O Alvo de Fiscalização do EDPB em 2026 É o Seu Aviso de Privacidade

Por dois anos a pergunta cara do GDPR foi migrando. Primeiro os reguladores auditavam se você tinha uma base legal, depois se você apagava os dados no prazo. Em 19 de março de 2026 o European Data Protection Board apontou a próxima varredura para um terceiro alvo: se o seu aviso de privacidade é honesto sobre o que você coleta.

O que a ação coordenada de 2026 audita

O Coordinated Enforcement Framework (CEF) do EDPB conduz todos os anos um único tema compartilhado por todo o bloco. A ação de 2025 examinou o direito ao apagamento. A ação de 2026 — a quinta — examina as obrigações de transparência e informação sob os Artigos 12, 13 e 14 do GDPR.

Vinte e cinco autoridades de proteção de dados estão participando. O anúncio é direto quanto ao método: as DPAs participantes "em breve entrarão em contato com controladores de diferentes setores em toda a Europa, seja por meio de ações de fiscalização ou de exercícios de apuração de fatos". As conclusões serão reunidas em um relatório consolidado do EDPB no segundo semestre de 2026, com "desdobramentos direcionados tanto em nível nacional quanto da UE".

Isto não é orientação. É um pedido coordenado de provas de que o documento no seu site corresponde aos dados no seu banco de dados.

O que o Artigo 13 realmente exige que você divulgue

O direito de ser informado não é satisfeito por um parágrafo dizendo "valorizamos a sua privacidade". O Artigo 13 — que se aplica quando você coleta dados diretamente do visitante — enumera o que um aviso deve declarar no momento da coleta:

• A identidade e os dados de contato do controlador.
• As finalidades do tratamento e a base legal de cada uma.
• Os destinatários ou categorias de destinatários dos dados.
• Qualquer transferência para um país terceiro e as salvaguardas para ela.
• O período de retenção, ou os critérios usados para defini-lo.
• Os direitos do titular dos dados: acesso, retificação, apagamento, restrição, oposição, portabilidade.
• A existência de decisão automatizada, incluindo profiling, com informação significativa sobre a lógica envolvida.

Cada cláusula corresponde a um fato sobre a sua stack. Um aviso é preciso somente se cada divulgação for verdadeira. É exatamente isso que um exercício de apuração de fatos verifica — não se o aviso existe, mas se ele descreve a realidade.

Por que a analytics de vigilância torna o aviso frágil

Passe uma integração típica de analytics por essa lista e as divulgações se multiplicam. Uma tag comportamental com identificadores cross-site significa que você tem destinatários a nomear — o fornecedor, seus parceiros de anúncios, sua rede de medição. Geralmente significa uma transferência para país terceiro a declarar e salvaguardar. Um identificador estável que segue um visitante por meses é profiling, o que aciona a cláusula de decisão automatizada. O período de retenção é o que for o padrão do fornecedor, que você agora precisa conhecer e declarar corretamente.

Cada um desses é uma frase que pode estar errada. O aviso fica defasado no instante em que o fornecedor adiciona um subprocessador, muda de região ou estende a retenção — e você raramente fica sabendo. Sob uma auditoria de transparência, um aviso que subestima destinatários ou retenção não é um erro de digitação. É a violação que o CEF foi construído para revelar.

Um aviso curto é o defensável

A forma mais barata de passar em uma auditoria de transparência é ter pouco a divulgar. Isso é uma propriedade do modelo de dados, não de redação.

Um tracker sem cookies reduz a seção de analytics de um aviso do Artigo 13 a algumas linhas honestas. Não há destinatários terceiros porque nada é compartilhado. Não há profiling porque nenhum identificador persiste. A identidade do visitante é um hash diário de via única calculado em memória no edge:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

O IP bruto e o User-Agent são usados apenas para calcular esse digest e nunca são gravados; o D1 armazena o hash, não as entradas. Como a data é uma entrada, o hash gira a cada meia-noite, de modo que não há perfil cross-session a descrever. A retenção é um limite rígido e declarável — as visualizações de página são purgadas após 730 dias — não um padrão de fornecedor que você precisa ir consultar.

A divulgação resultante é curta porque o tratamento é pequeno. Ela diz: contamos visualizações de página agregadas, derivamos país e tipo de dispositivo aproximado no edge, não compartilhamos com ninguém, não construímos perfil e mantemos os dados por no máximo dois anos. Cada cláusula é verificável contra o schema.

A metade do Artigo 30 do mesmo exercício

A transparência para o visitante (Artigos 12–14) tem uma irmã interna: os registros de atividades de tratamento do Artigo 30, o documento que uma autoridade pede primeiro. Ele deve listar finalidades, destinatários, transferências e retenção — os mesmos fatos do aviso público, do lado do controlador.

Quando os dois divergem, a lacuna é a constatação. Uma stack que não armazena nenhum identificador pessoal e nada compartilha mantém ambos os documentos alinhados, porque quase não há nada a registrar de lado nenhum.

Um aviso de privacidade é uma promessa sobre o seu modelo de dados. A varredura de 2026 verifica se a promessa é verdadeira. A promessa menos arriscada é aquela que você consegue cumprir sem pensar — porque você nunca coletou aquilo que de outra forma teria que explicar.

Fontes

• O EDPB lança a Ação Coordenada de Fiscalização para 2026 sobre obrigações de transparência e informação
• Coordinated Enforcement Framework: o EDPB seleciona o tema para 2026
• GDPR Artigo 13 — Informação a fornecer quando os dados pessoais são coletados do titular dos dados
• GDPR Artigo 30 — Registros das atividades de tratamento
• ICO — Direito de ser informado