Chrome matou os cookies de terceiros. A indústria de publicidade se reconstruiu em torno de algo pior.

O Google anunciou pela primeira vez que eliminaria gradualmente os cookies de terceiros do Chrome em janeiro de 2020, com uma data-alvo para o início de 2022. Após quatro anos de atrasos — impulsionados pela resistência da indústria publicitária, intervenção da Autoridade de Concorrência e Mercados do Reino Unido e múltiplas iterações fracassadas das APIs substitutas do Privacy Sandbox — o Google concluiu a descontinuação em meados de 2025. Todos os usuários do Chrome no planeta agora navegam sem cookies de terceiros, juntando-se aos usuários do Firefox e Safari, que já estavam nessa situação desde 2019 e 2017, respectivamente.

A melhoria de privacidade há muito prometida chegou. A indústria publicitária se adaptou. E um crescente corpo de pesquisas sugere que o que substituiu os cookies de terceiros é, em suma, mais invasivo — porque é mais difícil de detectar e impossível de limpar.

O Que os Cookies de Terceiros Realmente Faziam

Um cookie de terceiros é definido por um domínio diferente daquele que você está visitando. Você acessa um site de notícias; uma rede de anúncios define um cookie de seu próprio domínio que o segue para outros sites que usam a mesma rede de anúncios. Esse cookie permite o rastreamento entre sites: a rede de anúncios sabe que você visitou o site de notícias, o site de compras e o site de esportes, e pode construir um perfil de seus interesses para direcionar anúncios.

A razão pela qual os cookies eram simultaneamente onipresentes e eventualmente descontinuados é que eles são tecnicamente transparentes. As ferramentas de desenvolvedor do seu navegador mostram exatamente quais cookies estão definidos e por quem. Extensões de navegador focadas em privacidade, como o uBlock Origin, podiam bloquear cookies de terceiros trivialmente. Usuários que sabiam de sua existência tinham ferramentas para detê-los. Reguladores entendiam como escrever regras sobre eles — os requisitos de consentimento do GDPR para cookies eram imperfeitos, mas compreensíveis.

O Privacy Sandbox do Google: Com o Que Substituiu os Cookies

O Privacy Sandbox é o guarda-chuva do Google para as APIs que substituíram os cookies de terceiros. As duas mais significativas:

Topics API classifica sua navegação em uma de aproximadamente 470 categorias de interesse (esportes, finanças, culinária, tecnologia) e fornece aos anunciantes participantes acesso a três dos seus tópicos recentes principais sem revelar quais sites você visitou. O histórico de interesses permanece no navegador, não em servidores externos. O Google chama isso de melhoria de privacidade — e é, comparado ao rastreamento granular entre sites que os cookies de terceiros permitiam. Críticos observam que o anunciante ainda aprende algo sobre seus interesses, a classificação é feita pelos modelos do Google e não há mecanismo de opt-out dentro do Chrome além de desativar o recurso completamente.

Protected Audience API (antigo FLEDGE) lida com remarketing — a experiência de ver um anúncio de um produto que você visualizou em um site enquanto navega em outro. Sob o Protected Audience, a lógica de retargeting é executada em um ambiente isolado dentro do navegador, em vez de em um servidor de anúncios externo. O anunciante pode direcioná-lo com base em visitas anteriores a sites sem que a rede de anúncios saiba quais sites você visitou. Isso é tecnicamente elegante. Também é, do ponto de vista da experiência do usuário, idêntico ao que os cookies forneciam: você vê anúncios de coisas que viu recentemente.

O Privacy Sandbox oferece aos anunciantes aproximadamente 80% do que os cookies de terceiros lhes davam — o suficiente para que o negócio de publicidade do Google permanecesse intacto — enquanto tecnicamente torna os dados do usuário visíveis para menos partes externas. Se isso constitui uma melhoria significativa de privacidade depende do que você achava que era o problema com os cookies em primeiro lugar.

A Explosão de Fingerprinting

O fingerprinting de navegador usa características da configuração do seu navegador — resolução da tela, fontes instaladas, informações do renderizador GPU, comportamento de processamento de áudio, renderização de canvas, fuso horário, configurações de idioma — para gerar um identificador quase único para seu dispositivo. Ao contrário dos cookies, as impressões digitais não são armazenadas em seu dispositivo, não podem ser limpas pelo usuário e não exigem seu consentimento sob a maioria das estruturas legais atuais.

Pesquisas publicadas pelo Projeto de Transparência e Responsabilidade Web de Princeton, pela Electronic Frontier Foundation e por vários grupos acadêmicos em 2024-2025 consistentemente descobrem que o uso de scripts de rastreamento de terceiros diminuiu modestamente após a descontinuação dos cookies do Chrome, enquanto a adoção de scripts de fingerprinting aumentou significativamente. Um estudo de 2025 que rastreou 100.000 sites populares encontrou scripts de fingerprinting em 42% dos sites, acima dos 26% em 2022. O fingerprinting de Canvas (desenhar texto invisível em um elemento oculto e medir como a GPU o renderiza) agora está presente na maioria dos grandes sites comerciais.

Os mecanismos são cada vez mais sofisticados. O fingerprinting de AudioContext processa um pequeno sinal de áudio e mede como a pilha de áudio do dispositivo o processa — variações em hardware e software criam uma assinatura detectável. O fingerprinting de WebGL renderiza uma cena 3D e lê a saída — variações de GPU produzem diferenças consistentes e rastreáveis. Essas técnicas funcionam mesmo no modo de navegação privada, mesmo com a maioria das extensões de bloqueio de cookies e mesmo quando o usuário optou por não ser rastreado na plataforma de gerenciamento de consentimento de um site.

Rastreamento no Lado do Servidor: A Mudança de Infraestrutura

Simultaneamente às mudanças no nível do navegador, a indústria publicitária moveu uma infraestrutura significativa de rastreamento para o lado do servidor. A marcação no lado do servidor — colocar o Google Tag Manager, a Conversion API (CAPI) do Meta e outras ferramentas de rastreamento em um servidor próprio, em vez de carregá-las de um domínio de terceiros — efetivamente torna o bloqueio de cookies no nível do navegador irrelevante. Quando seu servidor de análise faz as chamadas, seu navegador nunca vê uma solicitação de terceiros para bloquear.

A CAPI do Facebook, lançada em 2020 em antecipação às restrições de rastreamento do iOS, permite que os anunciantes enviem dados de conversão diretamente de seus servidores para o Meta — contornando completamente os controles de privacidade no nível do navegador. Os dados do Meta sugerem que a CAPI recupera 10-15% do rastreamento de conversão que a Transparência de Rastreamento de Aplicativos do iOS e os bloqueadores de anúncios, de outra forma, impediriam. As Conversões Aprimoradas do Google fazem o mesmo para o Google Ads. Ambas as ferramentas usam endereços de e-mail e números de telefone com hash como identificadores, combinando usuários entre sessões de maneiras que são legais sob o GDPR (porque dependem de dados fornecidos voluntariamente pelo usuário), mas invisíveis para o usuário e impossíveis de prevenir sem nunca compartilhar informações de contato com nenhum site.

O Que Realmente Melhorou

A web pós-cookies não é totalmente uma má notícia para a privacidade. Algumas coisas realmente melhoraram:

A longa cauda de rastreadores de terceiros obscuros — pequenas redes de anúncios e corretores de dados que dependiam da sincronização de cookies entre editores para construir perfis — foi significativamente interrompida. A sincronização de cookies (dois rastreadores compartilhando IDs de cookies para corresponder identidades de usuários em seus respectivos bancos de dados) não funciona sem cookies. Isso consolidou o ecossistema de rastreamento em torno de um pequeno número de grandes players (Google, Meta, alguns grandes CDPs), em vez de distribuí-lo entre centenas de pequenos corretores. Se o rastreamento concentrado por três grandes empresas é melhor do que o rastreamento distribuído por 300 pequenas empresas é uma questão filosófica legítima.

A coleta de dados primários e a publicidade contextual são ambas genuinamente menos invasivas do que o rastreamento comportamental em escala. Um editor que vende anúncios com base no conteúdo de um artigo, em vez do seu histórico de navegação, não está construindo um perfil de vigilância. A publicidade contextual está voltando, e vários grandes editores que investiram em qualidade editorial e relacionamentos diretos com o público superaram as expectativas em um mundo pós-cookies.

O ambiente regulatório também se apertou. O Information Commissioner's Office do Reino Unido publicou orientações de fiscalização sobre fingerprinting em 2024, tratando-o como processamento de dados pessoais sob o GDPR do Reino Unido e exigindo a mesma estrutura de consentimento que os cookies. O EDPB da UE emitiu orientações semelhantes. Se a fiscalização será eficaz na escala da web ainda está para ser visto — os reguladores lutam para acompanhar a implementação técnica — mas o cenário legal não trata mais o fingerprinting como uma alternativa gratuita aos cookies.

O Resultado Prático para os Usuários

Se você usa Firefox com uBlock Origin ou a Prevenção de Rastreamento Inteligente do Safari, sua postura de privacidade melhorou com a descontinuação dos cookies e permanece melhor que a do Chrome. O Firefox bloqueia scripts de fingerprinting conhecidos. O ITP do Safari limita o compartilhamento de dados entre sites que torna o fingerprinting comercialmente útil. O Privacy Sandbox do Chrome protege você de alguns rastreamentos entre sites, mantendo-o dentro do ecossistema de publicidade do Google.

Se você é um operador de site que dependia de cookies de terceiros para análise ou atribuição, a resposta prática até 2026 tem sido: plataformas de dados primários, rastreamento de eventos no lado do servidor e correspondência baseada em e-mail com consentimento. As lacunas de medição são reais, mas menores do que inicialmente se temia. O que foi perdido foi principalmente a capacidade de rastrear usuários que explicitamente optaram por não participar — uma capacidade que, argumentavelmente, não deveria ter existido em primeiro lugar.

A questão mais difícil — se a web é significativamente mais privada sem cookies do que com eles — tem uma resposta desconfortável. Para a maioria dos usuários no Chrome, na maioria dos países, com configurações padrão, a resposta é: marginalmente, de algumas maneiras, enquanto o fingerprinting e o rastreamento no lado do servidor se expandiram para preencher as lacunas. A descontinuação foi um passo genuíno e necessário. Também foi apenas um passo.