Tracking e compliance em 2026: medir de verdade, dentro da lei (e sem mito)

Medição server-side, adblockers e LGPD sem mito: o que as fontes primárias mostram sobre tracking em 2026, sem o hype dos 40% perdidos nem o terror da multa por banner.

Inodus · Engineered Authority8 min de leitura

Medição e conformidade costumam ser tratadas como dois assuntos. Não são. Um site mede mal porque os navegadores e adblockers cortam dados; e está “em conformidade” com um banner cosmético que não resolve o que a lei realmente pede. Este artigo separa o que é fato do que é hype - porque, neste tema, o mercado erra para os dois lados: exagera a perda de conversão e exagera o medo da multa. Tudo aqui vem de fontes primárias e recentes (2023-2026).

Principais pontos

29,5%
dos internautas globais usam adblocker ao menos às vezes
GWI, 2025
+24%
em conversões do Google Ads no server-side (caso seoplus+)
Stape, teste A/B
R$ 50 mi
teto da multa por infração da LGPD - por infração, não por processo
LGPD, Art. 52
  • A “morte dos cookies” não aconteceu: o Google reverteu a remoção de cookies de terceiros no Chrome e aposentou várias das principais APIs publicitárias do Privacy Sandbox em outubro de 2025 (Privacy Sandbox, 2025). A perda real de medição vem do Safari, do Firefox e dos adblockers, não do Chrome.
  • Server-side (sGTM) e a Meta CAPI recuperam parte dos eventos perdidos - mas os números de “lift” vêm majoritariamente de fornecedores; a famosa “perda de 20-40% das conversões” não tem fonte independente verificável.
  • No Brasil, compliance não é a Europa: a LGPD não tem uma lei de ePrivacy, então o legítimo interesse pode amparar parte do analytics (com relatório de impacto), e consentimento é a base mais segura para cookies não-essenciais (Guia de Cookies da ANPD).
  • O Consent Mode v2 do Google é exigido apenas para tráfego do EEA/Reino Unido - não é requisito do Google para o Brasil (Google Ads, 2024).
  • O risco de compliance mais concreto e recente não é o banner: é a transferência internacional de dados (GA4, Meta nos EUA) sem cláusulas-padrão, exigidas pela ANPD desde agosto de 2025 (Resolução ANPD 19/2024).

A medição que você perde de verdade (e a que não perde)

Por anos o mercado vendeu a “cookiepocalypse”: o Chrome ia matar os cookies de terceiros e o tracking ia acabar. Não aconteceu. Em 2024 e 2025 o Google reverteu a decisão, abandonou até o prompt de escolha e, em outubro de 2025, aposentou várias das principais APIs publicitárias do Privacy Sandbox (Privacy Sandbox, 2025). Cookies de terceiros continuam funcionando no Chrome.

A perda real é mais antiga e silenciosa, e vem de três frentes que não voltaram atrás:

  • Safari (ITP). Cookies criados via JavaScript expiram em 7 dias sem interação - e caem para 24 horas quando há parâmetros de rastreamento na URL. Cookies de terceiros já são bloqueados por padrão (WebKit - Tracking Prevention).
  • Firefox (ETP). Bloqueia cookies de trackers conhecidos por padrão.
  • Adblockers. Cerca de 29,5% dos internautas globais usam adblocker ao menos às vezes (GWI, 2025) - no Brasil, estimativas confiáveis ficam mais na faixa de 15-21%, não nos 40%” que circulam sem fonte.

A leitura honesta: você provavelmente mede menos do que pensa, mas não porque o Chrome te abandonou - e sim porque uma fatia relevante do tráfego (Safari, Firefox, adblockers) escapa do tracking client-side.

Como o server-side recupera parte disso

O server-side tagging (sGTM) move a coleta do navegador para um servidor que você controla, em contexto first-party - o que resiste melhor a bloqueios. Combinado com a Meta Conversions API (CAPI), que envia eventos direto do seu servidor para a Meta, com deduplicação por event_id numa janela de 48h (Meta - CAPI), ele recupera eventos que o pixel perderia.

Quanto se recupera? Aqui é preciso honestidade sobre as fontes:

Ganho de sinal com server-side (casos de fornecedor)
Uplifts publicados por fornecedores/parceiros - casos reais, não lei de mercado.
seoplus+Google Ads, teste A/B+24%
Google Tag Gatewaysinais first-party+11%
  • O caso mais transparente é o da agência seoplus+, em teste A/B de 4,5 meses: +24% em conversões do Google Ads no server-side, recuperando ~12% de interações bloqueadas - publicado pela Stape, fornecedora de sGTM (Stape).
  • Dados do próprio Google sobre o Tag Gateway (first-party) apontam ganhos na casa de +11% em sinais, divulgados por agência parceira (Brainlabs).

Não existe estudo independente que valide a frase “você perde 20-40% das conversõessem server-side”. Ela vem de materiais de fornecedores. O benefício é real e mensurável - mas deve ser apresentado como caso, não como lei.

Ou seja: server-side melhora a resiliência e a qualidade da medição, com ganhos documentados na faixa de ~10-25% em casos reais. Quem promete um número fixo está vendendo, não medindo.

Compliance no Brasil não é a Europa

Aqui mora o erro mais comum. Muita gente importa a régua europeia e crava: “disparar qualquer tag antes do consentimento é ilegal”. No Brasil, não é tão simples - e a diferença é estrutural.

A Europa tem uma lei específica de cookies (a Diretiva ePrivacy) que exige consentimento prévio. O Brasil não tem equivalente. A LGPD trata cookies pelas suas dez bases legais (Art. 7), sem hierarquia entre elas (LGPD, Art. 7). O Guia Orientativo de Cookies da ANPD estabelece a linha prática:

  • Cookies necessários (técnicos, indispensáveis ao funcionamento) podem ser usados sem consentimento.
  • Cookies não-essenciais precisam de base legal. Em cenários restritos, analytics essencial ou de baixa intrusão pode ser analisado sob legítimo interesse (Art. 7, IX), desde que haja finalidade legítima, minimização, transparência, teste de balanceamento e documentação (Relatório de Impacto, Art. 10). Para cookies de publicidade, remarketing e perfilamento, o consentimento segue sendo a base mais segura (Guia de Cookies da ANPD).
  • Dark patterns são proibidos: nada de “aceitar tudo” em destaque com a recusa escondida, nem condicionar o acesso ao conteúdo a aceitar todos os cookies.

Vale a regra geral: a escolha entre consentimento, legítimo interesse e outra base legal depende sempre do contexto de tratamento - finalidade, tipo de dado, transparência e risco ao titular. Não existe atalho único.

E o Consent Mode v2 do Google? É exigência do Google apenas para quem atinge usuários do EEA, Reino Unido e Suíça (desde março de 2024), e só para personalização/remarketing (Google Ads, 2024). Para o Brasil, o Google não o impõe - o que vale é a LGPD, obrigação legal independente. Um anunciante brasileiro só precisa do Consent Mode v2 para a parcela do tráfego que vem da Europa.

Detalhe técnico que desfaz outro mito: o consentimento é capturado no client-side (o banner), e o sGTM apenas consome esse sinal - ele não substitui o banner (Google - Consent mode server-side).

Lei de cookiesbase para cookies não-essenciais
EuropaDiretiva ePrivacy: consentimento prévio
Brasil (LGPD)Sem lei de ePrivacy; cookies caem nas dez bases legais do Art. 7
Consent Mode v2sinal de consentimento do Google
EuropaExigido para EEA, Reino Unido e Suíça
Brasil (LGPD)Não imposto pelo Google; o que vale é a LGPD
Analyticsbase legal aplicável
EuropaConsentimento prévio
Brasil (LGPD)Legítimo interesse possível, com Relatório de Impacto

O risco real, sem o medo de marketing

A multa por LGPD existe e é pesada: até 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração - e a contagem é por infração, não por processo (LGPD, Art. 52). Mas o medo precisa de contexto: até a verificação deste artigo, não encontramos sanção da ANPD especificamente por banner de cookies ou tracking de site. A primeira multa (2023) foi por uso de dados sem base legal, não por cookies (ANPD). Ainda assim, o tema não está fora do radar: o Mapa de Temas Prioritários 2026-2027 da ANPD inclui o uso secundário de dados para publicidade direcionada e a privacy by design (ANPD - temas prioritários). Ou seja: o banner isolado ainda não é o centro sancionador - mas publicidade direcionada, tratamento secundário e governança de dados já estão entrando no radar.

Onde está, então, o risco mais concreto e atual? Em dois pontos que quase ninguém olha:

  • Transferência internacional. Ferramentas como GA4 e Meta podem envolver transferência - ou tratamento internacional - de dados pessoais, dependendo da configuração, da cadeia contratual e do fluxo dos dados (a ANPD distingue isso da mera coleta direta do titular). A Resolução ANPD 19/2024 regulamentou a transferência internacional e as cláusulas-padrão contratuais, com prazo de adequação que venceu em agosto de 2025 (Resolução ANPD 19/2024). Na prática: além do banner, é preciso revisar base legal, operadores, DPAs e os mecanismos de transferência aplicáveis ao seu caso.
  • Resposta a incidente. A Resolução ANPD 15/2024 exige comunicar incidentes de segurança relevantes ao titular em até 3 dias úteis (Resolução ANPD 15/2024).

Repare: o banner de cookies, que todo mundo trata como “o” tema de compliance, é o menos urgente da lista. O que pega é base legal documentada e transferência internacional - exatamente o que um banner cosmético não resolve.

A síntese

Tracking maduro é medir bem e estar conforme de verdade - não exibir um banner cosmético por cima de dados que você já perdeu.

Medir bem é resiliência técnica: server-side, CAPI, deduplicação, medição que sobrevive a Safari, Firefox e adblockers. Estar conforme é ter base legal documentada, respeitar o consentimento de verdade (sem dark patterns) e cobrir a transferência internacional. A maioria das empresas tem uma das duas, ou nenhuma. Fazer as duas, juntas, é engenharia - e é exatamente onde mora a diferença.

Na Inodus, tracking entra na medida certa: server-side quando o investimento justifica, consentimento implementado de verdade e dentro da lei. Quer saber como está o seu? Faça o diagnóstico online gratuito.

Perguntas frequentes

Os cookies de terceiros acabaram?+

Não no Chrome - o Google reverteu a remoção e aposentou várias das principais APIs publicitárias do Privacy Sandbox em 2025 (Privacy Sandbox). Safari e Firefox, porém, já os bloqueiam, e o Safari limita cookies first-party a 7 dias. A perda de medição é real nesses navegadores.

Server-side tracking recupera 40% das conversões?+

Não há fonte independente para esse número. Casos de fornecedores mostram ganhos de ~11% a 24% (Stape; Brainlabs). O benefício é real, mas o número fixo é marketing.

No Brasil, preciso de consentimento antes de qualquer tag?+

Não necessariamente. Diferente da Europa, a LGPD não tem lei de ePrivacy. Cookies necessários dispensam consentimento; para os não-essenciais, consentimento é o mais seguro, mas o legítimo interesse pode amparar parte do analytics se documentado (Guia de Cookies da ANPD).

O Consent Mode v2 do Google é obrigatório no Brasil?+

Não. É exigência do Google apenas para tráfego do EEA, Reino Unido e Suíça (Google Ads). No Brasil vale a LGPD, que é obrigação legal independente do Google.

Qual o maior risco de compliance que as empresas ignoram?+

A transferência internacional de dados. Usar GA4/Meta (servidores nos EUA) exige cláusulas-padrão contratuais desde agosto de 2025 (Resolução ANPD 19/2024) - algo que nenhum banner resolve.

Como interpretamos as fontes deste artigo

Este conteúdo diferencia quatro tipos de evidência: documentação oficial, estudos de caso publicados por fontes reconhecidas, estudos proprietários de mercado e pesquisas ou análises emergentes. Dados oficiais são tratados como referência normativa. Estudos proprietários e benchmarks são usados como sinal de direção, não como regra universal. Pesquisas acadêmicas e análises de logs sobre IA são apresentadas como evidência técnica em evolução, especialmente quando ainda não existem thresholds públicos definidos pelos fabricantes.

Metodologia e fontes

Base jurídica em fontes primárias: texto da LGPD (Planalto), Guia de Cookies e Resoluções 15/2024 e 19/2024 da ANPDoficial. Dados técnicos: WebKit (ITP), Privacy Sandbox/Google (status de cookies), Google (Consent Mode e sGTM), Meta (CAPI)oficial. Benchmarks de mercado (GWI, eyeo)proprietário e casos de fornecedor (Stape)estudo de caso são citados explicitamente como tais. Este artigo é informativo e não constitui aconselhamento jurídico.

Quer a nota técnica do seu site?

O diagnóstico online mede as 6 dimensões que decidem se seu site é encontrado, confiado e convertido - de graça, em menos de um minuto.