Voltar ao blog
5 min de leituraprivacygdprcompliancetracking

A Lei dos Cookies Não É Mais Sobre Cookies: O Que o Artigo 5(3) Cobre Agora

As Diretrizes 2/2023 do EDPB estenderam as regras de consentimento da ePrivacy a pixels, rastreamento por URL e identificação apenas por IP. As decisões recentes da CNIL e do Garante confirmam a leitura neutra em relação à tecnologia. Veja o que muda para desenvolvedores.

A expressão "lei dos cookies" sempre foi um nome equivocado. O Artigo 5(3) da Diretiva ePrivacy nunca usou a palavra cookie — ele fala de "armazenar informações, ou obter acesso a informações já armazenadas, no equipamento terminal de um assinante ou usuário". Por duas décadas, os reguladores aplicaram esse texto principalmente a cookies porque cookies eram o mecanismo dominante de armazenamento. Esse período acabou.

Em outubro de 2024 o Comitê Europeu de Proteção de Dados finalizou as Diretrizes 2/2023 sobre o escopo técnico do Artigo 5(3). As diretrizes são neutras em relação à tecnologia e cobrem explicitamente pixels de rastreamento, rastreamento baseado em URL, rastreamento apenas por IP e identificadores únicos. Em abril de 2026 a CNIL francesa e o Garante italiano traduziram esse arcabouço em orientação nacional vinculante sobre rastreamento por pixel em e-mails. A direção é inequívoca: se uma técnica permite que um servidor leia sinais identificadores do dispositivo de um visitante, o consentimento é necessário, independentemente de algo ser escrito de volta.

O que "obter acesso" significa agora

O Artigo 5(3) se apoia em dois conceitos operacionais: armazenamento e obtenção de acesso. A maior parte do trabalho de conformidade existente trata apenas o armazenamento como o gatilho — se você não define um cookie, presume que nenhum consentimento é necessário. As diretrizes rejeitam essa leitura.

Obter acesso é satisfeito quando um servidor instrui ativamente o dispositivo a enviar valores de volta. Um pixel de rastreamento dispara uma requisição cuja query string carrega identificadores. Uma URL única embutida em uma newsletter resolve o destinatário. Um endereço IP, quando usado para seguir o mesmo dispositivo entre sessões, também é acesso — o valor se origina na pilha de rede do dispositivo e é enviado em cada requisição.

O que importa é o mecanismo, não o formato de persistência. Uma impressão digital armazenada em um banco de dados do lado do servidor é tratada de forma idêntica a um cookie armazenado no navegador.

Por que isso reescreve o mapa de ferramentas de analytics

Muitas ferramentas de analytics focadas em privacidade se promovem como sem cookies enquanto ainda dependem de padrões que as diretrizes agora cobrem:

  • Cookies do lado do servidor e identificadores particionados no estilo CHIPS. Mover o cookie para um contexto particionado ou para um armazenamento do lado do servidor de primeira parte não muda a questão do acesso. Se o mesmo identificador chega ao servidor de analytics entre visitas, ainda é acesso.
  • IDs de visitante derivados de IP. Ferramentas que aplicam hash ao IP e usam o hash como identificador estável entre dias estão acessando informações que se originam no dispositivo. O conselho do EDPB é explícito: isso exige consentimento, a menos que o controlador possa demonstrar que o IP não se originou do equipamento terminal do usuário.
  • Rastreamento por pixel de aberturas e visualizações. A Decisão nº 2026-042 da CNIL (14 de abril de 2026) e as diretrizes do Garante de 17 de abril de 2026 exigem consentimento explícito e separado para rastreamento individual de aberturas em e-mail — antes que o e-mail seja enviado.

O padrão compartilhado é um identificador estável que sobrevive entre visitas, sessões ou mensagens. Seja qual for a camada de armazenamento, ele cria a mesma exposição regulatória que um cookie.

O teste técnico para coleta em conformidade

As diretrizes deixam um corredor estreito: sinais agregados onde nenhum valor que o servidor armazena resolve de volta a um dispositivo específico ao longo do tempo. Uma requisição a um endpoint de coleta carrega valores que se enquadram em três categorias:

1. Transport-layer values (IP, User-Agent) the server cannot avoid receiving
2. Contextual values (path, referrer domain, country derived from IP)
3. Derived values the server chooses to produce and store

A categoria 1 é inevitável em TCP/HTTP. A questão é como a categoria 3 se parece. Se um valor derivado é um identificador persistente — mesmo com hash, mesmo com sal — é acesso. Se um valor derivado se reinicia dentro de uma janela limitada e não pode ser correlacionado entre janelas, a análise do EDPB o trata como agregado.

O hash diário de visitante do Monoid é projetado contra esse teste:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

O IP e o User-Agent são usados apenas em memória para computar o hash e depois descartados. A entrada da data significa que o mesmo visitante produz um hash diferente amanhã — não há identificador entre dias a ser acessado, por construção. Dentro de um único dia o hash deduplica um visitante para contagens agregadas; entre dias, não há nada que um adversário ou regulador possa reconstruir.

Os cabeçalhos que importam no endpoint de coleta

Dois cabeçalhos HTTP carregam a maior parte da superfície de privacidade em um coletor de borda de primeira parte e devem ser definidos deliberadamente.

Referrer-Policy: strict-origin-when-cross-origin é o padrão moderno do Chrome e envia apenas a origem em requisições cross-origin. Evite unsafe-url e no-referrer-when-downgrade — ambos vazam informações de caminho desnecessariamente.

Permissions-Policy deve negar explicitamente os recursos de que o tracker de analytics não precisa:

Permissions-Policy: geolocation=(), microphone=(), camera=(),
  payment=(), usb=(), interest-cohort=()

Um tracker que não pode solicitar localização, áudio ou sensores do dispositivo não pode ser coagido a fazê-lo por um script de terceiros comprometido que compartilha a página.

O que os desenvolvedores devem auditar neste trimestre

Três perguntas fazem a auditoria avançar:

  1. Algum valor que o servidor de analytics armazena permite identificar o mesmo visitante ao longo de uma janela de 25 horas? Se sim, a implantação provavelmente agora exige consentimento do Artigo 5(3).
  2. Identificadores de pixel e URL são usados em e-mail transacional ou de marketing? Sob a orientação da CNIL e do Garante, o rastreamento individual de aberturas exige consentimento separado e explícito antes do envio do e-mail.
  3. O endpoint de coleta define um Referrer-Policy estrito e um Permissions-Policy que nega por padrão?

A pergunta do "banner de cookies" é subordinada a uma mais básica: o modelo de dados produz algum identificador entre sessões? Quando a resposta é não, toda a maquinaria do Artigo 5(3) — consentimento, retirada, registros de tratamento — não se engaja, porque o gatilho técnico da regulação nunca foi acionado.