){kind=small}
)
Uma auditoria independente da empresa de tecnologia de privacidade webXray constatou que Google, Microsoft e Meta continuam instalando cookies de publicidade nos navegadores de usuários mesmo sem autorização. O TecMundo procurou as empresas, mas só obteve resposta da Microsoft até a publicação da reportagem.
Os testes, realizados na Califórnia, mostraram que mesmo após consumidores ativarem o sinal de recusa de rastreamento, grandes empresas de tecnologia continuam usando seus dados, prática que viola a Lei de Privacidade do Consumidor da Califórnia (CCPA).
Nossos vídeos em destaque
)
O sinal ignorado pelas três maiores empresas de publicidade digital
A CCPA garante ao consumidor o direito de impedir que empresas vendam ou compartilhem seus dados pessoais com terceiros. O mecanismo técnico para exercer esse direito em escala é o Global Privacy Control (GPC), um padrão endossado pelo procurador-geral da Califórnia. Quando ativado, o navegador envia o cabeçalho sec-gpc: 1 a cada requisição de rede, basicamente uma instrução jurídica para que o servidor não devolva cookies de rastreamento.
O Google foi o pior desempenho da auditoria, com taxa de falha de 86% nos sites onde sua tecnologia publicitária foi detectada. O servidor de anúncios da empresa recebe o sinal sec-gpc: 1 e responde com um comando set-cookie criando o cookie IDE, vinculado ao domínio .doubleclick.net com validade de dois anos. A webXray capturou o tráfego de rede como evidência forense e publicou o intercâmbio completo entre o navegador do usuário e os servidores do Google.
A Microsoft apresentou taxa de falha de 50%. O servidor bat.bing.com, responsável pelo pixel de conversão da plataforma Microsoft Advertising, ignora o sec-gpc: 1 e instala o cookie MUID, identificador de usuário com validade de um ano no domínio .bing.com.
)
A Meta registrou taxa de falha de 69%, com uma particularidade técnica. O pixel da empresa, instalado por publicadores em seus próprios sites, não contém nenhuma verificação do sinal GPC. O código carrega de forma incondicional e dispara um evento de rastreamento independentemente das preferências de privacidade do visitante.
Banners de cookies certificados pelo Google também falham
A auditoria também avaliou as Plataformas de Gerenciamento de Consentimento (CMPs), os banners de cookies que aparecem na maioria dos sites e supostamente permitem ao usuário exercer seus direitos de privacidade. O Google opera um programa de certificação para esses fornecedores, o que a webXray apontou como conflito de interesses direto.
Dos 11 fornecedores de CMP avaliados, todos falharam em impedir que cookies do Google fossem instalados após a ativação do GPC. As três CMPs detalhadas no relatório, identificadas apenas como A, B e C para preservar a divulgação responsável, registraram taxas de falha de 77%, 90% e 91%, respectivamente.
)
A falha não está no banner em si, mas no fato de o Google não respeitar o sinal enviado pelo navegador independentemente do que o publicador configure.
Solução técnica existe e é simples
Timothy Libert, fundador da webXray e ex-chefe de política e conformidade de cookies do Google, onde trabalhou até 2023, afirmou à 404 Media que a correção é trivial. Nos servidores de anúncios, basta retornar o código de status HTTP 451 Unavailable For Legal Reasons ao detectar Sec-GPC: 1, sem definir nenhum cookie.
No pixel da Meta, bastam duas linhas de código envolvendo o script em uma condicional que verifica navigator.globalPrivacyControl.
)
Multas já somam bilhões; empresas contestam os resultados
A CCPA prevê multas de US$ 2.500 por violação, valor que sobe para US$ 7.500 em casos de conduta intencional. Com base na média de seis ações de fiscalização públicas que citaram explicitamente o descumprimento do GPC, a webXray calculou uma exposição agregada potencial de US$ 5,8 bilhões para os 4.170 sites identificados como não conformes. A média inclui os US$ 2,75 milhões pagos pela Disney em 2026, maior acordo já registrado sob a lei,
Google, Microsoft e Meta, ao 404 Media, contestaram os achados. O Google disse que o relatório se baseia em "um mal-entendido fundamental sobre o funcionamento de seus produtos" e que respeita as opções de recusa conforme exigido por lei.
A Meta classificou a pesquisa como "estratégia de marketing que distorce o funcionamento do GPC", argumentando que o sinal restringe apenas certos usos de dados de terceiros e que publicadores podem desconsiderá-lo. A Microsoft afirmou que certos cookies são necessários para fins operacionais e podem ser instalados mesmo quando o sinal GPC é detectado.
Ao TecMundo, a Microsoft informou que "conforme descrito em nossa Declaração de Privacidade, quando recebemos um sinal de GPC, optamos por não compartilhar os dados pessoais do usuário com terceiros para fins de publicidade personalizada, e nossos sistemas de publicidade são projetados para refletir essa escolha. Alguns cookies da Microsoft são necessários para fins operacionais e, portanto, podem ser inseridos e lidos mesmo quando um sinal de GPC é detectado."
)
Meta e TikTok já haviam sido flagrados coletando dados
Os achados da webXray não são isolados. O TecMundo já havia documentado uma pesquisa da empresa de cibersegurança Jscrambler que identificou comportamento semelhante nos pixels de rastreamento da Meta e do TikTok.
Os scripts coletam dados pessoais sensíveis, incluindo nome completo, endereço, e-mail e os últimos quatro dígitos do cartão de crédito, em sites de terceiros, mesmo quando o usuário recusa explicitamente o compartilhamento de informações. As falhas afetam mais de 12,6 milhões de servidores empresariais ativos ao redor do mundo.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
