Você pode rastrear usuários que rejeitam cookies? O que ainda é permitido no GDPR

Quando um usuário clica em “Rejeitar tudo” no banner do seu cookie, muitos proprietários de sites presumem que tudo deve parar – análises, medições, otimização, relatórios.

Isso não é inteiramente verdade.

GDPR não exige que os sites fiquem cegos após a rejeição, mas limita estritamente o tipo de rastreamento permitido. O segredo é entender a diferença entre processamento essencial e rastreamento baseado em consentimento.

Este blog explica o que você ainda pode fazer depois que um usuário rejeita cookies – e onde a maioria dos sites ultrapassa os limites de conformidade.

---

1. O que “Rejeitar Cookies” realmente significa

Quando um usuário rejeita cookies, ele está recusando rastreamento não essencial, como:

• Cookies analíticos
• Cookies publicitários
• Identificadores de remarketing
• Perfil comportamental

Essa rejeição se aplica a qualquer tecnologia de rastreamento, não apenas a cookies — incluindo pixels, armazenamento local e identificadores do tipo impressão digital.

O GDPR exige que esta escolha seja respeitada imediata e integralmente.

---

2. O que você não pode rastrear após a rejeição

Depois que o consentimento for negado, você deve parar:

• Ferramentas analíticas que dependem de identificadores
• Pixels de publicidade e retargeting
• Acompanhamento de conversões vinculado ao comportamento do usuário
• Acompanhamento entre sites ou sessões cruzadas
• Qualquer perfil ou atribuição vinculada a indivíduos

Mesmo os dados que parecem anonimizados ainda podem ser ilegais se puderem estar relacionados a um usuário ou dispositivo ao longo do tempo.

---

3. O que você pode ainda fazer sem consentimento

GDPR permite o processamento limitado sem consentimento quando for estritamente necessário para operar o site.

Isso inclui:

• Monitoramento de segurança
• Prevenção de fraude
• Balanceamento de carga
• Registro de erros
• Logs de acesso do servidor
• Tratamento de solicitações técnicas

Esses dados devem permanecer com finalidade limitada e não devem ser reutilizados para análise ou marketing.

---

4. Dados agregados e anônimos: prossiga com cuidado

Muitos sites dependem de análises “anônimas” ou “sem cookies” após a rejeição.

No entanto, GDPR faz uma distinção clara:

• Dados verdadeiramente anônimos são permitidos
• Dados pseudônimos ainda contam como dados pessoais

Se os dados:

• Persiste entre sessões
• Usa identificadores (mesmo os com hash)
• Pode ser vinculado a um dispositivo ou comportamento

então o consentimento ainda é necessário.

Este é um dos erros de conformidade mais comuns.

---

5. Por que o interesse legítimo raramente se aplica aqui

Algumas empresas tentam justificar o rastreamento pós-rejeição sob interesse legítimo.

Na maioria dos casos, isso falha porque:

• O rastreamento não é estritamente necessário
• As expectativas do usuário são substituídas
• O impacto na privacidade supera os benefícios para os negócios

Os reguladores europeus rejeitam consistentemente o interesse legítimo como base legal para análises e acompanhamento de marketing.

---

6. Melhores práticas: medir sem rastrear indivíduos

A abordagem mais segura em conformidade com o GDPR após a rejeição é:

• Interrompa todo o rastreamento no nível do usuário
• Evite identificadores persistentes
• Use métricas operacionais de alto nível
• Separe os registros técnicos das ferramentas analíticas
• Garanta que o comportamento do site não mude após a rejeição

Se o rastreamento ainda ocorrer após a rejeição, o risco de conformidade aumenta significativamente.

---

7. Como a CookiePal impõe a rejeição corretamente

CookiePal garante que quando um usuário rejeita cookies:

• Todos os scripts não essenciais permanecem bloqueados
• Tags de análise e marketing não disparam
• Os estados de consentimento são aplicados em todo o site
• O comportamento de rastreamento corresponde à escolha do usuário
• Os registros de consentimento são armazenados para preparação para auditoria

Isso garante que a rejeição realmente signifique rejeição – e não rastreamento parcial.

---

Conclusão final

Rejeitar cookies não significa que seu site deva parar de funcionar, mas significa que você deve parar de rastrear usuários além do estritamente necessário.

GDPR permite processamento operacional limitado, mas análises, publicidade e criação de perfil exigem consentimento explícito. Respeitar a rejeição não é apenas um requisito legal – é um sinal de confiança.

Com um CMP com a CookiePal, você pode honrar as escolhas do usuário enquanto mantém seu site estável, transparente e compatível.

---

Fontes e Referências

• Artigo 4(1) do GDPR e 4(11) – Definição de Dados Pessoais e Consentimento
• Artigo 6 do GDPR – Bases Legais para Processamento
• Artigo 7 do GDPR – Condições para consentimento válido
• GDPR Considerando 32 – Consentimento Claro e Afirmativo
• GDPR Considerando 47 – Limitações de interesse legítimo
• Conselho Europeu de Proteção de Dados (EDPB) Diretrizes 05/2020 sobre Consentimento
• CNIL (França) Orientação sobre cookies e rastreamento
• Reino Unido ICO Orientação sobre Cookies e Tecnologias Similares