Uma pesquisa da webXray revelou que 125 mil cookies publicitários foram instalados sem o consentimento dos usuários na Califórnia; a exposição legal pode ultrapassar US$ 5,8 bilhões.
Uma auditoria independente realizada pela empresa de tecnologia de privacidade webXray revelou que Google, Microsoft e Meta continuam inserindo cookies publicitários nos navegadores dos usuários sem a devida autorização. O TecMania entrou em contato com as empresas, mas apenas a Microsoft respondeu antes da publicação deste artigo.
Os testes, que ocorreram na Califórnia, demonstraram que mesmo após os consumidores ativarem o sinal de recusa de rastreamento, grandes corporações de tecnologia ainda utilizam seus dados, contrariando a Lei de Privacidade do Consumidor da Califórnia (CCPA).
O sinal ignorado pelas principais empresas de publicidade digital
A CCPA garante ao consumidor o direito de impedir que suas informações pessoais sejam vendidas ou compartilhadas com terceiros. O mecanismo técnico para garantir esse direito é o Global Privacy Control (GPC), um padrão apoiado pelo procurador-geral da Califórnia. Quando ativado, o navegador envia um cabeçalho sec-gpc: 1 em cada requisição de rede, que é uma instrução para que o servidor não retorne cookies de rastreamento.
O Google apresentou o pior desempenho na auditoria, com uma taxa de falha de 86% nos sites em que sua tecnologia publicitária estava presente. O servidor de anúncios da empresa ignora o sinal sec-gpc: 1 e instala o cookie IDE, que é vinculado ao domínio .doubleclick.net e tem validade de dois anos. A webXray coletou evidências forenses do tráfego de rede e publicou as interações entre o navegador do usuário e os servidores do Google.
A Microsoft teve uma taxa de falha de 50%. O servidor bat.bing.com, responsável pelo pixel de conversão da plataforma Microsoft Advertising, também desconsidera o sinal sec-gpc: 1 e instala o cookie MUID, que é um identificador de usuário com validade de um ano no domínio .bing.com.
A Meta apresentou uma taxa de falha de 69%, com uma particularidade técnica. O pixel da empresa, que é instalado por publicadores em seus sites, não verifica o sinal GPC, carregando de forma incondicional e causando rastreamento, independentemente das preferências de privacidade do visitante.
Banners de cookies certificados pelo Google também falham
A auditoria também investigou as Plataformas de Gerenciamento de Consentimento (CMPs), que são os banners de cookies utilizados na maioria dos sites e que supostamente ajudam os usuários a exercer seus direitos de privacidade. O Google possui um programa de certificação para esses fornecedores, o que a webXray classificou como um conflito de interesse.
De um total de 11 fornecedores de CMP avaliados, todos falharam em impedir a instalação de cookies do Google após a ativação do GPC. As três CMPs detalhadas no relatório registraram taxas de falha de 77%, 90% e 91%, respectivamente.
A falha não reside no banner em si, mas sim na desconsideração do sinal enviado pelo navegador pelo Google, independente das configurações do publicador.
Solução técnica é simples
Timothy Libert, fundador da webXray e ex-chefe de política de cookies do Google, afirmou que a solução para o problema é simples. Nos servidores de anúncios, tudo o que é necessário é retornar o código de status HTTP 451 Unavailable For Legal Reasons ao detectar o sinal Sec-GPC: 1, impedindo a definição de qualquer cookie.
No pixel da Meta, bastam apenas duas linhas de código que verificam o navigator.globalPrivacyControl.
Multas já somam bilhões; empresas contestam as descobertas
A CCPA estipula multas de US$ 2.500 por violação, aumentando para US$ 7.500 em casos de infrações intencionais. Com base em seis ações de fiscalização que mencionaram diretamente a violação do GPC, a webXray estimou uma possível exposição financeira de US$ 5,8 bilhões para os 4.170 sites considerados não conformes. Esse montante inclui os US$ 2,75 milhões que a Disney pagou em 2026, o maior acordo já registrado sob esta legislação.
Google, Microsoft e Meta contestaram as conclusões, alegando que o relatório está fundamentado em um “mal-entendido essencial sobre seus produtos” e que respeitam as escolhas de recusa conforme exigido pela legislação.
A Meta caracterizou a pesquisa como uma “estratégia de marketing que distorce o funcionamento do GPC”, alegando que o sinal apenas limita certos usos de dados por terceiros e que os publicadores têm a liberdade de desconsiderá-lo. A Microsoft também afirmou que alguns cookies são essenciais para operações e podem ser instalados mesmo na presença do sinal GPC.
À TecMania, a Microsoft declarou que, conforme mencionado em sua Declaração de Privacidade, ao receber um sinal de GPC, optam por não compartilhar a informação pessoal do usuário com terceiros para publicidade personalizada. Contudo, alguns cookies são imprescindíveis para a operação e podem ser inseridos mesmo com o sinal detectado.
Meta e TikTok já foram flagrados coletando dados
Os resultados da webXray não são uma ocorrência isolada. O TecMania já havia reportado uma pesquisa da Jscrambler, que identificou comportamentos semelhantes no rastreamento da Meta e do TikTok.
Os scripts analisados coletam informações pessoais sensíveis, como nome completo, endereço, e-mail e os últimos quatro dígitos do cartão de crédito, em sites de terceiros, mesmo que o usuário recuse explicitamente o compartilhamento de informações. Essas falhas podem impactar mais de 12,6 milhões de servidores corporativos ativos globalmente.
Siga o TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se na nossa newsletter e canal do YouTube.