Voltar ao blog
5 min de leituraprivacytrackingarchitecturecompliance

Privacy Sandbox acabou: o que isso significa para o seu stack de analytics

O Google encerrou Topics, Attribution Reporting e Protected Audience em outubro de 2025. Veja o que o encerramento significa tecnicamente e por que analytics de primeira parte sempre foi a escolha certa.

Em 17 de outubro de 2025, o Google encerrou oficialmente o núcleo de sua iniciativa Privacy Sandbox. Topics, Attribution Reporting, Protected Audience e outras sete APIs estão sendo removidas do Chrome e do Android após seis anos de desenvolvimento, pressão regulatória e resistência da indústria. O projeto que deveria substituir os cookies de terceiros sem perder capacidade de mensuração terminou sem alcançar nenhum dos dois objetivos.

Para desenvolvedores que construíram sua arquitetura em torno dessas APIs, as consequências são imediatas. Para quem construiu sobre sinais de primeira parte, isso confirma o que a arquitetura já implicava.

O que exatamente foi encerrado

As APIs retiradas cobrem os dois problemas principais que o Privacy Sandbox tentava resolver: segmentação por interesse e atribuição de conversões.

Topics API substituía o perfilamento comportamental atribuindo aos usuários categorias de interesse amplas derivadas do histórico de navegação — tudo processado no próprio dispositivo. Os anunciantes podiam solicitar essas categorias sem nunca ver os dados de navegação brutos. Na prática, a adoção foi tão baixa que o Google a citou como razão principal do encerramento. O grupo de trabalho de Tecnologia Publicitária Privada do W3C herdou o problema e trabalha em padrões sucessores sem prazo definido.

Attribution Reporting API era o substituto para pixels de conversão que dependiam de cookies entre sites. Permitia que o navegador correlacionasse de forma privada uma impressão publicitária a uma conversão sem expor a identidade do usuário a nenhuma das partes. A API era sofisticada — usava ruído de privacidade diferencial para impedir a reconstrução individual — mas os editores consideraram o impacto na receita inaceitável. O relatório de junho de 2025 da Autoridade de Concorrência e Mercados do Reino Unido (CMA) constatou que a receita dos editores era aproximadamente 30% menor ao usar ferramentas do Sandbox em vez de cookies padrão.

Protected Audience (anteriormente FLEDGE) habilitava leilões de remarketing no dispositivo. Private Aggregation e Shared Storage habilitavam relatórios agregados entre sites. Todos serão removidos.

O que permanece é uma lista mais curta de tecnologias mantidas: CHIPS (Cookies Having Independent Partitioned State), que particiona cookies por site de nível superior; FedCM, que simplifica a federação de identidades sem rastreamento entre sites; e Private State Tokens, que ajudam a sinalizar fraudes sem expor identidade. São recursos de infraestrutura, não de mensuração. Não resolvem o problema de analytics.

Por que o encerramento importa para analytics

O fracasso do Sandbox deixa o analytics sem um substituto nativo do navegador para rastreamento entre sites. Desenvolvedores que construíram arquitetura de mensuração baseada em Attribution Reporting precisam reconstruí-la. Mas a consequência mais significativa é estrutural: o navegador não tenta mais resolver a mensuração entre sites por você.

Safari e Firefox nunca participaram da abordagem do Sandbox. O Intelligent Tracking Prevention da Apple bloqueia cookies de terceiros por padrão desde 2020. O Firefox seguiu o mesmo caminho. O Chrome manteve os cookies de terceiros ativos em 2024 precisamente porque as alternativas do Sandbox não conseguiam igualar seu valor de mensuração — e agora essas alternativas também desaparecem.

O resultado líquido é que o rastreamento de usuários entre sites, com ou sem cookies, não tem um futuro confiável no navegador. O caminho de aplicação que matou o Sandbox — pressão regulatória da CMA, da UE e do caso antitruste do DOJ americano — não desapareceu. Qualquer novo esquema de identificação entre sites enfrenta o mesmo escrutínio regulatório.

A arquitetura de dados próprios que permanece

Sem identificadores entre sites, a mensuração se divide claramente em duas categorias.

A atribuição entre sites — conectar uma impressão publicitária em um domínio a uma compra em outro — não tem solução de navegador que preserve a privacidade. A correlação de eventos no lado do servidor, modelagem de mix de mídia e testes de incrementalidade são as ferramentas disponíveis. Exigem infraestrutura significativa e sofisticação estatística. Para a maioria dos produtos construídos por desenvolvedores, não são a abordagem adequada.

Analytics de primeira parte do site — entender o tráfego do seu próprio site sem conectá-lo a identificadores externos — nunca foi o problema que o Privacy Sandbox estava resolvendo. Já era solucionável sem cookies entre sites, e o encerramento do Sandbox não muda nada no seu funcionamento.

Uma arquitetura de analytics de primeira parte mínima processa uma requisição no edge, deriva sinais agregados da própria requisição e não armazena nada que exija um identificador persistente entre dispositivos. O país vem de request.cf.country. O tipo de dispositivo vem de uma análise básica do User-Agent. A família de navegador vem do mesmo cabeçalho da requisição. O domínio de referência — não a URL completa — vem do cabeçalho Referer. A deduplicação de visitantes dentro de um dia usa um hash no lado do servidor:

visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)

O IP e o User-Agent nunca são armazenados. O hash é reiniciado diariamente. Não há identificador entre sessões, nem entre sites, e nada que as proteções de rastreamento do navegador possam bloquear. Essa arquitetura não foi projetada como uma solução alternativa ao fracasso do Sandbox — é anterior a ele e vai sobreviver ao que vier a seguir.

Como é o cronograma de remoção

O Chrome 144 é o marco de depreciação para o Topics; o Chrome 150 é a remoção planejada. Attribution Reporting e Protected Audience seguem cronogramas similares em etapas. Se você executa chamadas a alguma API do Sandbox em produção, faça uma auditoria agora — as APIs começarão a retornar erros ou respostas vazias antes que a remoção seja concluída.

Para sites sem dependência dessas APIs, não há nada a migrar. Essa é a vantagem operacional concreta de construir sobre sinais de primeira parte: mudanças na política do navegador não exigem nenhuma resposta.

A lição de seis anos de padronização fracassada

O projeto Sandbox tentou resolver um problema tecnicamente real — atribuição entre sites que preserve a privacidade — e falhou por uma combinação de razões: o impacto na receita foi grande demais, a complexidade da API foi alta demais para adoção ampla, e reguladores no Reino Unido e na UE questionaram se o Google poderia projetar um sistema que melhorasse a privacidade do usuário sem fortalecer sua própria posição competitiva.

A lição não é que mensuração que preserve a privacidade seja impossível. É que a mensuração entre sites com garantias sólidas de privacidade requer um nível de coordenação da indústria e confiança regulatória que não se materializou no contexto do navegador. Desenvolvedores que precisam entender o tráfego do seu site não precisam dessa coordenação. Precisam de um modelo de dados que seja preciso sobre o que coleta e honesto sobre o que não coleta.

Analytics de primeira parte, com escopo de sessão e sem persistência, não é um buraco no formato do Privacy Sandbox esperando para ser preenchido pela próxima iniciativa do navegador. É uma resposta completa à pergunta que a maioria dos desenvolvedores realmente está fazendo.