Voltar ao blog
5 min de leituraLaw & Regulationprivacygdprcompliancetracking

Consent Mode v2 e o Fim do Google Signals em Junho de 2026

Em 15 de junho de 2026, o ad_storage passa a ser o único controle sobre dados de publicidade no ecossistema do Google. Veja o que o fim do Google Signals muda para desenvolvedores — e por que toda essa engrenagem é algo que a analytics sem cookies nunca precisou construir.

Izac CavalheiroFounder

Em 15 de junho de 2026, o Google remove o Google Signals como controle independente sobre dados de publicidade. A partir dessa data, o sinal de consentimento ad_storage que sua Plataforma de Gestão de Consentimento (CMP) envia se torna o único portão que decide se dados em nível de visitante chegam ao Google Ads. Se sua CMP estiver mal configurada, não existe mais uma configuração do lado do servidor no Analytics para corrigir o erro.

É uma mudança discreta, mas significativa. Ela transfere todo o peso da correção do consentimento para uma camada JavaScript que roda no navegador do visitante, antes de qualquer coleta de dados. Vale entender exatamente o que essa camada faz, porque é precisamente a complexidade que um projeto sem cookies nunca incorre.

O que o Consent Mode v2 realmente é

O Consent Mode v2 é o framework do Google para informar às suas tags se elas estão autorizadas a usar armazenamento. Não é um banner de consentimento — é a fiação entre o seu banner e as tags do Google. Sua CMP define quatro sinais:

gtag('consent', 'default', {
  ad_storage: 'denied',
  analytics_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
});
  • ad_storage controla cookies de publicidade, identificadores de dispositivo e dados em nível de visitante enviados ao Google Ads.
  • analytics_storage governa o cookie do Analytics que atribui um client ID.
  • ad_user_data permite gerar hash de dados primários como e-mail para Enhanced Conversions.
  • ad_personalization decide se os dados do Analytics alimentam segmentação personalizada de anúncios.

Quando o visitante aceita, sua CMP dispara uma segunda chamada atualizando os sinais relevantes para granted. Tudo que vem depois depende dessa atualização chegar corretamente.

Basic vs. advanced, e por que o advanced existe

Há dois modos de implementação, e a diferença importa juridicamente.

No modo basic, as tags do Google não carregam de forma alguma até que o consentimento seja concedido. Negue, e nada é enviado.

No modo advanced, as tags carregam imediatamente com todos os sinais em denied por padrão, e mesmo assim enviam cookieless pings ao Google — uma requisição sem identificadores, sem client ID e sem estado armazenado. O Google usa o volume desses pings, mais o comportamento da minoria que consente, para modelar as conversões que não consegue observar diretamente.

O modo advanced existe porque as taxas de consentimento são baixas e os anunciantes querem seus números de volta. Mas um cookieless ping enviado antes do consentimento ainda é uma transmissão de dados a terceiros, e a leitura tecnologicamente neutra do Artigo 5(3) da ePrivacy pelo EDPB não isenta requisições só porque elas omitem um cookie. Conversões modeladas também exigem um conjunto mínimo de sessões com consentimento para produzir algo confiável, então sites pequenos recebem ruído.

O que o fim em 15 de junho remove

Até agora, o Google Signals funcionava como um segundo portão. Você podia deixá-lo desligado no Analytics para restringir o compartilhamento de dados de anúncios, independentemente do que o Consent Mode reportasse. Esse backstop acabou.

Após o desligamento:

  • O Google Ads para de ler configurações do lado do Analytics e passa a depender exclusivamente dos sinais do Consent Mode que sua CMP envia.
  • O Google Signals fica restrito a uso apenas no Analytics — associar sessões a usuários logados dentro do GA4.
  • Endereços IP continuam sendo coletados e são criptografados antes de serem encaminhados às contas de Ads vinculadas, onde as configurações da conta de destino assumem.

O efeito prático: uma única chamada gtag('consent', 'update', ...) que falha — uma condição de corrida, uma CMP que carrega depois da primeira tag, um deploy que derruba o estado padrão — agora envia silenciosamente dados que você pretendia bloquear. Sob o GDPR isso é tratamento sem base legal, e a remoção da rede de segurança do lado do servidor torna mais difícil argumentar que a exposição foi contida.

Isso também é, segundo orientações recentes, uma mudança material na forma como os dados de publicidade são compartilhados. Para sites com visitantes da UE, isso pode acionar uma obrigação de notificação aos usuários — uma revisão que vale fazer antes do prazo, não depois.

A complexidade que nunca precisou existir

Dê um passo atrás e olhe o que uma configuração compatível do Consent Mode v2 exige: uma CMP, quatro sinais de consentimento, estados padrão, chamadas de atualização ordenadas corretamente em relação ao carregamento das tags, uma decisão entre advanced e basic com consequências jurídicas, conversões modeladas que só funcionam acima de um limiar de tráfego e, agora, um único ponto de falha sem backstop.

Toda essa engrenagem existe para continuar usando identificadores — o client ID, o cookie de publicidade, o e-mail com hash — enquanto se mantém do lado certo da lei de consentimento. Remova os identificadores e todo o aparato colapsa em nada.

Um tracker sem cookies não tem ad_storage para bloquear porque não define nenhum armazenamento de publicidade. Não tem client ID para negar porque a identidade é um hash unidirecional SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) calculado em memória na edge e nunca revertido. O IP bruto e o User-Agent são usados apenas para calcular esse hash; o D1 armazena o hash, não as entradas. Não há sinal de consentimento para falhar porque não há nada a consentir sob o Artigo 5(3) — o acesso ao dispositivo do visitante é estritamente necessário para entregar a página, e o script de menos de 2 KB que envia para /collect não lê armazenamento algum.

O fim em 15 de junho é um bom momento para fazer uma pergunta mais afiada do que "meu Consent Mode está configurado corretamente". Pergunte por que você está rodando uma máquina de estados de consentimento para medir pageviews em primeiro lugar. As conversões que o Google modela a partir de cookieless pings são uma estimativa de dados que você nunca teve permissão para coletar. Contar o que de fato aconteceu, sem um identificador, sempre foi o sistema mais simples.

Fontes

Related posts

4 min de leituraLaw & Regulation

O Digital Omnibus quer dispensar de consentimento a análise first-party

O Digital Omnibus da UE, de novembro de 2025, propõe dispensar de consentimento a medição de audiência first-party e de uso interno. É o modelo que a análise sem cookies já executa.

Ler mais
5 min de leituraLaw & Regulation

A Lei dos Cookies Não É Mais Sobre Cookies: O Que o Artigo 5(3) Cobre Agora

As Diretrizes 2/2023 do EDPB estenderam as regras de consentimento da ePrivacy a pixels, rastreamento por URL e identificação apenas por IP. As decisões recentes da CNIL e do Garante confirmam a leitura neutra em relação à tecnologia. Veja o que muda para desenvolvedores.

Ler mais
5 min de leituraLaw & Regulation

Quando um Hash É Dado Pessoal? A Decisão SRB do TJUE e a Identidade em Analytics

O acórdão EDPS v SRB do TJUE transformou a identificabilidade em um teste relativo e contextual. Veja o que isso significa para analytics baseado em hash — e por que um hash com salt que rotaciona diariamente sobrevive tanto à leitura do tribunal quanto à leitura mais rígida do EDPB.

Ler mais

Comments

Loading comments…