Análise de Dados Centrada na Privacidade, Explicada: O Que Significa e o Que Recolhemos de Facto

Análise de dados centrada na privacidade significa medir como um site é utilizado sem identificar, rastrear ou criar perfis das pessoas que o usam. Sem cookies, sem impressões digitais de dispositivo, sem identidade entre sites. Continua a saber que páginas funcionam, de onde vieram os visitantes e se uma alteração resultou — mas nunca constrói um dossiê sobre um indivíduo. Essa única restrição de design é toda a disciplina.

Construímos e operamos a nossa própria análise sem cookies para sites de clientes, e esta é a explicação que gostaríamos que existisse quando começámos. É também a versão honesta: o que recolhemos, o que deitamos fora deliberadamente e as cedências que aceitámos para ficar do lado certo do RGPD sem um banner de consentimento.

O que significa de facto "análise centrada na privacidade"

A expressão é usada de forma vaga, por isso eis uma definição prática. A análise centrada na privacidade é medição concebida de modo a que os dados recolhidos não possam, por si só ou em combinação, individualizar uma pessoa singular. A garantia de privacidade é uma propriedade do sistema, não uma promessa num documento de política. Não se pode divulgar o que nunca se guardou.

Três compromissos decorrem dessa definição:

• Sem identificadores persistentes. Sem cookies, sem IDs em localStorage, sem impressão digital de dispositivo gerada a partir de resolução de ecrã, tipos de letra e user agent. Nada que sobreviva entre visitas ou siga uma pessoa entre sites.
• Agregado por omissão. Os números são contados, não cruzados. Guardamos "esta página teve 412 visualizações hoje", não "o visitante X viu a página A, depois a B e depois converteu".
• Minimização de dados como ponto de partida. Nos termos do artigo 5.º, n.º 1, alínea c) do RGPD, recolhe-se apenas o que é adequado e pertinente. A abordagem centrada na privacidade inverte o hábito habitual: em vez de captar tudo e podar depois, capta-se o mínimo e justifica-se qualquer acréscimo.

O ganho prático é que, na maioria das jurisdições, a análise construída assim não é "rastreio" no sentido jurídico. As regras de consentimento de cookies da Diretiva ePrivacy assentam no armazenamento ou acesso a informação no dispositivo do utilizador. Se não armazenar nada no dispositivo, a exigência do banner de cookies desaparece em grande parte — que é exatamente por que não mostramos nenhum.

Como difere do Google Analytics

O Google Analytics 4 é a opção por omissão, e é o contraste mais claro. O GA4 foi construído para ligar comportamento a identidade ao longo do tempo, porque a empresa-mãe vive de publicidade. Mesmo com o modo de consentimento e anonimização de IP, o modelo é fundamentalmente evento-e-identidade: um fluxo de eventos com data e hora ligados a um client ID, concebido para ser costurado em percursos e, quando os termos da Google o permitem, no grafo mais amplo da Google.

Isso cria três problemas que uma ferramenta centrada na privacidade não tem:

1. Custo do consentimento. Como o GA4 lê e escreve no dispositivo, precisa de consentimento explícito e por opção ativa na UE. O banner em que clica "Rejeitar tudo" existe em grande parte para tornar ferramentas como o GA4 legais. Os próprios banners de consentimento prejudicam de forma mensurável a conversão e o tempo de carregamento.
2. Os dados saem do seu controlo. O GA4 envia dados para a infraestrutura da Google. Após o acórdão Schrems II e uma série de decisões de autoridades europeias de proteção de dados (os reguladores austríaco, francês e italiano consideraram ilegais implementações concretas do GA), a transferência de dados de análise da UE para os EUA é há anos um risco jurídico real.
3. Amostragem e modelação. Para lidar com escala e lacunas de consentimento, o GA4 amostra e modela os dados. Muitas vezes está a olhar para uma estimativa vestida de contagem.

A análise centrada na privacidade troca alcance por honestidade. Não lhe podemos dizer que a mesma pessoa voltou quatro vezes este mês, porque tornámos impossível sabê-lo. O que podemos dizer-lhe é verdadeiro, completo para o tráfego que vemos, e seu.

Os sinais exatos que recolhemos

O concreto é melhor do que o abstrato, por isso eis a forma real do que entra no nosso pipeline numa visualização de página. Corremos isto no servidor em PHP 8.3, atrás da Cloudflare, sem qualquer script de rastreio do lado do cliente a fazer trabalho de identidade.

{
  "path": "/journal/privacy-first-analytics-explained",
  "locale": "pt",
  "referrer_host": "duckduckgo.com",
  "country": "PT",
  "device_class": "mobile",
  "ts_hour": "2026-06-03T14:00:00Z"
}

Repare no que está e no que não está lá:

• Caminho da página — qual a página, para sabermos que conteúdo merece atenção.
• Locale — EN, PT ou ES, já que servimos três através de prefixos de URL (/pt/, /es/) e queremos saber que públicos leem o quê.
• Apenas o host do referenciador — guardamos duckduckgo.com, não o URL referenciador completo com a sua query string, que pode transportar termos de pesquisa ou tokens de sessão.
• País — derivado da geolocalização de borda da Cloudflare, nunca guardado ao lado de algo que pudesse reidentificar. País, não cidade, não coordenadas.
• Classe de dispositivo — o balde mobile / desktop / tablet, não a string completa do user agent e nunca uma impressão digital montada a partir dela.
• Balde horário — a data/hora é arredondada à hora. A precisão ao minuto e segundo é um identificador surpreendentemente forte quando combinada com outros campos, por isso descartamo-la.

O endereço IP é a decisão estruturante. Usamo-lo de forma transitória para derivar o país na borda e depois não o guardamos — nem com hash, nem truncado, nem "anonimizado". Um IP com hash continua a ser dado pessoal, porque é reversível com uma rainbow table sobre o espaço IPv4. Por isso nunca chega à base de dados. A linha acima é o que persiste, e descreve uma visualização de página, não um visitante.

O que nos recusamos a recolher

A disciplina é definida sobretudo pela lista de "não". Não recolhemos, e não temos qualquer mecanismo para recolher:

• Cookies ou qualquer identificador guardado no dispositivo. Não há cookie de análise de origem nem chave em localStorage. É por isso que não há banner de consentimento.
• Impressões digitais de dispositivo. Sem hashing de canvas, sem enumeração de tipos de letra, sem concatenar resolução de ecrã + fuso horário + GPU para fabricar um pseudo-ID. A impressão digital é rastreio sem consentimento por outros meios, e tratamo-la como interdita.
• Identidade entre sites ou entre sessões. Não conseguimos ligar uma visita num site de cliente a uma visita em qualquer outro lado, incluindo o nosso. Não há grafo partilhado.
• Percursos individuais de utilizador. Guardamos contagens agregadas por página, não fluxos de eventos ordenados ligados a uma pessoa.
• Endereços IP em bruto, strings completas de user agent ou geolocalização precisa. Cada um é descartado na borda ou nunca é solicitado.

Se um dado pudesse ser usado para reconhecer a mesma pessoa duas vezes, a nossa resposta por omissão é que não o guardamos. As exceções recebem uma justificação escrita e um limite de retenção, não um encolher de ombros.

As cedências, ditas com clareza

Isto não é grátis. Aprendemos os custos à força e achamos que os deve conhecer antes de adotar a abordagem.

Perde os funis por utilizador e a retenção por coorte. Se o seu produto precisa genuinamente de saber que a mesma conta fez A, depois B, e depois abandonou, a análise agregada sem cookies não lhe dará isso, e deve recorrer antes a análise de produto de origem e com consentimento. Para o nosso site e para a maioria dos sites de marketing, a pergunta é "que conteúdo e canais funcionam", e os agregados respondem a isso de forma limpa.

Perde os visitantes únicos desduplicados no sentido estrito. Reportamos uma estimativa preservadora da privacidade de únicos por página por dia, derivada sem guardar identificadores, e somos diretos quanto a ser uma estimativa. Uma imprecisão honesta vale mais do que vigilância precisa.

O que ganha: nenhum banner, páginas mais rápidas (sem uma tag pesada de terceiros), residência de dados que controla, e uma narrativa de medição que consegue defender perante um regulador ou a equipa jurídica de um cliente num único parágrafo. Para um projeto como a Delicious Diamonds, em que a promessa da marca é sabor e confiança, entregar um site que não tributa silenciosamente os visitantes com rastreio faz parte do ofício, não é uma reflexão tardia de conformidade.

A versão curta

A análise centrada na privacidade responde a "o site está a funcionar?" sem responder a "quem é esta pessoa?". Conta páginas, não pessoas. Os dados são agregados, sem cookies e sem impressões digitais por construção, e é por isso que normalmente ficam fora da lei do consentimento de cookies. Abdica do rastreio ao nível individual; mantém a velocidade, a soberania e a consciência tranquila.

Perguntas frequentes

A análise centrada na privacidade cumpre o RGPD?

Bem feita, minimiza ou elimina o tratamento de dados pessoais. Não guardamos IPs, cookies nem impressões digitais, pelo que, para a medição típica de um site, há pouco ou nenhum dado pessoal a ser tratado. A conformidade depende sempre de toda a sua configuração, mas começar em "não recolher nada identificável" torna o resto muito mais fácil.

Precisa de um banner de consentimento de cookies?

Se não guardar nada no dispositivo do visitante e não ler nada dele — sem cookies, sem localStorage — então o gatilho de consentimento de cookies da ePrivacy geralmente não se aplica. A nossa não guarda nada, por isso não corremos banner.

Em que difere do Google Analytics?

O GA4 liga eventos a uma identidade de cliente persistente, exige consentimento na UE e envia dados para a Google. A análise centrada na privacidade conta de forma agregada, não usa identificador persistente e mantém os dados consigo. Troca o rastreio individual e o alcance por legalidade, velocidade e controlo.

Continua a ver de onde vem o tráfego?

Sim. Guardamos o host do referenciador (p. ex. duckduckgo.com) e um país derivado na borda, por isso o reporte de canal e geografia funciona bem. Apenas não guardamos os identificadores precisos que transformariam isso em vigilância.

E os visitantes únicos?

Reportamos uma estimativa preservadora da privacidade derivada sem guardar identificadores, e rotulamo-la como estimativa. Se precisar de dados exatos, desduplicados e por utilizador, isso exige análise de produto com consentimento — uma escolha deliberada e separada.