Fingerprinting de navegador dispensa cookies — e reguladores ainda correm atrás
O Regulamento Geral de Proteção de Dados da UE e a Lei de Privacidade do Consumidor da Califórnia foram escritos em grande parte pensando em cookies. Ambos exigem consentimento para cookies de rastreamento, concedem aos usuários direitos de exclusão e impõem penalidades significativas para não conformidade. A infraestrutura de conformidade que se seguiu — banners de cookies, plataformas de gerenciamento de consentimento, mecanismos de opt-out — criou uma estrutura visível, embora imperfeita, para o rastreamento baseado em cookies.
O fingerprinting de navegador opera quase totalmente fora dessa estrutura. Ele não armazena nada no dispositivo do usuário. Não há cookie para excluir, nenhum arquivo para limpar. O modo de navegação privada não ajuda. Bloquear cookies de terceiros não tem efeito. Os dados usados para construir uma impressão digital são inerentes ao próprio navegador — a combinação de versão do navegador, sistema operacional, fontes instaladas, hardware gráfico, resolução de tela, fuso horário, configurações de idioma e dezenas de outros atributos legíveis por meio de APIs JavaScript padrão. Cada atributo isoladamente é irrelevante. Combinados, eles são frequentemente únicos o suficiente para identificar um usuário específico entre sessões e sites, sem qualquer identificador persistente armazenado no dispositivo.
Como o Fingerprinting Funciona na Prática
A técnica central se baseia no fato de que APIs JavaScript projetadas para desenvolvimento web legítimo também expõem características únicas de hardware e software. O objeto navigator retorna a versão do navegador, plataforma e lista de plugins. O Canvas fingerprinting renderiza uma imagem oculta usando a Canvas API e gera um hash da saída — como diferentes drivers gráficos renderizam a mesma imagem com diferenças sutis de pixel, o hash funciona como um identificador de hardware. O WebGL fingerprinting faz o mesmo por meio de renderização 3D. O AudioContext fingerprinting gera um tom sintético e faz o hash da saída processada, que varia conforme o hardware de áudio e a pilha de áudio do SO.
Uma impressão digital abrangente combina de 30 a 50 desses atributos. Pesquisas do projeto Panopticlick da EFF descobriram que mais de 99% dos navegadores eram unicamente identificáveis usando essas técnicas quando a enumeração completa de fontes estava disponível. O FingerprintJS afirma precisão de identificação acima de 99,5% com execução completa de JavaScript. Mesmo com algum ruído adicionado por navegadores focados em privacidade, uma impressão digital baseada em atributos suficientes pode identificar um visitante recorrente com alta confiança — geralmente de forma mais confiável que um cookie, já que cookies podem ser excluídos enquanto as características do navegador permanecem estáveis até uma atualização de software.
Por Que os Reguladores Continuam Deixando Passar
A definição de dados pessoais do GDPR abrange qualquer informação que possa identificar uma pessoa física. Uma impressão digital do navegador claramente se enquadra nisso. Tanto o ICO quanto a CNIL da França publicaram orientações afirmando que o fingerprinting de navegador está sujeito aos requisitos de consentimento do GDPR. A CNIL multou a empresa de análise francesa Eulerian Technologies em €200.000 em 2022, parcialmente por fingerprinting sem consentimento. Mas, comparado às ações de execução relacionadas a cookies, os casos de fingerprinting são raros.
Vários fatores explicam essa lacuna. Primeiro, a capacidade de fiscalização é limitada, e violações de cookies são mais fáceis de detectar e denunciar — os usuários veem o banner. O fingerprinting é invisível; a fiscalização exige investigação técnica que a maioria dos reclamantes não consegue realizar. Segundo, a distinção legal entre fingerprinting para prevenção de fraudes versus rastreamento comportamental é realmente obscura. Cookies estritamente necessários são isentos de requisitos de consentimento, e muitas empresas argumentam que o fingerprinting para detecção de bots ou segurança se enquadra em uma isenção semelhante. Terceiro, a maioria dos editores implementa fingerprinting por meio de scripts de terceiros incorporados — provedores de análise, redes de publicidade — onde o editor pode não entender completamente quais dados esses scripts coletam. A responsabilidade é difusa, complicando a fiscalização contra qualquer parte isolada.
Onde o Fingerprinting Realmente Aparece
O fingerprinting não é primariamente domínio de sites obviamente maliciosos. O produto comercial do FingerprintJS é usado por grandes bancos, companhias aéreas e plataformas de e-commerce para prevenção de fraudes e segurança de sessão — usos legítimos onde a identificação de usuários recorrentes evita o roubo de contas. A mesma API também é usada por redes de publicidade para rastreamento entre sites sem consentimento e para reconstruir perfis de usuário após a exclusão de cookies.
Scripts de sync de cookies adicionam outra camada. Um editor pode bloquear cookies de terceiros em seu próprio site enquanto hospeda um script que sincroniza impressões digitais do navegador com identificadores de cookies de uma rede de publicidade para rastreamento entre domínios. O resultado é que o bloqueio de cookies alcança menos do que os usuários esperam, porque a impressão digital fornece o identificador persistente que o cookie estava fornecendo anteriormente.
Mitigações em Nível de Navegador e Seus Limites
Os navegadores adicionaram proteções contra fingerprinting, mas elas são parciais. A Intelligent Tracking Prevention do Safari limita o acesso a certas APIs de terceiros. A proteção aprimorada contra fingerprinting do Firefox adiciona ruído aos resultados de Canvas e WebGL — o suficiente para derrotar scripts simples de fingerprinting, mas não sistemas sofisticados que coletam atributos adicionais suficientes para compensar. A abordagem Privacy Sandbox do Chrome lida com cookies de terceiros, mas não elimina o rastreamento baseado em fingerprinting.
O Tor Browser oferece a proteção mais completa ao homogeneizar deliberadamente os atributos de fingerprinting: a resolução da tela é arredondada, a enumeração de fontes é bloqueada, os resultados de Canvas são randomizados por site. A troca é uma degradação significativa da usabilidade e sinalização por sistemas de detecção de bots. Para usuários que desejam proteção significativa sem o atrito do Tor, o Firefox com proteção rigorosa contra fingerprinting mais uBlock Origin em modo avançado, ou o Brave Browser com randomização embutida de fingerprinting, oferece a melhor combinação disponível entre as opções convencionais. Nenhuma configuração impede todo fingerprinting de um rastreador suficientemente determinado.
A Direção Regulatória
O movimento mais significativo de fiscalização não está ocorrendo por meio de casos dedicados de fingerprinting, mas sim de varreduras mais amplas de rastreamento sem cookies. A CNIL da França realizou ações coordenadas em 2025 visando fingerprinting e rastreamento baseado em pixels, juntamente com cookies, tratando-os como uma estratégia coordenada de evasão. A DSK da Alemanha emitiu orientações de que as regras do ePrivacy se aplicam a qualquer mecanismo de rastreamento que leia características do dispositivo — incluindo impressões digitais derivadas de propriedades do navegador.
Se essa interpretação se tornar consistente entre os estados-membros da UE, o fingerprinting enfrentará a mesma carga de consentimento que os cookies — exigindo opt-in afirmativo para usos de rastreamento comportamental. A indústria de publicidade está observando atentamente: o fingerprinting é cada vez mais o plano B para segmentação comportamental entre sites, à medida que os cookies de terceiros completam sua eliminação gradual no Chrome. Perdê-lo para a fiscalização do GDPR exigiria reconstruir a infraestrutura de publicidade comportamental em torno de identificadores genuinamente baseados em consentimento, e não apenas trocar um identificador persistente por outro.
A lacuna entre o que o fingerprinting de navegador pode fazer e o que a regulamentação atualmente restringe ainda é ampla — mas está diminuindo por meio de fiscalização coordenada, diretrizes regulatórias mais claras e fornecedores de navegadores fechando incrementalmente as APIs que permitem as impressões digitais mais confiáveis. Os usuários que desejam proteção agora têm opções melhores do que há dois anos. Os usuários que esperam que a regulamentação resolva o problema provavelmente esperarão mais do que imaginam.