Por que analytics sem cookies não precisam de banner de consentimento
A maioria das ferramentas de analytics exige um popup de consentimento de cookies porque armazena dados pessoais. Veja por que analytics com foco em privacidade dispensa tudo isso.
Se você já instalou o Google Analytics em um site, sabe bem o que é lidar com o banner de consentimento de cookies. Tornou-se uma das partes mais irritantes da web moderna — um popup que interrompe a experiência do usuário antes mesmo de ele ler uma única linha do seu conteúdo.
A boa notícia: o banner não é exigido por lei. Ele é necessário quando sua ferramenta de analytics usa cookies ou fingerprinting para rastrear usuários entre sessões. Mude a ferramenta e o popup desaparece.
O que a lei realmente diz
A Diretiva ePrivacy da UE (e, por extensão, a LGPD no Brasil) exige consentimento antes de armazenar ou acessar informações no dispositivo do usuário. Cookies, localStorage e fingerprinting se enquadram nessa categoria. Mas não há exigência de consentimento se você simplesmente não fizer nada disso.
O que você pode fazer sem consentimento é coletar e processar dados não pessoais. URLs de páginas, domínios de referência, larguras de tela e geolocalização em nível de país (derivada do IP e descartada imediatamente) são consideradas informações agregadas e não identificáveis quando tratadas corretamente.
Como o Monoid evita o problema por completo
O Monoid não define cookies. Não usa localStorage ou sessionStorage. Não faz fingerprinting de dispositivos. Em vez disso, computa um hash diário unidirecional do visitante a partir do endereço IP, user agent, um segredo do servidor e a data atual:
visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)
O hash muda todos os dias. Não pode ser revertido para encontrar o IP ou user agent original. E nunca é enviado ou armazenado no dispositivo do visitante. O Monoid deriva família ampla de navegador e tipo de dispositivo a partir do User-Agent da requisição para analytics agregados, mas nunca armazena User-Agent completo, versões de navegador, cookies, identificadores persistentes ou fingerprints de dispositivo. Isso significa que nenhum consentimento é necessário sob as regras de ePrivacy.
O que você abre mão (quase nada)
Sem rastreamento persistente entre sessões, você não consegue construir uma jornada do usuário que abranja múltiplos dias. Mas para a grande maioria dos casos de uso de editores e desenvolvedores — entender quais páginas atraem tráfego, de onde vêm os visitantes, quais dispositivos usam — dados agregados por sessão e diários são mais do que suficientes.
O popup de consentimento custa muito mais em taxa de rejeição do que você ganha com dados de jornada entre sessões. Removê-lo é uma troca direta e vantajosa.
O resultado prático
Sites que usam o Monoid não precisam de uma plataforma de gerenciamento de consentimento de cookies. Não precisam manter uma tabela de política de cookies. Não precisam se preocupar com variações regionais na legislação de consentimento. Você adiciona uma única tag de script e pronto — legal e tecnicamente.
Se seu objetivo é entender seu tráfego sem criar uma sobrecarga de conformidade, analytics sem cookies não é um compromisso. É a escolha de engenharia superior.