Um novo relatório de uma agência de auditoria independente com sede na Califórnia mostra que pop-ups de consentimento de cookies que apareceram em sites nos últimos anos e afirmam permitir que os usuários "escolham" se serão rastreados por anúncios são na verdade inúteis em muitos casos - mesmo que os usuários cliquem explicitamente em "negar", grandes empresas de tecnologia de publicidade, incluindo Google, Microsoft e Meta, ainda plantarão cookies de rastreamento como de costume e pagarão multas que podem chegar a bilhões de dólares como uma opção de "custo mais baixo".
O relatório de auditoria de março de 2026 divulgado pela agência de auditoria webXray apontou que os gigantes da tecnologia geralmente ignoravam os sinais de rejeição de cookies dos usuários quando os usuários da Califórnia visitavam sites e continuavam a rastrear o comportamento do usuário por meio de cookies entre sites. Google, Microsoft e Meta contestam esta conclusão. Esses pop-ups de cookies foram criados em resposta às regulamentações de privacidade europeias, que exigem que os sites obtenham o consentimento explícito dos usuários antes de veicular anúncios ou rastrear cookies.
Depois de anos de utilizadores a queixarem-se de “conteúdo obscuro e indução de cliques” e de “as pessoas basicamente não lerem diretamente”, os reguladores europeus pressionaram recentemente para simplificar as regras sobre cookies, mas a última auditoria do webXray concluiu que a situação real ainda não é otimista. Em um teste de amostra de usuários da Califórnia, 55% dos sites ainda definem cookies depois que os usuários clicam em “Negar”, e 78% dos pop-ups de consentimento de cookies não implementam tecnicamente a escolha do usuário, mas são apenas decoração. A webXray estima que, se as regras atuais forem rigorosamente seguidas, essas empresas de tecnologia de publicidade poderão precisar pagar cerca de US$ 5,8 bilhões em multas, mas parecem preferir “rastrear primeiro e depois deixar que as multas contem os custos”.
Os resultados da auditoria mostram que em sites que utilizam redes de publicidade do Google ou da Microsoft, mesmo que o sistema receba explicitamente um sinal de rejeição do usuário, o componente de tecnologia de publicidade ainda emitirá instruções para colocar cookies no dispositivo do usuário. O webXray rastreou esse comportamento por meio de registros de tráfego de rede pública e acreditou que as empresas relevantes mal o ocultaram, mas continuaram a rastreá-lo abertamente. Em termos de dados específicos, a rede de publicidade da Microsoft ignorou cerca de metade dos sinais de “rejeição” e continuou a rastrear utilizadores em 35% dos websites de clientes, com uma multa estimada em cerca de 390 milhões de dólares.
A situação do Google é ainda mais grave: a auditoria disse que ele ignorou 86% dos pedidos de rejeição e continuou a registrar o comportamento dos usuários em 77% de seus sites, correspondendo a multas potenciais de US$ 2,31 bilhões. Ao mesmo tempo, a implementação do Meta foi criticada por “não olhar para os sinais de rejeição”: seu código de rastreamento tecnicamente não parece verificar as instruções unificadas de cancelamento do usuário. Dos sites que detectam sinais de saída, 69% ainda optam por ignorá-los e 21% continuam a rastreá-los. O webXray estima que a Meta pode ter pago até US$ 9,3 bilhões em multas por isso.
Timothy Libert, fundador e CEO da webXray, trabalhou anteriormente como engenheiro de privacidade no Google. Ele disse em entrevista à 404 Media que durante sua gestão, os executivos da empresa muitas vezes não distinguiam claramente entre “impostos” e “multas”. Isto significou que, em algumas decisões empresariais, as multas foram consideradas um custo operacional previsível e aceitável, em vez de um risco de conformidade que deve ser evitado.
Confrontadas com as conclusões da auditoria, as três grandes empresas refutaram, dizendo que o relatório "compreendeu mal" a forma como a sua tecnologia foi implementada. A Microsoft afirmou que alguns cookies são essenciais para a funcionalidade do site e não podem ser considerados simplesmente ferramentas de rastreamento de publicidade; enquanto Meta enfatizou que, sob certas configurações técnicas, o próprio site pode substituir ou modificar o sinal de saída unificado, o que implica que parte da responsabilidade cabe ao operador do site e não ao próprio código da plataforma. No entanto, na opinião do webXray, existe uma lacuna clara entre os actuais resultados reais da implementação e a intenção original de supervisão, o que significa que mesmo que os utilizadores leiam pacientemente a janela pop-up e escolham “rejeitar”, os seus direitos de privacidade ainda são difíceis de proteger verdadeiramente.