A última bolacha do pacote: o mundo sem cookies se aproxima

O fim dos cookies de terceiros está cada vez mais próximo. Em maio deste ano, o Google confirmou seus planos de descontinuar a tecnologia de rastreamento no seu navegador Chrome em 2024. A empresa é a última grande participante do mercado de navegadores que ainda suporta cookies de terceiros por padrão em sua plataforma.

A transição será lenta. Em 01 de janeiro de 2024, apenas 1% dos usuários do Chrome serão movidos do modelo de cookies de terceiros para a tecnologia proprietária Privacy Sandbox – alternativa do Google aos cookies sobre a qual falaremos mais para frente. A expectativa é que mais e mais usuários migrem ao longo do ano até que o processo se complete no segundo semestre.

Se tudo ocorrer como planejado, a transição deve marcar o fim da aplicação de uma tecnologia que é utilizada por navegadores desde os anos noventa. Ao longo de quase trinta anos, os cookies evoluíram de um simples arquivo de ‘memória’ dos navegadores para uma ferramenta poderosa de rastreamento.

Como chegamos até aqui?

De forma geral, os cookies não têm uma boa imagem em 2023. “O principal impacto dos cookies foi a alta rastreabilidade e a alta precisão na hora de definir o perfil do usuário. Eles normalizaram a ideia de as empresas terem um perfil muito específico de seus potenciais consumidores, viabilizando também um bombardeio de anúncios”, avalia Gabriela Vergili, advogada e pesquisadora da Data Privacy Brasil, em conversa com o IT Forum.

Na sua origem, no entanto, o objetivo dos cookies era bem diferente do que eles se tornaram. Lou Montulli, programador norte-americano, foi o inventor da tecnologia. Em 1994, quando tinha 23 anos de idade, trabalhava como engenheiro da Netscape – empresa responsável por um dos primeiros navegadores de ampla adoção no mundo -, e se envolveu em discussões que buscavam alternativas para dar alguma forma de ‘memória’ às páginas da web.

Naquela época, sites não guardavam nenhum tipo de informação sobre a navegação do internauta. Isso tornava impossível algumas aplicações comuns do nosso cotidiano virtual, como manter um carrinho de compras do usuário cheio entre uma sessão e outra em um site de e-commerce.

Uma das soluções ventiladas por desenvolvedores da época seria criar um identificador exclusivo para cada navegador, que pudesse distinguir um usuário individualmente e carregar suas informações de acesso entre sessões. Montulli era contra essa ideia: para ele, o conceito de um identificador único poderia ser usado para rastrear um usuário singular através múltiplos websites.

Santi Darmandrail, COO da empresa de dados Retargetly

A solução desenhada por Montulli foi um pequeno arquivo de texto com informações da navegação que era trocado entre o computador do usuário e o site acessado. Fazendo jus ao nome, o cookie deixaria uma “trilha de migalhas” para trás, permitindo que aquela página se lembrasse de preferências e ações do internauta em futuras visitas.

Não demorou muito, no entanto, para anunciantes descobrirem uma forma de tirar proveito dos cookies para fazer exatamente o que seus criadores não desejavam. Isso foi feito através da natureza da interação entre cookies e conteúdos incorporados em páginas da web – como fotos e plugins. Por não estarem necessariamente hospedados no domínio da página visitada pelo usuário, mas em qualquer local da web, esses conteúdos incorporados poderiam conter cookies de terceiros.

Em 1996, os cookies de terceiros já eram motivo de debate. Empresas como a DoubleClick – hoje uma subsidiária do Google – estavam utilizando cookies para monitorar usuários através de múltiplos sites, seja para evitar a repetição de anúncios para uma mesma pessoa ou para medir a quantidade de usuários únicos que visualizaram determinada peça publicitária.

Isso incomodou internautas. A Comissão Federal de Comércio (FTC) dos Estados Unidos lançou uma investigação sobre o tema nos anos 2000, mas não encontrou evidências de que a DoubleClick estaria usando ou divulgando informações de identificação pessoal dos consumidores através dos cookies.

Em 2008, o Google comprou a DoubleClick por US$ 3,1 bilhões para expandir seu negócio de publicidade para mídia programática em sites. Fora dos navegadores, os cookies também avançaram no mundo móvel. Com a chegada dos smartphones, Apple e Google reproduziram o modelo, respectivamente, através do Unique Device Identifier (UDID) e Android Advertising Id (AAID), que permitiam associar o comportamento de um usuário através de múltiplos aplicativos. Ambos já foram descontinuados.

Em 2012, Montulli, criador dos cookies, já refletia sobre o impacto de sua criação. “Os web cookies encontram-se no meio de uma área muito controversa e ganharam notoriedade por causa disso”, escreveu à época, em seu blog pessoal. “A natureza do negócio da publicidade é recolher o máximo de informações possíveis, e o público precisa resistir quando isso vai longe demais.”

Um marco dessa resistência veio também em 2012, quando a União Europeia começou a discussão do seu Regulamento Geral de Proteção de Dados (GDPR). Um dos seus requisitos é que sites obtenham o consentimento dos usuários antes de rastreá-los com cookies. O texto seria adotado oficialmente em 2018 e serviu como base para o avanço de regulamentações em diferentes regiões do mundo – incluindo a Lei Geral de Proteção de Dados Pessoais brasileira, a LGPD.

Episódios como as revelações sobre a vigilância governamental perpetrada pelos Estados Unidos por Edward Snowden, em 2013, e o escândalo da Cambridge Analytica, que eclodiu em 2018, também levaram à uma tomada de consciência global.

Uma pesquisa realizada pelo Comitê Gestor da Internet no Brasil (CGI.br) em 2021, mostrou que a preocupação com dados pessoais também cresceu entre os brasileiros. Motivados por essa preocupação, o estudo registrou que 58% dos brasileiros de 16 anos ou mais já configurou ou limitou o uso de cookies em uma página que visitou. Além disso, 69% dos usuários de Internet deixaram de visitar alguma página na Internet por causa de preocupações com seus dados.

Gabriela, da Data Privacy Brasil, também enxerga esse avanço da conscientização. “Muitas empresas deixam a responsabilidade de decidir para o usuário”, pontua. “É uma relação muito desproporcional para o usuário dar um consentimento que não é completamente livre – se ele não der o consentimento, o site não vai funcionar”, explica.

Conforme o mundo transita para um cenário alternativo aos cookies de terceiros, a pesquisadora destaca que é fundamental o papel da transparência no processo. “Se isso não for transformado de forma transparente, com páginas de texto simples, vídeos explicativos, não será acessível e o titular não entenderá como o dado dele está sendo tratado”, anota.

Para onde vamos?

Em 2017, a Apple começou a implementar restrições aos cookies no seu navegador, o Safari. No ano seguinte, a Mozilla também tomou ações semelhantes com o Firefox. Desde então, ambas organizações já bloquearam totalmente os cookies de terceiros por padrão. Paralelamente, iniciativas como o navegador Brave, com opções avançadas de privacidade, e o buscador DuckDuckGo, que não rastreia pesquisas de usuários, surgiram. Agora, chegou a vez do Google agir.

O Google já está há algum tempo ensaiando o abandono dos cookies de terceiros. Em janeiro de 2020, a companhia anunciou que o plano era descontinuar o padrão no Chrome até 2022. Em junho do ano passado adiou os planos para 2023. Em julho deste ano, veio a última atualização – empurrando o fim dos cookies para a atual meta, do segundo semestre de 2024.

Ainda que o movimento global em busca de alternativas para os cookies de terceiros já esteja acontecendo há anos, o Google tem um peso extra nesse mercado. Segundo dados da Statcounter, empresa que analisa o tráfego global pela internet, o Google Chrome tem uma participação de mercado de 63,47%. О número representa o tráfego combinado entre computadores desktop, smartphones e tablets ao redor do mundo. No Brasil, o dado é ainda mais impressionante: o Chrome domina 74,12% do mercado. Com esse peso, uma migração para um mundo sem cookies só acontecerá, de fato, quando o Google embarcar.

Paralelamente, o Google também planeja sua própria alternativa ao modelo de cookies de terceiros: a chamada Privacy Sandbox. Ο Privacy Sandbox já passou por algumas iterações ao longo dos últimos anos, mas deverá se basear no conceito de ‘tópicos’ па proposta do Google, o navegador aprenderá sobre tópicos de interesse do usuário, baseado nos padrões de navegação das últimas três semanas do usuário, e servirá esse conteúdo de forma anonimizada aos anunciantes. Os usuários poderão revisar e remover tópicos de suas listas e também desativar a API dos tópicos completamente.

O modelo de Privacy Sandbox já está sendo testado pelo Google junto a algumas companhias do segmento de publicidade digital e funcionando no navegador de alguns usuários. A RTB House, que utiliza campanhas de marketing baseadas em deep learning, é uma delas e já está trabalhando junto ao Google na migração há cerca de dois anos.

Para André Dylewski, diretor de desenvolvimento de negócios da empresa para a América Latina, o mundo sem cookies é uma “mudança de paradigma” para empresas do setor. “A gente passará a ver grupos de interesse, não perfis individuais. Passamos da segmentação de um para uma, para a de grupos de usuários”, explica ao IT Forum. “Tudo que funciona hoje não necessariamente vai funcionar amanhã. Os provedores vão precisar se adaptar a um modelo mais complexo de tomada de decisão.”

Além do modelo do Google, outras abordagens existem no mercado como alternativa ao fim dos cookies terceiros. Uma delas é o chamado modelo ‘Contextual’. Essa abordagem foca na coleta de dados contextuais sobre o comportamento do usuário em um determinado momento, em vez de rastrear seu histórico de navegação ao longo do tempo. Isso pode incluir informações sobre a página atual, a categoria de conteúdo ou o local onde o usuário está acessando. Os anúncios são exibidos.com base nessas informações. O modelo é considerado mais simples e barato de implementar, mas tende a oferecer retornos menores.

O modelo ‘Determinístico’ é outra das alternativas. A estratégia foca na coleta de dados de usuários que estão autenticados em um portal, via, por exemplo, um login social ou paywall. Com isso, a coleta de informações é primária, ou seja, diretamente vinculada a um perfil do usuário dentro do portal -, o que permite campanhas mais direcionadas. LiveRamp, empresa de Saas que oferece uma plataforma de conectividade de dados, é uma das organizações que está trabalhando com o modelo ‘Determinístico’ no Brasil.

Gabriel Mazzutti, chefe de Endereçabilidade da LiveRamp, vê o mercado brasileiro com bons olhos – e em um movimento que se aproxima do que estava acontecendo nos Estados Unidos há dois anos. “As grandes empresas brasileiras estão se movimentando. Isso é um bom sinal”, diz o executivo sobre a preparação das empresas nacionais para o mundo sem cookies. “Mas as médias e pequenas empresas estão deixando as coisas para última hora. Falta um pouco de urgência antes da urgência. Quando a vi rada acontecer, e elas sentem a queda na receita, vão começar a correr atrás, mas não vão ter tempo de testar as diferentes soluções.”

Santi Darmandrail, COO da empresa de dados Retargetly, também está preocupado com o tema. Na sua perspectiva, a discussão sobre o fim dos cookies de terceiros ainda está muito “conceitual” nas empresas, e faltam ações efetivas.

Ele compara o fenômeno à reação das pessoas ao aquecimento global: enquanto alguém que vive no litoral vê os impactos das mudanças climáticas já acontecendo, pessoas que estão mais distantes podem não levar o assunto tão a sério. O mesmo vale para empresas que lidam diretamente com cookies e aquelas que não. “Ainda há um longo caminho pela frente, e é preciso foco para entender o que vai acontecer. Se isso não estiver na agenda, nada vai acontecer.”

Gabriel Mazzutti, chefe de Endereçabilidade da LiveRamp

Essas transformações, é claro, se refletirão diretamente na atuação de líderes de tecnologia em especial aqueles cujas empresas têm um grande componente de negócios digital. “Como os bancos de dados registraram informações sobre a estrutura das transações on-line, sobre o tráfego? Leva tempo para entender essas noναs estruturas e avaliar se você precisa de mudanças ou não. Vale a pena investigar.”

Darmandrail também alerta para áreas além da publicidade digital que podem ser impactadas pelo fim dos cookies de terceiros dos serviços disponíveis no mercado para a otimização ou personalização de páginas para os usuários, por exemplo, assim como serviços para validação de pagamentos e prevenção de fraude, dependem destes tipos de cookie, lembra o executivo da Retargetly.

“Tenha você construído um serviço dentro de casa ou esteja usando um fornecedor, entender o impacto que a remoção dessa peça terá é importante”, afirma. “Potencialmente criar serviços que são independentes de cookies de terceiros ou que não dependem de serviços que dependem de cookies de terceiros. Isso é muito importante”.