O que a resolução de identidade realmente faz

A resolução de identidade é a camada entre as fontes de dados do editor e as ferramentas de medição e personalização do editor. Recebe os dados de entrada — cookies de primeira parte, IDs de sessão do lado do servidor, endereços de e-mail com hash de sessões com início de sessão, IDs de publicidade móvel da aplicação do editor, identificadores de dispositivos de smart TV e uma constelação de sinais probabilísticos como endereço IP, agente de utilizador e impressão digital comportamental — e produz uma saída: um identificador interno estável que representa um único consumidor em todas as superfícies que o editor opera.

Vinculação determinística

O caminho mais limpo é a vinculação determinística: quando o consumidor inicia sessão em duas superfícies, o editor sabe que os dois dispositivos pertencem à mesma pessoa e funde o seu grafo de identificadores em conformidade. Os subscritores de newsletters, os leitores registados e os subscritores pagos produzem vinculação determinística de forma natural. Os dados têm elevada confiança, a base legal é clara (o editor tem uma relação direta), e as decisões de consentimento tomadas numa superfície podem ser propagadas para a outra sem suposições probabilísticas.

Vinculação probabilística

O caminho mais difícil é a vinculação probabilística: inferir que dois dispositivos pertencem à mesma pessoa sem uma ligação autenticada. Os sinais são a co-ocorrência de endereço IP, a semelhança comportamental, os padrões de hora do dia, o agrupamento geográfico e os modelos proprietários que combinam todos os anteriores. A vinculação probabilística dá aos editores muito mais alcance — a maioria dos leitores está sem sessão iniciada na maioria das visitas — mas a base legal é muito mais fraca, e os reguladores da UE têm sido cada vez mais ativos em contestar camadas de identidade probabilísticas que operam sem consentimento explícito.

Grafos de identidade fornecidos por fornecedores

O terceiro caminho é comprar ou licenciar um grafo de identidade de um fornecedor — LiveRamp, ID5, Unified ID 2.0 da The Trade Desk ou um dos muitos fornecedores menores. O fornecedor mantém o grafo, o editor fornece identificadores com hash, e o fornecedor devolve um identificador vinculado que o editor pode usar a jusante. A postura legal aqui é mista: depende inteiramente das origens de dados próprias do fornecedor e dos termos contratuais, e as ações de execução da UE ao longo de 2025 contra vários grandes fornecedores de identidade tornaram os editores mais cautelosos sobre quais grafos integrar.

A questão de consentimento que a resolução entre dispositivos levanta

A questão difícil que a resolução de identidade levanta é se o próprio ato de vinculação requer consentimento, separado da publicidade ou personalização a jusante que o identificador vinculado alimenta.

A própria vinculação

Ao abrigo do GDPR, a resolução de identidade é tratamento de dados pessoais. A base legal necessária depende da finalidade: para prevenção de fraude ou operação básica de serviço, os interesses legítimos podem por vezes aplicar-se; para publicidade, personalização ou extensão de audiência, é necessário o consentimento. O ePrivacy acrescenta uma camada separada para qualquer cookie ou identificador de dispositivo lido no dispositivo do utilizador, e o cookie ou identificador lido necessita de consentimento independentemente do que o editor faz depois com o resultado.

A propagação do consentimento

A questão mais interessante é como a decisão de consentimento tomada num dispositivo se propaga para o outro. Se um leitor rejeitar cookies de publicidade no laptop e o identificador do laptop for vinculado ao identificador do telemóvel através de correspondência determinística de e-mail, o telemóvel deve honrar a rejeição do laptop na visita seguinte? A orientação publicada pelo European Data Protection Board é clara de que a resposta é sim — as decisões de consentimento estão ligadas ao titular dos dados, não ao dispositivo, e um grafo de identidade vinculado que permite ao editor reconhecer o titular dos dados é também um grafo que exige que o editor honre as suas decisões.

O percurso de retirada

A retirada também precisa de ser propagada. Um leitor que inicia sessão nas definições de conta do editor no laptop e clica em 'rejeitar toda a publicidade' deve ver o mesmo estado refletido quando abre a aplicação do telemóvel, mesmo que a sessão da aplicação do telemóvel seja anónima e use um cookie diferente. A CMP e a camada de identidade devem partilhar estado, e a propagação tem de ser quase em tempo real — uma retirada honrada uma semana depois não está honrada.

O padrão arquitetónico

A CMP e a pilha de identidade conscientes entre dispositivos têm um pequeno número de elementos repetíveis que se estabilizaram entre editores maduros em 2026.

A única fonte de verdade

O estado de consentimento reside num serviço de consentimento pertencente ao editor, não dentro da base de dados do fornecedor de CMP. O serviço tem como chave o identificador resolvido, não o cookie que acionou a decisão de consentimento mais recente, e cada serviço a jusante consciente de consentimento lê desta única fonte. A CMP preenche o serviço em cada alteração de consentimento, e o serviço fornece uma API em tempo real que a pilha de anúncios e a camada de personalização podem chamar em cada carregamento de página e em cada evento.

O índice de consentimento da camada de identidade

A camada de resolução de identidade mantém um índice bidirecional: cada identificador de dispositivo mapeia para uma identidade resolvida, e cada identidade resolvida mapeia de volta para o conjunto de identificadores de dispositivo que tocou. Quando ocorre uma alteração de consentimento em qualquer dispositivo, o índice permite ao editor propagar a alteração para todos os outros dispositivos que a mesma identidade usou, com o período de espera adequado e o registo de propagação.

Interface de consentimento por superfície

As interfaces de consentimento em cada dispositivo devem refletir o estado entre dispositivos. Um leitor que consentiu no laptop não deve ver um banner novo no telemóvel se a vinculação de identidade tiver sido bem-sucedida. Um leitor que nunca foi visto antes deve ver o banner com as definições de rejeição predefinidas. A CMP deve ser capaz de ler o estado da camada de identidade e renderizar a interface em conformidade, o que é uma integração de engenharia real mas um investimento único.

Os casos especiais

Várias superfícies e contextos produzem casos extremos que a arquitetura tem de tratar explicitamente.

TV conectada e aplicações Over-the-Top

O contexto de smart TV e de aplicações OTT é incomum porque o dispositivo é frequentemente partilhado por um agregado familiar — várias pessoas usam a mesma TV, mas apenas uma delas tem a conta da aplicação do editor no telemóvel. A vinculação determinística do telemóvel para a TV é pouco fiável, e a vinculação probabilística num dispositivo partilhado pelo agregado familiar produz confusão de consentimento. O padrão conforme é tratar a aplicação de TV como uma superfície não autenticada por padrão, exibir o seu próprio banner de consentimento no primeiro lançamento, e só vincular a uma conta conhecida quando o utilizador realizar uma ação de vinculação explícita.

Incógnito e navegação privada

Uma sessão incógnita por definição rejeita a resolução de identidade. A CMP deve tratar a sessão como um visitante completamente novo de cada vez, renderizar o banner com as definições de rejeição predefinidas, e não tentar vincular a sessão a qualquer identificador conhecido mesmo que o endereço IP e o padrão comportamental produzissem de outra forma uma correspondência probabilística. O utilizador sinalizou que quer isolamento, e o editor honra esse sinal.

Superfícies para crianças

Qualquer superfície onde a audiência possa incluir menores — secções de conteúdo infantil, aplicações orientadas para famílias, contas com idade autodeclarada abaixo dos dezoito anos — deve usar como padrão nenhuma resolução de identidade e definições de consentimento configuradas para rejeitar para publicidade e personalização. A proibição de direcionamento de menores do DSA e as restrições da COPPA nos EUA são absolutas e sobrepõem-se a qualquer propagação entre dispositivos a partir da conta adulta de um membro do agregado familiar.

Erros comuns entre dispositivos que desencadeiam constatações

As implementações entre dispositivos que produzem constatações regulatórias tendem a falhar em padrões que as decisões de execução da UE tornaram específicos. O grafo de identidade probabilístico opera sem uma barreira de consentimento explícito, com a teoria de que a correspondência probabilística está abaixo do limiar do GDPR — uma posição que não sobreviveu a decisões recentes. O percurso de retirada num dispositivo demora uma semana a propagar-se para o outro através de um processo em lote, deixando uma janela em que os desejos do utilizador não são honrados. A integração do grafo de identidade do fornecedor fica ativa sem uma Avaliação de Impacto sobre a Proteção de Dados e sem cláusulas contratuais que estendam a base legal do editor ao tratamento do fornecedor. A aplicação de TV conectada vincula deterministicamente à conta de telemóvel principal do agregado familiar sem qualquer ação explícita do utilizador, importando a decisão de consentimento de um utilizador para outro. A CMP renderiza um banner que não reflete o estado entre dispositivos, frustrando os leitores de retorno que já consentiram numa superfície diferente e produzindo as constatações de fadiga de consentimento que a EDPB tem perseguido ao longo de 2025.

A conclusão

O consentimento entre dispositivos não é um problema tecnológico nem um problema legal — é o lugar onde os dois convergem. A camada de resolução de identidade que os editores construíram para que a extensão de audiência e a limitação de frequência funcionassem também cria a obrigação de tornar o consentimento e a retirada coerentes entre superfícies. A arquitetura está estabelecida em 2026: um serviço de consentimento pertencente ao editor com chave na identidade resolvida, um índice bidirecional na camada de identidade, propagação quase em tempo real, interface de consentimento por superfície que reflete o estado entre dispositivos, e tratamento explícito para os casos extremos de agregado familiar partilhado, incógnito e menores. Nada disto é engenharia dramática. Tudo é operacionalmente específico. Os editores que o construíram durante o ciclo de depreciação de cookies de terceiros estão agora a operar de forma limpa em telemóveis, laptops e TVs; os editores que trataram o entre dispositivos como uma atualização de medição sem a camada de consentimento estão a passar o 2026 a explicar à EDPB por que a retirada de um leitor no laptop não chegou à smart TV até à terça-feira seguinte.