Tracking antes do consentimento: o que é e por que as autoridades o tratam como uma violação

Tracking antes do consentimento é uma categoria de constatação no nosso scanner. É acionada quando, entre o início de um carregamento limpo da página e o momento em que um utilizador toma alguma ação no banner de consentimento, o navegador envia um ou mais pedidos de rede que transportam identificadores, contêm cargas analíticas não essenciais ou definem cookies não essenciais.

Este é o defeito mais comum que detetamos. Na nossa análise de 97 000 sítios web da UE, a maioria das classificações de alto risco foi causada por tracking antes do consentimento, não por banners em falta ou botões de recusa avariados.

O que o scanner procura

O detetor observa a rede desde o momento em que o navegador emite o pedido do documento até que ocorra um de três eventos:

1. O utilizador clica num botão do banner de consentimento (aceitar, recusar, definições).
2. É escrito um cookie ou uma entrada de localStorage mensurável referente ao estado do consentimento.
3. Decorre um tempo limite (por defeito 8 segundos) sem qualquer sinal de consentimento.

Qualquer pedido disparado nessa janela é examinado quanto a três sinais:

• Impressão digital de tracker conhecida. O domínio de destino, o caminho do pedido ou o padrão da carga corresponde a uma entrada na nossa base de dados de trackers. Inclui Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, pixels de conversão da X e muitos outros.
• Carga portadora de identificador. O pedido transporta um identificador estável do cliente (cookie, hash de impressão digital ou parâmetro de consulta que persiste entre páginas).
• Escrita de cookie não essencial. A resposta define um cookie que, por classificação, não é estritamente necessário para a funcionalidade do sítio.

Qualquer um destes sinais é suficiente para acionar a constatação. Os três em conjunto são o padrão típico de um contentor do Google Tag Manager que dispara antes do gate de consentimento.

O enquadramento jurídico, em síntese

Não somos o seu advogado. Os factos nus:

• GDPR Art. 6(1)(a) exige um fundamento jurídico válido para o tratamento de dados pessoais. Para os trackers não essenciais, é o consentimento.
• GDPR Art. 7 estabelece o padrão do que constitui um consentimento válido: livremente dado, específico, informado, inequívoco e revogável.
• ePrivacy Directive Art. 5(3) exige especificamente o consentimento antes de armazenar ou aceder a informação no equipamento terminal de um utilizador — ou seja, antes de ler ou escrever cookies e identificadores semelhantes. Se um determinado pedido de rede pré-consentimento se converte numa violação depende de saber se lê ou escreve informação no dispositivo, se transporta identificadores e se pode ser justificado como "estritamente necessário" — são as questões que as autoridades reguladoras têm vindo a ponderar.

As implementações nacionais variam no detalhe. A TTDSG alemã (agora TDDDG) e a transposição francesa através da Loi Informatique et Libertés tal como aplicada pela CNIL produziram a aplicação mais visível. As DPAs em toda a UE alertaram para padrões de tracking antes do consentimento; os limiares concretos de aplicação variam consoante a jurisdição. O princípio subjacente é o mesmo em todo o lado: primeiro o consentimento, depois o tracker.

O que as autoridades reguladoras fizeram efetivamente

Uma cronologia curta e parcial de decisões em que o tracking antes do consentimento foi a constatação central:

• CNIL v. Google (dezembro de 2020): EUR 100 milhões pela colocação de cookies publicitários em google.fr sem consentimento prévio.
• CNIL v. Amazon Europe Core (dezembro de 2020): EUR 35 milhões pelo mesmo padrão em amazon.fr.

Estes não são os únicos casos — são os de maior peso. O padrão é consistente entre eles: a autoridade reguladora mediu o comportamento de rede e tratou a realidade técnica como decisiva, independentemente do texto da política.

Os scripts que mais frequentemente o causam

Em ordem aproximada de frequência com que os encontramos como causa principal num scan de alto risco:

• Google Tag Manager, contentores configurados sem gating do consent mode, ou com o consent mode mal configurado de modo que o estado por defeito é "granted".
• Meta Pixel carregado diretamente via <script src> em vez de ficar protegido por uma callback de consentimento.
• Hotjar, gravação de sessão iniciada antes de o banner ser fechado.
• LinkedIn Insight para retargeting B2B, em particular em sítios de agências e SaaS.
• TikTok Pixel em comércio eletrónico de consumo.
• Implementações de analytics first-party que leem propriedades do navigator ou definem cookies de fingerprinting antes de qualquer ação do utilizador.

O fator comum quase nunca é o próprio script — é a implementação. Cada um destes fornecedores publica uma forma documentada de condicionar o disparo a um sinal de consentimento; as instruções de instalação por defeito, no entanto, frequentemente não a mencionam.

Como é um scan limpo

Um sítio que passa a nossa verificação pré-consentimento faz uma das seguintes coisas:

1. Não carrega qualquer tracking de terceiros até ser dado o consentimento. Cookies funcionais (sessão, preferência de idioma, CSRF) são aceitáveis.
2. Carrega o tag manager no estado "denied", com todas as etiquetas não essenciais protegidas por sinais de consentimento explícitos, e atualiza o estado através do Google Consent Mode v2 ou de um mecanismo equivalente após a ação do utilizador.
3. Carrega stubs de tracker que não transmitem identificadores até a flag de consentimento ser definida.

No nosso corpus do primeiro trimestre de 2026, com 97 000 sítios da UE, 68% tinham um serviço de tracking ativo antes de qualquer decisão de consentimento. A minoria de sítios que passa a verificação pré-consentimento tende a partilhar um perfil: a rede na janela pré-consentimento é dominada pelo próprio documento, ficheiros CSS e de tipos de letra, e um favicon — nada que transporte um identificador para fora do dispositivo.

Como corrigir

A versão honesta: não há atalho. Cada etiqueta tem de ser auditada quanto a saber se dispara antes de o sinal de consentimento ser definido. Passos que funcionam na prática:

1. Abra o sítio num perfil de navegador limpo com as ferramentas de desenvolvimento abertas.
2. Filtre a rede por "third-party" e recarregue.
3. Tudo o que dispara antes de clicar num botão do banner é candidato.
4. Para cada candidato, encontre o loader (geralmente uma tag de script, um trigger do tag manager ou um snippet inline) e condicione-o ao sinal de consentimento.
5. Volte a testar. Repita até que a janela pré-consentimento esteja vazia de trackers.

Se utilizar uma plataforma de gestão de consentimento, o modo "bloquear até ao consentimento" da plataforma é necessário, mas não suficiente — muitas CMPs apenas bloqueiam a escrita do cookie, não o pedido. O Article 5(3) da ePrivacy Directive exige consentimento antes de armazenar ou aceder a informação no dispositivo de um utilizador (cookies, local storage, identificadores semelhantes). Se um determinado pedido de rede pré-consentimento aciona essa obrigação depende do que o pedido lê do dispositivo ou escreve nele — uma questão dependente dos factos.

Para um exemplo trabalhado no seu próprio domínio, execute um scan e consulte o painel "rede pré-consentimento" do relatório. Cada pedido infrator é listado com a sua pilha de iniciador, para que possa rastreá-lo até ao ficheiro de origem na sua codebase.