Por Que o Session Replay É Exclusivamente Arriscado

A maioria das tecnologias de rastreamento captura sinais agregados ou de granularidade grossa. O session replay captura uma reconstrução quase literal do comportamento individual do usuário, incluindo valores de entrada, movimento do cursor, progresso de rolagem e estado DOM em nível de página. Isso eleva as apostas legais de diversas maneiras específicas.

Leis Estaduais de Interceptação dos EUA

Vários estados dos EUA — notadamente Califórnia, Flórida, Pensilvânia, Massachusetts e Illinois — têm estatutos de interceptação com consentimento de duas partes que escritórios de advocacia dos demandantes aplicaram agressivamente ao session replay. A teoria: se seu site grava a sessão de interação de um visitante sem consentimento afirmativo, e um fornecedor terceiro processa essa gravação, o fornecedor interceptou a comunicação entre o usuário e o editor. A California Invasion of Privacy Act (CIPA) foi o estatuto mais produtivo para os demandantes em 2024 e 2025, com acordos variando de seis dígitos baixos a dezenas de milhões nos alvos maiores.

GDPR e ePrivacy

Sob a lei europeia, o session replay é quase sempre uma atividade de processamento que requer consentimento de opt-in. As gravações regularmente contêm dados pessoais: endereços IP, entradas digitadas, trajetórias de cursor que podem revelar preocupações de saúde ou financeiras, e metadados que se associam a um identificador de conta de primeira parte. O ICO do Reino Unido, o Garante italiano e o CNIL francês emitiram orientações de que o session replay requer opt-in prévio, e o Datatilsynet norueguês multou um grande editor em 2023 especificamente por executar o Hotjar sem um mecanismo de consentimento.

Vazamento de Dados Sensíveis

As ferramentas de session replay, por padrão, capturam tudo que o usuário digita ou com que interage — incluindo senhas, números de cartão de crédito, números de previdência social, detalhes médicos e qualquer conteúdo sensível copiado e colado. Os fornecedores oferecem recursos de redação, mas esses recursos estão desativados por padrão ou exigem configuração explícita de opt-in. Uma integração de replay mal configurada pode silenciosamente enviar dados PHI ou PCI para um processador terceiro, acionando simultaneamente violações de categorias especiais do HIPAA, PCI DSS e GDPR.

A Arquitetura de Consentimento que Você Realmente Precisa

Uma implementação de session replay defensável para 2026 tem três controles empilhados: consentimento prévio, configuração de gravação que preserva a privacidade e minimização de dados no downstream.

Camada 1 — Consentimento prévio antes de qualquer gravação

Para tráfego da EU, UK e EEA, o fornecedor de replay não deve ser inicializado antes do consentimento afirmativo. Isso significa que o script de inicialização deve ser carregado em um slot controlado por CMP, vinculado a uma finalidade como IAB TCF Finalidade 8 (Medir desempenho de conteúdo) ou Finalidade 10 (Desenvolver e melhorar produtos), dependendo do seu detalhamento de finalidades. Para tráfego dos EUA em estados de consentimento de duas partes, a mesma lógica de gating se aplica — o script só deve ser inicializado quando o usuário tiver consentido afirmativamente, idealmente pelo mesmo fluxo de CMP, com divulgação explícita de que a página grava sua sessão para análise de UX.

Camada 2 — Suprimir em vez de capturar por padrão

Todo fornecedor moderno de session replay suporta supressão em nível DOM. A abordagem desejada é negar por padrão, permitir por anotação — mascare cada entrada de texto e cada elemento, a menos que você o tenha marcado explicitamente como seguro. Os nomes de atributos específicos diferem por fornecedor (data-hj-suppress para Hotjar, data-clarity-mask para Clarity, data-fs-privacy="mask" para FullStory), mas o padrão é idêntico. Campos de formulário, áreas de conta, interface de pagamento e qualquer lugar onde dados sensíveis possam aparecer devem ser cobertos.

Camada 3 — Anonimização de IP e retenção

Todo fornecedor principal de replay suporta anonimização de IP, uma janela de retenção configurável e opções de residência geográfica de dados. Configure a retenção para o período mais curto que suporte seu fluxo de trabalho de UX, tipicamente 30 a 90 dias, e ative a anonimização de IP se o fornecedor a suportar. Para tráfego da UE, escolha uma opção de residência de dados na UE onde oferecida.

Configuração Específica por Fornecedor

Diferentes plataformas de replay têm posturas padrão diferentes. As abaixo são as mais comuns em implementações de 2026, com as configurações que mudam materialmente o quadro de conformidade.

Hotjar

O Hotjar é fornecido com supressão de texto desativada por padrão na maioria das integrações. Ative a configuração Suprimir conteúdo de texto em todo o site e use o atributo data-hj-allow para colocar na lista branca elementos específicos que você deseja capturar. Ative a Anonimização de IP nas configurações do site. Ative o Consent Mode e conecte-o ao seu CMP para que a gravação só comece após o consentimento explícito para análises. O Hotjar suporta nativamente a integração com o Google Consent Mode v2.

Microsoft Clarity

O Clarity é gratuito, e é por isso que muitos pequenos editores o utilizam sem uma revisão adequada de conformidade. Por padrão, o Clarity mascara senhas e campos semelhantes a cartão de crédito, mas não muito mais. Configure data-clarity-mask em todos os campos de dados pessoais. Ative Mascarar todo o texto nas configurações do projeto quando possível. A opção de residência de dados da UE do Clarity está nas configurações do projeto do Clarity — ative-a se você atender tráfego da UE. Use a API JavaScript clarity('consent') para controlar a gravação de replay pelo seu CMP.

FullStory

O FullStory tem a configuração de privacidade mais granular entre os principais fornecedores. Use Elementos Excluídos, Páginas Excluídas, Bloqueio de Elementos e o atributo data-fs-privacy="mask" em combinação. A configuração Privado por padrão do FullStory deve ser habilitada para tráfego da UE. Conecte a chamada de API FS.consent() ao estado de consentimento do seu CMP.

Mouseflow, LogRocket, Smartlook

Os fornecedores menores geralmente oferecem controles similares com nomenclaturas diferentes. O padrão consistente: desative a captura padrão, coloque na lista branca o que você precisa, ative a anonimização de IP, configure a retenção e nunca inicialize o SDK antes do consentimento. Não assuma que qualquer fornecedor seja compatível por padrão — eles são construídos para equipes de produto, não equipes de privacidade.

E a Questão do Google Consent Mode?

O Google Consent Mode v2 se relaciona indiretamente com o session replay. Os sinais mais próximos são analytics_storage e, se o replay for usado para otimização de anúncios, ad_user_data. Quando analytics_storage é negado, a gravação de replay deve ser suprimida ou, no mínimo, reduzida a um modo amostrado estatisticamente e agregado se o fornecedor o oferecer. A maioria dos fornecedores de session replay ainda não construiu integração completa com o Consent Mode v2, portanto um CMP corretamente conectado ainda faz a maior parte do trabalho.

Falhas Comuns que Atraem Ações Coletivas

• O replay é executado antes de o banner aparecer — o script é acionado no carregamento da página, captura os primeiros segundos e só para depois que o CMP é resolvido. Esta é a violação mais comum, e os demandantes da CIPA construíram dezenas de casos em torno disso
• A captura de texto padrão está ativa — o replay envia de volta valores de campos de formulário, consultas de pesquisa e mensagens de chat sem redação
• Nenhum consentimento para usuários autenticados — um usuário faz login e o replay continua silenciosamente mesmo que o usuário nunca tenha afirmado o consentimento para análises
• Nenhuma divulgação na política de privacidade — o fornecedor de replay não é nomeado, o propósito do processamento não é explicado e nenhum caminho de opt-out está documentado
• O GPC é ignorado — um sinal de Global Privacy Control deve suprimir o replay para residentes dos EUA em estados de opt-out, mas a maioria das integrações padrão não o respeita
• A retenção excede a finalidade documentada — um padrão de 12 meses do fornecedor é mantido quando a equipe de UX precisa apenas de 30 dias, ampliando a exposição à violação sem benefício

Considerações para Setores Sensíveis

Alguns setores enfrentam risco categórico com o session replay que não pode ser totalmente mitigado através da configuração.

Saúde

Sob o HIPAA, executar session replay em qualquer página que possa exibir informações de saúde protegidas requer um Acordo de Parceiro de Negócios com o fornecedor, autorização explícita do usuário e minimização estrita de dados. A maioria dos editores trata essa categoria como completamente fora dos limites para o session replay padrão.

Finanças

Bancos, seguradoras e plataformas fintech enfrentam tanto a exposição ao PCI DSS em páginas de pagamento quanto maior atenção da FTC sobre o rastreamento de finanças de consumidores. O session replay deve ser excluído de qualquer página autenticada de movimentação de dinheiro.

Conteúdo Infantil

A COPPA exige consentimento parental verificável para qualquer rastreamento de usuários com menos de 13 anos. O session replay em um site infantil sem esse consentimento é uma violação categórica da COPPA.

Lista de Verificação de Auditoria para 2026

• O SDK de replay está bloqueado por um sinal de CMP de consentimento afirmativo; a inicialização é adiada até após o registro do consentimento
• O mascaramento de texto está habilitado globalmente, somente com elementos na lista branca
• Entradas de formulários, campos de pagamento, áreas de conta autenticadas e widgets de chat estão totalmente excluídos
• A anonimização de IP está habilitada no nível do fornecedor
• A retenção está definida para o período mínimo que suporta a necessidade de UX
• A opção de residência de dados na UE está habilitada para tráfego da UE onde o fornecedor a suporta
• O fornecedor está nomeado na política de privacidade com base legal, finalidade e retenção declaradas
• Um Acordo de Processamento de Dados está assinado e arquivado, com avaliação de transferência Schrems II onde aplicável
• GPC e opt-outs estaduais aplicáveis dos EUA suprimem a inicialização do replay
• Sessões autenticadas herdam o mesmo gating de consentimento que sessões anônimas
• Páginas de setores sensíveis (saúde, finanças, conteúdo infantil) estão categoricamente excluídas da captura

A Postura Pragmática de 2026

O session replay oferece às equipes de UX uma visão excepcionalmente clara de como os usuários realmente experimentam um site, e não é uma ferramenta que ninguém queira abandonar. A resposta não é removê-lo. A resposta é incorporar consentimento, mascaramento e retenção na implementação desde o primeiro dia, e documentar a configuração para que um regulador ou advogado de demandante não possa caracterizar posteriormente o uso como interceptação encoberta. Os editores que tratam o session replay como uma ferramenta de UX comum sem a infraestrutura de conformidade continuarão alimentando o pipeline de ações coletivas ao longo de 2026. Os editores que investirem na infraestrutura manterão os benefícios da ferramenta com uma postura legal defensável à altura.