O maior incômodo da internet: as leis de cookies deveriam mirar os navegadores, não os sites

 (nednex.com/en)
9 pontos por GN⁺ 2025-10-23 | 2 comentários | Compartilhar no WhatsApp
  • O processo repetitivo de consentimento em banners de cookies em cada site causa fadiga nos usuários e é avaliado, na prática, como um sistema fracassado que não protege a privacidade
  • A estrutura atual exige que cada site implemente individualmente o processo de consentimento, o que impõe um peso excessivo aos operadores de sites pequenos
  • Como solução, o autor propõe um modelo em que o consentimento de cookies seja gerenciado de forma centralizada nas configurações do navegador
  • Com uma única configuração, o usuário pode controlar de forma integrada o escopo de uso de seus dados, e o navegador aplica isso a todos os sites
  • Essa abordagem é apresentada como uma solução mais racional em três frentes: melhoria da experiência do usuário, maior eficiência regulatória e redução da carga para desenvolvedores

A realidade fracassada dos banners de cookies

  • Leis de proteção de dados pessoais como GDPR e CCPA foram criadas com boa intenção, mas sua forma de execução é ineficiente
    • A estrutura obriga inúmeros sites a exibir individualmente pop-ups como “Accept All” ou “Manage Preferences”
    • A maioria dos usuários, por cansaço, clica em “aceitar tudo” sem pensar
  • Esse modelo torna irrelevante a escolha real do usuário e deixa a experiência da internet mais incômoda
  • O autor aponta que o núcleo do problema não é ‘o que proteger’, mas sim ‘onde gerenciar isso’

Problemas da estrutura atual

  • 1) Fadiga de consentimento (Consent Fatigue): pedidos repetitivos de consentimento deixam o usuário insensível, e o verdadeiro sentido de ‘consentimento voluntário’ deixa de existir
  • 2) Desvantagem para pequenos operadores: grandes empresas conseguem lidar com isso com equipes jurídicas e CMP (Consent Management Platform), mas blogueiros independentes e pequenas e médias empresas acabam assumindo o peso jurídico e técnico
  • 3) Falta de controle real: mesmo quando há opções além de “Accept All”, os termos jurídicos complexos e os menus longos na prática limitam a escolha do usuário

Nova proposta: gestão de consentimento centrada no navegador

  • O usuário escolhe suas preferências de uso de dados apenas uma vez, na configuração inicial do navegador
    • Essential Only: permite apenas cookies essenciais
    • Performance & Analytics: permite análise de desempenho com base em dados anônimos
    • Personalized Experience: permite conteúdo e anúncios personalizados
    • Custom: ajuste manual por categoria
  • O navegador permite ou bloqueia automaticamente os cookies de cada site com base na escolha do usuário
    • Cookies com finalidade pouco clara seriam bloqueados automaticamente pelo navegador
  • O foco da regulação legal sairia de milhões de sites → algumas grandes desenvolvedoras de navegadores, tornando a fiscalização mais viável

Mudanças esperadas

  • Para os usuários: uma experiência de internet mais limpa e rápida com uma única configuração, além de controle real sobre seus dados
  • Para operadores de sites: eliminação da carga de manter banners de cookies e CMPs, com melhoria no desempenho web e mais eficiência no desenvolvimento
  • Para órgãos reguladores: uma estrutura simplificada em que, em vez de fiscalizar incontáveis sites, basta supervisionar as desenvolvedoras de navegadores, aumentando a eficiência da aplicação da lei

De um sistema complexo para um padrão simples

  • Hoje, a internet está presa a um ecossistema complexo em que cada site usa seu próprio CMP
    • Inúmeras ferramentas, redes de anúncios e serviços de análise interagem entre si, gerando esforço duplicado e confusão
  • A abordagem baseada no navegador unifica isso em um único padrão
    • escolha do usuário → navegador → aplicação igual em todos os sites
  • O autor enfatiza que essa ideia não cria um novo sistema; na verdade, trata-se de desmontar a estrutura atual, que se tornou desnecessariamente complexa

Leituras relacionadas

2 comentários

 
shakespeares 2025-10-24

Seria bem conveniente se tudo fosse processado previamente no navegador.
 
GN⁺ 2025-10-23
Comentários do Hacker News

  • Quero dizer que o cerne do problema não é a lei em si, mas o fato de que os sites, que não querem abrir mão do rastreamento, colaboram de forma intencionalmente hostil com a lei
    Ressalta-se que ficar 5 minutos perdido num menu de “concordar com o legal” não é a alternativa desejável; a intenção original era a opção “rejeitar tudo”
    Recentemente, os tribunais têm aplicado isso de forma mais ativa, então o botão “rejeitar tudo” está desaparecendo cada vez mais
    No fim, o melhor resultado seria um ambiente web em que os sites respeitem o cabeçalho Do-Not-Track e não haja nem rastreamento nem banners
    Link relacionado

    • Acho que o problema é 100% que a lei foi mal redigida, o que permite esse tipo de conformidade de má-fé
      Se queremos bons resultados, a própria lei deve ser escrita de forma que não possa ser explorada
      Os sites, de forma previsível, buscam maximizar o lucro; a ideia é escrever leis melhores

    • Acho que a lei, as diretrizes e a intenção são todas claras
      Na prática, o maior desafio restante é a estrutura em que algumas “grandes empresas” controlam os navegadores
      Nem Apple nem Google têm vontade de mudar o rastreamento para um modelo de opt-in
      A situação só deve melhorar no futuro se a influência dos gigantes do ecossistema de navegadores for reduzida e políticas como a DMA forem ampliadas para conter a reação ao poder monopolista
      Também acho que a cultura de litígio dos EUA e as diferenças culturais em relação à Europa contribuem para isso
      Se carregar uma única fonte do Google não expusesse dados a centenas de “parceiros”, a maioria dos pop-ups de consentimento não seria necessária

    • Contra-argumento: continuar perguntando em cada site sobre consentimento de cookies também é um tormento
      A própria conformidade legal destrói a experiência do usuário e torna o uso da internet mais cansativo
      No fim, parece que quem faz essas leis está mais próximo da posição das empresas do que da experiência real do usuário ou da privacidade

    • Uma estrutura que rastreia por padrão é inaceitável
      Acho que pedidos de Do-Not-Track deveriam ser obrigatórios por lei, com multas calculadas como uma porcentagem do faturamento global

    • Vejo que a responsabilidade é maior dos provedores de anúncios do que dos operadores individuais dos sites
      As empresas de publicidade impõem o uso de gerenciadores de consentimento de rastreamento para poder veicular anúncios
      Tentei criar um formulário de consentimento por conta própria, mas o TCF é complicado demais, e quase não há suporte para soluções que não sejam os banners de consentimento fornecidos pelas empresas de anúncios
      No fim, como a receita de anúncios paga os custos do servidor, é difícil para quem mantém um site por hobby lidar com esse sistema complexo
      Seria bom ter uma opção simples que respeitasse mais a privacidade do usuário, e acho que a estrutura ideal seria um controle simples voltado ao navegador

  • Acho que esse tipo de coleta de dados deveria ser proibido por completo
    Fico em dúvida se existe alguém que clicaria em consentir com “Você permite compartilhar seus dados com 500 sites parceiros?”

    • Acho que deveria ser proibido que empresas descrevam o repasse de dados para spammers como “compartilhamento com parceiros”
      A palavra “parceiros” tem uma nuance de confiança e igualdade, mas na prática não é nada disso
      Se é venda de dados, a lei deveria obrigar que isso fosse informado com essa redação clara, e também seria preciso explicar concretamente o risco de vazamentos para spam
      Deveriam perguntar algo como: “Você concorda que seus dados possam ser vendidos a qualquer empresa? Você concorda com o risco de que sejam usados futuramente para spam ou crimes? Sim/Não”

    • Ouvi dizer que publicidade segmentada rende 3 vezes mais do que publicidade comum
      Pessoalmente, mesmo que meus dados fossem rastreados, se a quantidade de anúncios caísse para 1/3 eu até acharia melhor
      Seria bom ver só anúncios interessantes, como teclados ou roupas masculinas, e evitar exposição a coisas inúteis

    • Os problemas de publicidade e vigilância sempre seguem uma lógica parecida
      Ninguém quer receber anúncios, mas um lobby forte se opõe ao fim da publicidade alegando impacto econômico e queda do PIB
      Com a vigilância é a mesma coisa: o argumento de “mais segurança” funciona politicamente

    • Acho que dá para exibir anúncios suficientemente relevantes apenas com base no contexto, como o site e o tema
      Por exemplo, anúncios de Raspberry Pi em um site de hackerspace, ou de vinil e tablaturas de guitarra em um site de rock

    • Há uma razão muito simples pela qual muitos usuários consentem: eles querem acesso a conteúdo sustentado por publicidade-vigilância

  • A questão da verificação de idade é a mesma coisa
    O cabeçalho DNT chegou a ser proposto, mas era simples demais e nem conseguiu adoção real Documento relacionado
    O setor mantém essa estrutura complexa justamente para maximizar a taxa de consentimento dos usuários
    Uma abordagem centrada no navegador seria a mais técnica e amigável ao usuário, mas o setor de anúncios e o setor de coleta de dados têm todo o incentivo para bloquear, na origem, controles baseados no navegador
    No fim, enquanto eles dominarem a maior parte da web, uma solução baseada no navegador dificilmente se tornará realidade

    • Na prática, a função DNT existia nos navegadores, mas os sites a ignoravam
      Segundo a ajuda do Chrome, é possível enviar uma solicitação DNT, mas a maioria dos sites continua coletando dados sob pretextos como “aumentar a segurança”, “fornecer conteúdo, serviços e anúncios” e “relatórios estatísticos”
      Quase nenhum serviço web, incluindo o Google, responde a solicitações DNT, e na prática o máximo que se pode fazer no navegador é apagar todos os cookies ao encerrá-lo
      Documento relacionado

    • Verificação de idade e consentimento de privacidade funcionam melhor quando tratados do lado do navegador
      Como no caso do P3P, controles baseados em navegador/SO podem atingir em cheio a estrutura real de rastreamento do setor, então acho que grandes empresas ignoram ou atrapalham deliberadamente essas soluções com medo de que cresçam
      Como resultado, repete-se a situação em que operadores individuais de sites precisam lidar com regulações excessivamente complexas

    • É uma observação espirituosa: se o cabeçalho DNT fosse tratado corretamente, nem seria necessária uma tela de consentimento
      Bastaria não usar os recursos que exigem consentimento

    • Acho que o navegador agora deveria virar um bem público
      Num cenário em que a propriedade privada já não traz vantagens, faz sentido tratá-lo como um bem público

  • Sobre a ideia de que “o navegador deveria atuar como agente executor da privacidade, e o usuário faria uma escolha única no navegador para que depois todos os sites a seguissem automaticamente”,
    lembra-se que o navegador é, no fim das contas, um software instalado pelo usuário, e há dúvida se é apropriado o governo intervir nisso
    Por essa lógica, seria necessário mais regulação obrigando os sites a declarar em metadados cada finalidade dos cookies, o que no fim resulta em mais regras para administradores de sites
    Menciona-se que já existem recursos de navegador como modo anônimo e multi-account containers
    Link relacionado

    • Pergunta-se qual seria a base para dizer que a intervenção do governo não deveria acontecer
      Questiona-se se há alguma diferença substancial entre regular código de sites e regular código de navegadores

    • Como o fornecedor do navegador mais usado é ao mesmo tempo uma empresa de publicidade, vejo aqui um conflito de interesses evidente

  • Não acho que o navegador deva resolver esse problema
    Os banners de cookies são conhecidos na prática como uma questão de consentimento para cookies de rastreamento, mas na verdade o consentimento é exigido em qualquer situação em que haja intervenção de terceiros (como publicidade) sem necessidade técnica real
    O navegador não consegue distinguir quais terceiros são realmente tecnicamente necessários, então isso acaba sendo algo que cada site precisa informar
    Como as responsabilidades do provedor do site e do terceiro se misturam, o problema fica mais complexo

    • Acho que, se os sites fossem obrigados por lei a respeitar o cabeçalho DNT, o problema seria resolvido imediatamente
      Um problema simples precisa de uma solução simples

    • O navegador web simplesmente não tem como saber com que intenção cada elemento do site foi incluído (se é tecnicamente necessário ou rastreamento)
      Essa verificação é algo que só o operador do site pode saber
      A lei dos cookies se aplica não só a cookies, mas a todo tipo de meio de rastreamento identificável, como pixel gif e fingerprinting por JS

    • Se a lei exigisse que cookies fossem marcados com tags como “third-party” e “strictly necessary”, então, em caso de imprecisão, isso também poderia ser punido como violação do GDPR, como hoje
      O navegador poderia ler essas tags e permitir ao usuário definir, por site, se aceita ou rejeita rastreamento
      Também seria possível colocar um indicador de status na barra de URL, como o cadeado de HTTP/HTTPS, para permitir políticas personalizadas de consentimento por site
      Mesmo quem opera sites pequenos precisa conhecer o funcionamento dos cookies usados por sua rede de anúncios/ferramentas de análise e marcá-los corretamente

  • Quando os pop-ups de consentimento de cookies funcionam de forma irritante, eu simplesmente fecho a aba e sigo em frente
    Percebi que avisos de consentimento de cookies e conteúdo de baixa qualidade são quase proporcionais, então isso até economiza tempo

    • Nesse caso, pergunta-se como resolver reservas de voo ou coisas importantes
      Até sites de médicos mostram banners de cookies
      Pergunta-se se a ideia é simplesmente desistir também desses casos

  • Acho que o Global Privacy Control (GPC) já está começando a resolver esse problema, e no Firefox ele já foi adotado como substituto do Do Not Track
    Agora só falta tornar obrigatório por lei que os sites o respeitem
    Link sobre o GPC
    Orientação oficial do Firefox

    • O DNT já tinha efeito legal na UE, e não parece haver diferença fundamental que seja resolvida apenas ao mudar o nome para GPC
      Em algumas leis estaduais dos EUA, está escrito que, se o navegador enviar o sinal por configuração padrão, isso não é reconhecido como “sinal válido”; se as obrigações legais forem reforçadas, o GPC também pode ser neutralizado dessa forma
      Isso aponta que as leis estão sendo escritas em favor dos rastreadores

    • Concorda-se com o fato de que o Firefox está adotando tecnicamente o GPC antes mesmo de uma obrigação legal

  • Acho que, se as empresas simplesmente desistissem do rastreamento, essas janelas de consentimento nem seriam necessárias

    • Acho que a UE precisa liderar isso primeiro
      Como até o site oficial da Comissão Europeia tem banner de cookies, a UE precisa ou eliminar rastreadores de seus sites ou admitir que a própria lei é difícil demais de aplicar na prática
      Há muita coisa a fazer
      Referência ao site da Comissão Europeia

    • Mas empresas sempre se movem de acordo com o lucro
      Ao contrário do que os usuários esperam, no rastreamento também o lucro vem sempre em primeiro lugar

    • Na prática, as empresas não vão parar voluntariamente, e se “cookies” forem proibidos elas simplesmente vão migrar para outros métodos, como fingerprinting do navegador

    • Acho que tornar todo esse rastreamento simplesmente ilegal pode ser uma medida mais fundamental
      Afinal, quase ninguém consentiria voluntariamente

    • O problema da legislação é que a definição de “rastreamento” é vaga, então muitos operadores de sites acabam colocando telas de consentimento apenas para evitar violar a lei

  • A Califórnia aprovou uma lei que, a partir de 2027, exige configuração de opt-out no navegador, e atualmente Califórnia, Connecticut e Colorado determinam que pedidos de opt-out via navegador/extensões devem ser respeitados
    Nova Jersey também segue a mesma linha
    Lei da Califórnia
    Anúncio oficial de Connecticut & Colorado
    FAQ de privacidade de dados de Nova Jersey

  • Fico em dúvida se essas leis realmente estão produzindo o efeito pretendido
    Se não estão, por que continuam existindo, e por que todas as leis não são automaticamente revogadas se não continuarem provando sua legitimidade?

    • Eu também já me perguntei algo parecido; pessoalmente, sinto que essas leis só deixaram minha vida e a internet um pouco mais inconvenientes, sem grandes efeitos positivos práticos

    • Pergunta-se qual é o critério de “alcançar o objetivo”
      “Quando se rejeitam cookies, o site realmente para de rastrear?” → alguns sim, outros não
      Ainda assim, considero que o objetivo em si continua válido

    • Se a pergunta é se o GDPR é eficaz, eu diria que sim
      Quem o ignora completamente são apenas empresas não confiáveis, e até as empresas que o cumprem de forma maliciosa estão gradualmente piorando sua reputação e mudando
      A era de não proteger dados dos usuários acabou, na minha visão