordos passados, como os US$ 2,75 milhões pagos pela Disney em 2026, o maior já registrado sob a lei.
Reações das Empresas e o Futuro da Privacidade Online
Em resposta às acusações, Google, Microsoft e Meta contestaram as descobertas da webXray. O Google, por meio da 404 Media, declarou que o relatório se baseia em um “mal-entendido fundamental sobre o funcionamento de seus produtos” e reiterou seu compromisso em respeitar as opções de recusa exigidas por lei. A Meta classificou a pesquisa como uma “estratégia de marketing que distorce o funcionamento do GPC”, argumentando que o sinal restringe apenas certos usos de dados de terceiros e que os publicadores teriam discricionariedade para desconsiderá-lo em certos contextos.
A Microsoft, em contato com o TecMundo, informou que, conforme descrito em sua Declaração de Privacidade, opta por não compartilhar dados pessoais ao detectar um sinal de GPC. Contudo, a empresa ressaltou que certos cookies são considerados necessários para fins operacionais e, portanto, poderiam ser instalados mesmo com a detecção do GPC. Este cenário destaca uma complexa disputa sobre a interpretação e a aplicação das leis de privacidade, com as empresas de tecnologia e os defensores da privacidade divergindo sobre o escopo e a obrigatoriedade do controle de dados pessoais. O debate continua, com a auditoria da webXray adicionando um capítulo significativo à discussão sobre a conformidade das grandes plataformas digitais com as escolhas de privacidade dos usuários.
Fonte: https://www.tecmundo.com.br
