O Cookie que Nunca Morreu: O que Seis Anos de Promessas de Privacidade Realmente Produziram
O funeral do third-party cookie foi marcado e cancelado tantas vezes que a indústria de anúncios parou de se preparar para ele. O Google anunciou a deprecação dos cookies em janeiro de 2020, com meta para 2022. Depois 2023. Depois 2024. Em julho de 2024, o Google inverteu completamente o curso — em vez de deprecar cookies, o Chrome mostraria um prompt de escolha aos usuários. Em abril de 2025, até o prompt foi abandonado. Os cookies permanecem ativos no Chrome com configurações de privacidade padrão, exatamente onde estavam em 2019.
Em 17 de outubro de 2025, o Google aposentou a iniciativa Privacy Sandbox — o projeto guarda-chuva que deveria construir a infraestrutura de publicidade que preserva a privacidade e tornaria viável a deprecação dos cookies. As APIs Topics, Protected Audience, Attribution Reporting e outras oito tecnologias foram encerradas. Seis anos de preparação da indústria, centenas de milhões de dólares em desenvolvimento e várias rodadas de escrutínio regulatório terminaram com o status quo intacto.
Por que o Privacy Sandbox falhou
As razões técnicas foram secundárias em relação às econômicas. O IAB Tech Lab, após uma análise de seis meses, concluiu que o Privacy Sandbox "introduz obstáculos significativos para a economia de anúncios digitais". A modelagem da Criteo descobriu que os publishers poderiam perder até 60% da receita de publicidade no Chrome em um mundo onde o Privacy Sandbox fosse o único mecanismo de segmentação. A Index Exchange descobriu que as taxas de CPM caíram 33% em testes de implementação. A adoção pelos publishers da Topics API, que deveria substituir a segmentação baseada em interesses, nunca ultrapassou os limites necessários para a neutralidade de receita.
A Autoridade de Concorrência e Mercados do Reino Unido, que havia colocado os compromissos do Google com o Privacy Sandbox sob uma ordem de consentimento legalmente vinculativa em 2022, simultaneamente liberou o Google dessas obrigações em outubro de 2025 — apesar de todos os 15 respondentes da consulta pública se oporem à liberação. A razão declarada da CMA foi que a deprecação de cookies não estava mais na mesa, então os compromissos projetados para limitar como o Google usaria esse poder não tinham mais propósito.
Anunciantes e publishers passaram anos construindo integração com o Privacy Sandbox, treinando equipes nas novas APIs e explicando a transição aos clientes. A reação da indústria ao encerramento variou de alívio a exaustão e preocupação sobre o que acontece a seguir. O Google mantém enorme controle sobre como a publicidade funciona no Chrome — mais controle, pode-se argumentar, do que tinha antes da saga do Privacy Sandbox começar, porque o escrutínio que produziu a ordem de consentimento da CMA agora foi descarregado.
A comparação com a Apple que explica tudo
Enquanto a saga dos cookies do Chrome se desenrolava em câmera lenta, a Apple fez algo direto: perguntou aos usuários se eles queriam ser rastreados e aplicou a resposta. O App Tracking Transparency, lançado em abril de 2021, exige que os apps mostrem um prompt antes de acessar o identificador de publicidade do dispositivo. Nos Estados Unidos, a taxa de rastreamento caiu de 72,6% para 17,9% — uma queda de 54,7 pontos percentuais. A taxa global de opt-in do ATT em meados de 2025 é de aproximadamente 35%, o que significa que cerca de dois terços dos usuários iOS negam rastreamento quando perguntados diretamente.
A Meta estimou US$ 13 bilhões em perda de receita de publicidade até 2022 apenas com o ATT. Anúncios otimizados para conversão tiveram uma redução de 37% nas taxas de clique. Apps que não conseguem uma taxa de opt-in acima de 30% perdem cerca de 58% da receita de publicidade. A indústria de anúncios se adaptou — por meio da Conversions API da Meta, SKAdNetwork da Apple, conversões modeladas e estratégias de first-party data — mas a adaptação foi para um ambiente genuinamente alterado, não para uma mudança que continuava sendo adiada.
O contraste é instrutivo. A Apple implementou a aplicação da privacidade porque a Apple vende dispositivos e software, não publicidade. Seus incentivos se alinhavam com a privacidade do usuário. O Privacy Sandbox do Google tentou resolver um conflito entre a privacidade do usuário e o modelo de negócios de publicidade que financia o desenvolvimento do Chrome e, no final, esse conflito não era resolvível de uma forma que satisfizesse ambas as partes.
O que a indústria construiu em vez disso
Os seis anos de preparação para a deprecação de cookies não foram desperdiçados. Eles aceleraram o desenvolvimento de alternativas que agora estão implantadas em escala, mesmo que a crise que deveria forçar a adoção nunca tenha se materializado.
Data clean rooms — ambientes seguros onde anunciantes e publishers podem executar consultas em conjuntos de dados combinados sem que nenhuma parte veja os registros brutos de usuários da outra — são agora infraestrutura normalizada. O mercado atingiu US$ 3,2 bilhões em 2025 e cresce mais de 20% ao ano. Google, AWS, LiveRamp e Snowflake detêm a maior parte do mercado. Em maio de 2026, a Publicis adquiriu a LiveRamp por US$ 2,167 bilhões — a maior aquisição de holding de agências no espaço de infraestrutura de dados — sinalizando que a capacidade de clean room é agora um ativo estratégico no nível da holding. A WPP adquiriu a InfoSum em 2024.
Soluções de identidade universal fizeram progressos significativos, mas desiguais. O Unified ID 2.0 do The Trade Desk, construído sobre endereços de e-mail com hash com consentimento do usuário, agora cobre aproximadamente 75% do ecossistema de third-party data na plataforma do The Trade Desk, de acordo com os próprios números da empresa. O RampID da LiveRamp está disponível em uma rede de mais de 1.000 parceiros, cobrindo 2,9 bilhões de dispositivos móveis ativos mensais. As ressalvas são reais: um grande publisher de CTV passou três meses gerando tokens UID2 criptograficamente quebrados sem que o The Trade Desk sinalizasse os erros e, após corrigi-los, não viu nenhuma mudança mensurável na receita de publicidade — sugerindo que os compradores ainda não estavam confiando nos UID2s na prática, apesar dos números teóricos de adoção.
O server-side tracking se tornou uma ferramenta padrão para recuperar o sinal de medição. Ao enviar dados de conversão diretamente do servidor de uma marca para plataformas de anúncios, em vez de depender de pixels do navegador, os anunciantes recuperam em média 34 a 37% mais conversões atribuídas. Com o uso de bloqueadores de anúncios agora em 1,77 bilhão de usuários globalmente, os pixels do lado do cliente sozinhos medem entre 60% e 80% da atividade real.
O que foi perdido e o que mudou
Os third-party cookies permitiam o rastreamento determinístico entre sites: o mesmo usuário clicando em um anúncio social, navegando em uma página de produto e retornando por busca poderia ter todo o seu caminho registrado e atribuído. Essa cadeia agora está quebrada fora dos walled gardens — não por causa da política do Chrome, mas porque Safari e Firefox deprecarem terceiros cookies há anos e respondem por uma parcela substancial da navegação. A retenção de cookies pelo Chrome importa principalmente no ecossistema programático que visa usuários do Chrome especificamente.
O frequency capping entre publishers — impedir que um usuário veja o mesmo anúncio quarenta vezes em sites diferentes — agora é em grande parte um palpite fora de ambientes logados. A atribuição multi-toque na web aberta se transformou em modelos probabilísticos ou foi abandonada em favor de testes de incrementabilidade e marketing mix modelling. Anunciantes B2B de nicho, que dependiam de sinais de intenção entre sites para alcançar públicos profissionais específicos, foram os mais atingidos. Anunciantes de consumo amplos com grandes ativos de first-party data se adaptaram com mais sucesso.
O ecossistema programático da web aberta absorveu os danos que os walled gardens evitaram completamente. O Google Search, YouTube, plataformas da Meta e a mídia de varejo da Amazon operam todos dentro de ambientes autenticados de first-party. Suas capacidades de segmentação nunca dependeram de third-party cookies e não foram afetadas por toda a saga. A consolidação dos gastos com publicidade nessas plataformas, visível nos números de receita desde 2021, é pelo menos em parte um efeito da incerteza que a saga de deprecação de cookies criou — as marcas transferiram investimento para superfícies onde os sinais eram confiáveis, e essas superfícies são todas de propriedade das três empresas com os maiores ativos de first-party data do planeta.
Para onde vai daqui
Com o Privacy Sandbox aposentado, o W3C Private Advertising Technology Working Group é agora o fórum onde fabricantes de navegadores, anunciantes e defensores da privacidade vão negociar a próxima tentativa de medição de anúncios que preserva a privacidade. O grupo está construindo sobre princípios de differential privacy — ruído matemático adicionado a relatórios de medição agregados para evitar identificação individual — que a Apple já implantou no SKAdNetwork e na medição do ATT.
A suposição de trabalho é que o caminho que a Apple forçou na publicidade móvel acabará chegando à web, seja por regulação ou pressão competitiva, mesmo que o Google não tenha conseguido engenhar isso voluntariamente. O Digital Markets Act e o Regulamento ePrivacy da UE ainda são frentes regulatórias ativas. A indústria de publicidade está construindo infraestrutura de first-party data, capacidade de clean room e medição server-side não porque o cookie está morrendo este ano, mas porque a trajetória de seu eventual declínio não mudou — apenas o cronograma.