Um estudo da portuguesa Datatekin alerta para falhas de execução de privacidade digital em sites de banca de retalho em Portugal e Espanha, referindo que ‘cookies’ e ‘tags’ não essenciais continuam ativados mesmo quando o utilizador os rejeita.
O “Iberian Retail Banking — Digital Privacy Execution Study & Cyber Overlap (Q3 2025)”, da Datatekin, “alerta para discrepâncias técnicas que podem gerar risco de desalinhamento com obrigações de ‘ePrivacy’ [privacidade digital] e RGPD [Regulamento Geral sobre a Proteção de Dados], em sites de banca de retalho em Portugal e Espanha”.
O estudo analisa “a execução real de privacidade digital em sites de bancos e identifica um desfasamento entre o que é comunicado nas plataformas de consentimento, e políticas, e o que acontece, na prática, no ‘browser’ do utilizador, com potencial impacto direto na transparência, no controlo e no risco operacional”, lê-se no documento.
A análise foi feita em 15 sites de banca de retalho – nove em Portugal e seis em Espanha – e avaliou “15.000 páginas, 1.000 páginas aleatórias por site, com base na execução real do ‘browser’, monitorizando tráfego de rede, ‘cookies’ e ‘tags’ ativadas em diferentes cenários de consentimento”.
O presidente executivo (CEO) da Datatekin, Miguel Silva, sublinha, citado no comunicado, que “o problema não é o banner existir ou não existir”.
O problema é quando “o utilizador rejeita e, mesmo assim, serem observadas ativações técnicas de ‘tags’ classificadas como não essenciais. É aqui que a privacidade deixa de ser apenas uma política e passa a exigir prova técnica de execução”, aponta o CEO.
A principal conclusão do estudo aponta “para um padrão transversal observado na amostra analisada no cenário de rejeição de consentimento”.
No modo “Reject All” {Rejeitar Todos], “foram observados 825 ‘cookies’ únicos escritos no total, dos quais 59% foram classificados como não essenciais, de acordo com a classificação técnica e jurídica adotada no estudo, baseada no critério restritivo de ‘estritamente necessário’ da legislação de ePrivacy”.
Este dado “reforça a ideia central do relatório: a privacidade digital não se esgota em configurações declarativas, depende da capacidade de garantir que a decisão do utilizador é respeitada, de forma consistente, em toda a experiência digital”, lê-se no documento.
Também são identificadas “discrepâncias relevantes no cenário ‘Accept All’ [Aceitar Tudo], sugerindo que, mesmo quando existe consentimento, podem persistir lacunas ao nível da transparência operacional e do inventário de tecnologias em produção”.
No total, “foram observados 949 ‘cookies’ únicos, sendo que 53,4% não estavam listados em nenhuma categoria no CMP [plataforma de consentimento], o que poderá indiciar falhas de classificação, inventariação e controlo do ecossistema de ‘tags’ e ‘cookies'”.
“As ‘tags’ de terceiros são parte do produto digital. Quando não existe uma governação estrita e monitorização contínua, a organização perde visibilidade e controlo sobre que códigos estão a correr no seu próprio site. Isso é risco de privacidade e é também risco operacional”, adverte Miguel Silva.
O estudo apresenta o “cyber overlap” como a interceção entre privacidade e cibersegurança: “‘Tags’ e ‘scripts’ de terceiros são código executável que opera dentro do perímetro digital da organização e pode aceder a dados e comunicar com infraestruturas externas”, pelo que “sem inventário, monitorização e controlo contínuo, estas dependências aumentam o risco de exposição a incidentes e a falhas de resiliência operacional”.
O objetivo do estudo “é apoiar o setor na evolução da aplicação da privacidade digital como uma disciplina operacional contínua mais próxima das rotinas de cibersegurança e resiliência”, sendo que constitui “uma análise técnica setorial baseada em comportamento observável num momento específico no tempo, não configurando uma avaliação jurídica individual nem uma imputação de incumprimento a qualquer entidade”.
