O Digital Omnibus quer dispensar de consentimento a análise first-party

Em 19 de novembro de 2025, a Comissão Europeia publicou o Digital Omnibus, uma proposta que reescreve onde ficam as regras de consentimento para cookies e rastreamento. O ponto importante para quem desenvolve está enterrado em um artigo do rascunho: a medição de audiência first-party, agregada e de uso interno deixaria de exigir qualquer consentimento.

Essa exceção não descreve uma ferramenta futura. Descreve o modelo de dados que a análise sem cookies já roda há todo esse tempo.

O que a proposta de fato move

Hoje, o dever de pedir autorização antes de ler ou gravar no dispositivo do usuário vem do Artigo 5(3) da Diretiva ePrivacy — a raiz jurídica do banner de cookies. O Digital Omnibus tira essa regra da ePrivacy e a transfere para o RGPD por meio de um novo Artigo 88a.

O efeito prático é um regime único. Onde há tratamento de dados pessoais, o consentimento da ePrivacy deixa de se aplicar e apenas o RGPD passa a reger. A Comissão apresenta isso como simplificação de um conjunto de regras sobreposto, baseada em mais de um ano de retorno das partes interessadas sobre a fadiga de banners.

Trata-se de uma proposta da Comissão, não de lei. Ela entrou no procedimento legislativo ordinário no dia em que foi publicada e segue agora para o Parlamento Europeu e o Conselho, onde o texto pode mudar de forma substancial antes de vincular qualquer pessoa.

A exceção da medição de audiência

O Artigo 88a mantém o consentimento como padrão para o acesso ao dispositivo e, em seguida, lista exceções restritas. Ao lado da transmissão estritamente necessária e da segurança, ele acrescenta uma que importa para a análise: armazenar ou acessar informação para gerar dados agregados de medição de audiência, desde que o provedor o faça unicamente para seu próprio serviço online e seu próprio uso interno.

As análises jurídicas convergem nas condições que essa exceção carrega:

• Somente first-party. O operador do site controla os dados; o provedor de análise atua como operador e nunca os usa para fins próprios.
• Sem compartilhamento com terceiros. Nada flui para anunciantes, plataformas de anúncios ou redes de medição entre sites.
• Apenas estatísticas. A finalidade é estatística da web e otimização do site — não ativação de marketing, nem perfilamento.
• Opt-out fácil. O usuário pode recusar a medição, de forma explicada com clareza na política de privacidade.
• Retenção curta. Os dados são mantidos só pelo tempo de que as estatísticas precisam.

O enquadramento é deliberadamente apertado. Comentaristas que leram o rascunho observam que ele parece excluir qualquer ferramenta que meça através de múltiplos serviços, clientes ou plataformas — o que abrange a maior parte da medição de ad-tech. A exceção premia uma arquitetura específica, não uma categoria de fornecedor.

Por que isso coincide com a análise sem cookies

Compare essa lista com a forma como um rastreador privacy-first é construído e a sobreposição é quase total. Não há identificador para compartilhar, porque a identidade do visitante é um hash diário de mão única — SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) — que não pode ser revertido e desaparece todas as noites.

visitor_hash = SHA-256( IP | UA | SALT_SECRET | "2026-06-08" )

O IP bruto e o User-Agent são usados apenas em memória para calcular esse hash; o banco de dados armazena o hash, nunca os valores brutos. Não há grafo entre sites porque não há nada a cruzar amanhã. A retenção é limitada — pageviews com mais de dois anos são expurgados — e os dados são agregados por construção: contagens, durações, tipo de dispositivo grosseiro, país obtido na edge.

O beacon /collect carrega tempo e metadados de página, não uma pessoa. É exatamente a "medição de audiência agregada, de uso interno" que o rascunho destaca.

O Artigo 88b e o fim dos banners por site

A disposição complementar, o Artigo 88b, ataca a fadiga de consentimento pelo outro lado. Ele exige que recusa e oposição possam ser expressas por sinais automatizados e legíveis por máquina, com fornecedores de navegadores e sistemas operacionais (exceto pequenas empresas) obrigados a suportar a infraestrutura.

É a mesma direção que o Global Privacy Control já empurrou na lei estadual dos EUA: mover a decisão de mil banners para um único ajuste no dispositivo que o site precisa honrar. Uma ferramenta que não grava cookies e não constrói perfil tem pouco a honrar aqui — não há armazenamento a controlar nem registro de consentimento a manter.

O que fazer antes de entrar em vigor

Nada no Digital Omnibus é exigível ainda, e o cronograma se estende por períodos de aplicação escalonados após qualquer texto final. Mas a direção está dada, e ela favorece um único desenho: coletar estatísticas agregadas first-party, não compartilhar nada, não identificar ninguém e reter por pouco tempo.

Se sua análise já atende a esse patamar, a reforma é vento a favor — a lei se movendo em direção à arquitetura, em vez de a arquitetura correndo atrás da lei. Se não atende, o caminho mais barato para a conformidade não é um banner melhor. É coletar menos.

Fontes

• Proposta de Regulamento Digital Omnibus (Comissão Europeia)
• The Digital Omnibus: cookies, consent and digital advertising (Taylor Wessing)
• EU Digital Omnibus: The European Commission Proposes Important Changes to the EU's Digital Rulebook (Sidley Austin)
• First-party analytics without consent: Your Digital Omnibus compliance guide (Piwik PRO)
• Digital Omnibus reshapes EU cookie rules but leaves banner fatigue largely intact (Osborne Clarke)