Impressão Digital do Navegador e Consentimento: Guia do Publisher sobre uma Técnica de Rastreamento sob Vigilância dos Reguladores
Durante a maior parte da discussão da era dos cookies sobre rastreamento online, a superfície técnica que importava era a camada de armazenamento: cookies no navegador, entradas em localStorage, bases de dados IndexedDB — coisas que um programador conseguia ver e que um regulador conseguia apontar. A impressão digital funciona de forma diferente. Não pede ao navegador que armazene nada. Em vez disso, faz perguntas ao navegador — que fontes tens instaladas, como é que este canvas renderiza, como é que o contexto de áudio processa este sinal — e combina as respostas num identificador que persiste entre sessões, dispositivos e até janelas de navegação privada. Para publishers e fornecedores de ad-tech, a impressão digital tem sido uma forma atraente de contornar a descontinuação dos cookies de terceiros. Para os reguladores, tornou-se uma das técnicas de rastreamento mais agressivamente perseguidas porque, por conceção, identifica utilizadores sem a sua cooperação. A CNIL, o EDPB, o ICO do UK e o Garante italiano emitiram decisões de aplicação ou orientações especificamente dirigidas à impressão digital nos últimos 24 meses. Este guia explica o que a impressão digital realmente é, o que conta como impressão digital perante a lei e como um publisher deve tratá-la dentro de um sistema de gestão de consentimento.
O Que É a Impressão Digital do Navegador
Uma impressão digital do navegador é um identificador de alta entropia construído a partir de propriedades que o navegador expõe a qualquer JavaScript em execução. As técnicas base dividem-se em várias famílias, cada uma das quais contribui com entropia para a impressão digital combinada.
Impressão digital de canvas
O elemento canvas do HTML5 renderiza gráficos de formas ligeiramente diferentes dependendo da GPU subjacente, do driver, do sistema operativo e do subsistema de fontes. Desenhar uma string fixa com uma fonte específica e depois gerar um hash dos dados de píxeis resultantes produz um identificador que varia entre dispositivos mas é estável entre sessões no mesmo dispositivo. A impressão digital de canvas é o exemplo canónico e a técnica mais citada em ações de aplicação da lei.
Impressão digital de áudio
A API AudioContext processa sinais de áudio através do mesmo tipo de pipeline de hardware e software que os gráficos, e a saída resultante varia de uma forma que cria entropia. Executar um oscilador conhecido através de um compressor e gerar um hash do resultado produz um identificador estável por dispositivo.
Enumeração de fontes
Diferentes sistemas operativos e perfis de utilizador têm diferentes conjuntos de fontes instaladas. Sondar a presença ou ausência de fontes — medindo métricas de texto para uma lista de fontes candidatas — produz um identificador particularmente diferenciador para utilizadores que personalizaram o seu conjunto de fontes.
Impressão digital de WebGL
O WebGL expõe capacidades da GPU e o comportamento de renderização. A combinação da string do fabricante, da string do renderizador e da renderização de uma cena fixa produz mais um identificador de alta entropia.
Metadados de rede e dispositivo
Para além das técnicas de sondagem ativa, as impressões digitais incorporam tipicamente metadados passivos: string User-Agent, preferências de idioma, fuso horário, resolução de ecrã, profundidade de cor, memória disponível, processadores disponíveis, estado da bateria e impressão digital TLS na camada de ligação. Cada item acrescenta entropia por si só e combina-se multiplicativamente com os restantes.
Como os Reguladores Tratam a Impressão Digital
A análise jurídica é direta em traços gerais, mas mais difícil na prática. A impressão digital que identifica um utilizador produz dados pessoais segundo a definição do GDPR, e a leitura ou acesso a informação já armazenada num dispositivo enquadra-se no Article 5(3) da Diretiva ePrivacy — a mesma disposição que rege os cookies. Tanto o Article 5(3) como o GDPR exigem consentimento prévio para rastreamento não essencial. Onde a lei vai além dos cookies é que o ePrivacy 5(3) abrange «o armazenamento de informação, ou o acesso a informação já armazenada, no equipamento terminal de um assinante ou utilizador» — linguagem suficientemente ampla para cobrir a sondagem do estado do dispositivo de que a impressão digital depende.
O EDPB confirmou esta leitura nas suas orientações de 2023 sobre a aplicação do Article 5(3) ao rastreamento sem cookies, e a CNIL tem sido o regulador mais agressivo: várias coimas em 2024 citaram bibliotecas de impressão digital a operar antes do consentimento como violação primária. A declaração de 2024 do ICO do UK sobre rastreamento é ainda mais direta ao enquadrar impressões digitais de canvas, áudio e semelhantes como exigindo consentimento opt-in em pé de igualdade com os cookies.
A Zona Cinzenta: Prevenção de Fraude vs Rastreamento
O caso de uso mais contestado da impressão digital é a prevenção de fraude. Deteção de bots, defesa contra tomada de conta e triagem de fraude em pagamentos dependem da impressão digital do dispositivo como sinal central. Os reguladores reconheceram que parte deste tratamento pode ser justificado ao abrigo do interesse legítimo em vez do consentimento — mas a fasquia é alta e o âmbito é restrito. A posição da CNIL, ecoada por outras APDs, é a seguinte:
- Prevenção de fraude estritamente necessária em propriedades próprias pode prosseguir ao abrigo do interesse legítimo, com documentação adequada numa avaliação de interesse legítimo (LIA).
- Uso comportamental ou publicitário da mesma impressão digital requer consentimento e não pode apoiar-se na base de prevenção de fraude.
- Partilha da impressão digital com terceiros para qualquer finalidade cai tipicamente fora do âmbito do interesse legítimo e requer consentimento.
- Armazenamento persistente da impressão digital para além da verificação imediata de fraude geralmente requer consentimento ou uma posição de interesse legítimo muito rigorosamente redigida.
A implicação prática é que um publisher que execute simultaneamente impressão digital para prevenção de fraude e impressão digital para ad-tech não pode apoiar-se na base de fraude para cobrir ambas. Os dois fluxos devem ser arquitetonicamente separados, com o fluxo de ad-tech condicionado ao consentimento e o fluxo de prevenção de fraude limitado à sua finalidade documentada.
Como Tratar a Impressão Digital num CMP
O padrão de integração para a impressão digital é semelhante ao de outras técnicas de rastreamento, mas com cuidado adicional porque a ausência de armazenamento óbvio torna a fronteira do consentimento mais fácil de ultrapassar.
1. Inventariar a superfície de impressão digital
Auditar o site à procura de qualquer script que invoque canvas toDataURL(), processamento baseado em AudioContext, sondagem de fontes através de medição de métricas de texto ou consultas ao renderizador WebGL. Estas chamadas estão frequentemente ocultas em bibliotecas de terceiros — SDKs de ad-tech, fornecedores antifraude, ferramentas de testes A/B — e não são imediatamente visíveis.
2. Categorizar cada uso de impressão digital
Para cada biblioteca que faz impressão digital, documentar se é (a) estritamente necessária para o funcionamento do site, (b) uma medida de prevenção de fraude ao abrigo do interesse legítimo, ou (c) para rastreamento, analítica ou publicidade. As categorias (a) e (b) podem prosseguir sem consentimento explícito sob bases documentadas; a categoria (c) requer opt-in.
3. Condicionar a impressão digital com finalidade de rastreamento
Para bibliotecas na categoria (c), o CMP deve tratá-las de forma idêntica aos cookies de marketing: o script está no DOM mas inativo até o visitante aceitar a categoria de marketing. A maioria dos CMPs modernos já suporta isto através do padrão standard type="text/plain" + atributo de categoria.
4. Documentar a base de interesse legítimo para impressão digital de prevenção de fraude
Quando a impressão digital prossegue ao abrigo do interesse legítimo, a LIA deve ser específica, atual e refletir o âmbito real do tratamento. Um genérico «prevenção de fraude» não é suficiente — a LIA precisa de identificar que dados são tratados, durante quanto tempo são retidos, que proteções se aplicam e quais são as expectativas realistas do utilizador.
5. Fornecer uma opção de recusa significativa para fluxos de interesse legítimo
Mesmo quando a impressão digital de prevenção de fraude prossegue sem consentimento, o Article 21 do GDPR concede ao utilizador o direito de se opor ao tratamento baseado em interesse legítimo. O CMP deve apresentar este direito, e a implementação técnica deve efetivamente parar a impressão digital quando o direito é exercido — não apenas registar a objeção enquanto continua a recolher a impressão digital.
Lista de Verificação de Auditoria
Seis questões concretas a responder para qualquer site que potencialmente exponha superfícies de impressão digital.
1. Completude do inventário
A equipa de segurança produziu uma lista atualizada de todas as bibliotecas que realizam sondagem de canvas, áudio, fontes, WebGL ou metadados do dispositivo? Se a resposta for «não temos a certeza», a auditoria não pode prosseguir.
2. Classificação da base jurídica
Para cada biblioteca, existe uma base jurídica documentada (consentimento, interesse legítimo com LIA, necessidade contratual)? Bases não documentadas são de facto inexistentes sob o princípio da responsabilização.
3. Condicionamento pelo consentimento
As bibliotecas de impressão digital com finalidade de rastreamento estão condicionadas à categoria de consentimento de marketing, com o script impossibilitado de executar antes da aceitação?
4. Atualidade da LIA
As avaliações de interesse legítimo estão datadas nos últimos 12 meses e refletem o âmbito real do tratamento atual em vez de descrições obsoletas?
5. Aplicação efetiva da recusa
Quando um utilizador exerce o Article 21, o sistema efetivamente para a impressão digital baseada em interesse legítimo, ou apenas regista a objeção?
6. Limpeza entre fornecedores
Se uma impressão digital é partilhada com um terceiro (uma rede de anúncios, um fornecedor de atribuição, um fornecedor de identidade), essa partilha está coberta por um consentimento separado e divulgada no aviso de privacidade?
Onde a Impressão Digital Se Situa no Futuro do Rastreamento
Os fabricantes de navegadores estão ativamente a trabalhar para reduzir a entropia disponível para bibliotecas de impressão digital. O ITP da Apple, a proteção integrada do Firefox e as propostas do Google Privacy Sandbox estão todas a minar a superfície subjacente. Nenhuma dessas intervenções elimina a questão regulatória, contudo — mesmo uma impressão digital com entropia reduzida continua a ser dados pessoais quando consegue identificar um utilizador, e reduzir a taxa de sucesso não altera a análise jurídica quando funciona. Para publishers, o pressuposto mais seguro é que a impressão digital continuará a ser uma técnica real e relevante para auditorias nos próximos 24 meses, que os reguladores continuarão a encará-la como equivalente aos cookies para efeitos de consentimento, e que a resposta operacional correta é tratar a impressão digital como qualquer outra superfície de rastreamento: inventariada, categorizada por finalidade, condicionada pelo consentimento quando exigido e documentada exaustivamente quando prossegue sob outra base.