Privacidade digital? Há falhas em sites de bancos de varejo

O “Iberian Retail Banking – Digital Privacy Execution Study & Cyber ​​Overlap (Q3 2025)”, da Datatekin, “alerta para discrepâncias técnicas que podem gerar risco de desalinhamento com obrigações de ‘ePrivacy’ (privacidade digital) e RGPD (Regulamento Geral sobre a Proteção de Dados), em sites de banco de varejo em Portugal e Espanha”. O estudo analisa “a execução real de privacidade digital em sites de bancos e identifica um descompasso entre o que é comunicado nas plataformas de consentimento, e políticas, e o que acontece, na prática, no ‘browser’ do usuário, com potencial impacto direto na transparência, no controle e no risco operacional”, diz o documento. A análise foi feita em 15 sites de banco de varejo – nove em Portugal e seis na Espanha – e avaliou “15.000 páginas, 1.000 páginas aleatórias por site, com base na execução real do ‘browser’, monitorando tráfego de rede, ‘cookies’ e ‘tags’ ativadas em diferentes cenários de consentimento”. O presidente executivo (CEO) da Datatekin, Miguel Silva, ressalta, citado no comunicado, que “o problema não é o banner existir ou não existir”. O problema é quando “o usuário rejeita e, mesmo assim, são observadas ativações técnicas de ‘tags’ classificadas como não essenciais. É aqui que a privacidade deixa de ser apenas uma política e passa a exigir prova técnica de execução”, aponta o CEO. A principal conclusão do estudo aponta “um padrão transversal observado na amostra analisada no cenário de rejeição de consentimento”. No modo “Reject All” {Rejeitar Todos), “foram observados 825 ‘cookies’ únicos escritos no total, dos quais 59% foram classificados como não essenciais, de acordo com a classificação técnica e jurídica adotada no estudo, baseada no critério restritivo de ‘estritamente necessário’ da legislação de ePrivacy”. Esse dado “reforça a ideia central do relatório: a privacidade digital não se esgota em configurações declarativas, depende da capacidade de garantir que a decisão do usuário seja respeitada, de forma consistente, em toda a experiência digital”, diz o documento. Também são identificadas “discrepâncias relevantes no cenário ‘Accept All’ (Aceitar Tudo), sugerindo que, mesmo quando há consentimento, podem persistir lacunas em termos de transparência operacional e inventário de tecnologias em produção”. No total, “foram observados 949 ‘cookies’ únicos, sendo que 53,4% não estavam listados em nenhuma categoria no CMP (plataforma de consentimento), o que poderia indicar falhas de classificação, inventariação e controle do ecossistema de ‘tags’ e ‘cookies'”. “As ‘tags’ de terceiros são parte do produto digital. Quando não existe uma governança estrita e monitoramento contínuo, a organização perde visibilidade e controle sobre quais códigos estão rodando em seu próprio site. Isso é risco de privacidade e é também risco operacional”, adverte Miguel Silva. O estudo apresenta o “cyber overlap” como a interceptação entre privacidade e segurança cibernética: “‘Tags’ e ‘scripts’ de terceiros são código executável que opera dentro do perímetro digital da organização e pode acessar dados e se comunicar com infraestruturas externas”, de modo que “sem inventário, monitoramento e controle contínuo, essas dependências aumentam o risco de exposição a incidentes e falhas de resiliência operacional”. O objetivo do estudo “é apoiar o setor na evolução da aplicação da privacidade digital como uma disciplina operacional contínua mais próxima das rotinas de segurança cibernética e resiliência”, sendo que constitui “uma análise técnica setorial baseada em comportamento observável em um momento específico no tempo, não configurando uma avaliação jurídica individual nem uma imputação de inadimplência a qualquer entidade”. Leia Também: Sindicato diz ser inaceitável que agressões a seguranças particulares não sejam crime público