O Consent Mode v2 deixou de ser opcional em 06/03/2024. Desde essa data, o tráfego da UE e do EEE para os produtos de publicidade do Google precisou passar dois novos sinais — ad_user_data e ad_personalization — juntamente com os originais ad_storage e analytics_storage. A mudança foi impulsionada não pelo GDPR, mas pela Lei de Mercados Digitais (Regulamento (UE) 2022/1925), e especificamente pelo Art. 5(2) do DMA, que proíbe gatekeepers designados de combinar ou cruzar dados pessoais entre serviços sem consentimento explícito.
Para um encurtador de URL, isso intersecta o plano de dados de redirecionamento de formas complexas. Um link curto é o que o usuário clicou; o estado de consentimento na landing page decide se o clique pode ser atribuído. Esses dois eventos acontecem em domínios diferentes, em repositórios de cookies diferentes, frequentemente em sessões diferentes. A lacuna entre eles é onde reside a maior parte da perda de atribuição atualmente.
Este post é a leitura de um consultor de conformidade sobre o que mudou, o que os quatro sinais realmente significam para um serviço de redirecionamento, onde a recuperação server-side é legal sob a orientação atual do EDPB e onde não é. A maior parte do trabalho de engenharia para rastreamento server-side via redirecionamentos é aceitável sob o GDPR; parte dele não é aceitável sob o DMA.
O DMA, em um parágrafo#
A Lei de Mercados Digitais tornou-se aplicável em 07/03/2024. Ela designa "gatekeepers" — Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking — e impõe obrigações ex ante a eles. O Art. 5(2) do DMA é o que importa para o rastreamento: um gatekeeper não deve processar dados pessoais de usuários finais de serviços de terceiros para publicidade online, nem combinar dados pessoais entre seus serviços, sem consentimento.
O Consent Mode v2 é o mecanismo de conformidade do Google para o Art. 5(2). Os dois novos sinais — ad_user_data e ad_personalization — permitem que o gatekeeper observe se o publicador obteve consentimento de nível Art. 5(2) antes que a telemetria de cliques seja usada para publicidade ou personalização. Sem esses sinais definidos como granted, os produtos de publicidade do Google recorrem a conversões agregadas ou modeladas sem atribuição por usuário.
O DMA não substitui o GDPR. Ele se sobrepõe a ele. Um controlador ainda precisa de uma base legal do Art. 6 sob o GDPR; o Consent Mode v2 adiciona um segundo portão que se fecha para dados de publicidade roteados por gatekeepers, mesmo quando o portão do GDPR está aberto.
Os quatro sinais, em termos simples#
O Consent Mode v2 envia quatro sinais booleanos. Cada um pode ser granted ou denied. Os padrões podem ser definidos por região.
ad_storage — o sinal original da v1. Controla se cookies ou outros armazenamentos são gravados para publicidade. Quando denied, as tags do Google são acionadas sem identificadores; a medição de conversão degrada para agregados modelados sem cookies. O redirecionamento decide quais UTMs e identificadores de clique chegam à página, e estes se tornam as chaves às quais o consentimento se anexa. A documentação de consentimento da tag-platform é a referência canônica para o que cada sinal faz downstream.
ad_user_data — novo na v2. Controla se os dados do usuário podem ser enviados ao Google para publicidade. Este é o sinal do Art. 5(2) do DMA. Quando denied, a tag não pode transmitir dados do usuário — incluindo identificadores com hash, IP, user-agent — para o Google Ads. O rastreamento server-side não ignora isso; o sinal viaja com o evento.
ad_personalization — também novo. Controla se os dados transmitidos podem ser usados para publicidade personalizada, incluindo remarketing. Uma configuração comum é ad_user_data=granted mais ad_personalization=denied, o que permite a atribuição, mas bloqueia o remarketing.
analytics_storage — controla se o armazenamento é gravado para analytics. A tag do GA4 respeita isso; quando denied, o GA4 opera sem cookies e usa modelagem de consent mode para reconstruir a atribuição em nível agregado. A modelagem precisa de um volume mínimo de tráfego e um período de aprendizado de 7 dias.
Nenhum dos quatro sinais é decidido no encurtador. O encurtador emite o clique; a landing page lê os sinais; a tag na landing page decide o que fazer com eles. O trabalho do encurtador é entregar um estado limpo — UTMs preservadas, identificador de clique preservado, redirecionamento rápido — para que o banner possa ser resolvido antes que a tag seja acionada.
O que dá errado no plano de dados de redirecionamento#
Três modos de falha aparecem em todo encurtador que leva o caminho de redirecionamento a sério.
O identificador de clique sobrevive, mas o sinal de consentimento não. Um clique de anúncio da Meta atinge s.elido.me/abc123?fbclid=… e redireciona para https://customer.example/landing?fbclid=…. O fbclid é preservado. A página carrega, o banner aparece, o usuário nega. O Meta CAPI já recebeu um clique vinculado àquele fbclid — mas o usuário agora negou o uso publicitário. O encurtador não fez nada de errado; o controlador tem um problema de deduplicação de CAPI para resolver em seu endpoint.
O encurtador anexa identificadores que a landing page não entende. Alguns encurtadores (o bitly_session da Bitly, o _branch_match_id da Rebrandly) anexam parâmetros específicos do fornecedor que precisam de remoção ou tratamento especial sob consentimento negado. A Elido encaminha apenas UTMs e o próprio identificador de clique do cliente.
O estado de consentimento da landing page é desconhecido do ponto de vista do redirecionamento. O encurtador não pode ver um banner que ainda não carregou. Decisões de fallback server-side não podem ser condicionadas a um estado de consentimento que ainda não existe. O único padrão honesto: não acionar nenhum evento server-side de finalidade publicitária no momento do redirecionamento; deixar o banner ser resolvido, então deixar a página ou seu proxy ser acionado com o estado de consentimento anexado.
Fornecedores que acionam eventos de Measurement Protocol ou CAPI diretamente da borda (edge) estão apostando que o usuário concederá o consentimento. Sob o Art. 5(2) do DMA, essa aposta não cabe a eles. As Diretrizes 02/2023 do EDPB sobre o escopo técnico do Artigo 5(3) da ePrivacy pontuaram algo semelhante sobre a injeção de identificadores pré-consentimento: é processamento, precisa de uma base, e a ausência de um banner não é uma base.
Mitigações server-side que são legais#
As mitigações abaixo são as que se sustentam tanto sob o GDPR quanto sob o DMA. Elas compartilham um fio condutor: o estado de consentimento deve ser observado antes que qualquer dado seja transmitido a um gatekeeper ou usado para publicidade.
Measurement Protocol com estado de consentimento anexado. O Measurement Protocol do GA4 aceita os mesmos parâmetros de consent que o cliente gtag. O padrão: a landing page resolve o banner, envia o estado de consentimento para o servidor primário (first-party) do cliente, e o servidor primário encaminha uma requisição mp/collect para o GA4 com consent.ad_user_data e consent.ad_personalization definidos. Server-side, mas downstream da resolução do consentimento. O encaminhador da Elido (coberto em rastreamento server-side do GA4 via redirecionamentos) aplica o estado de consentimento ao payload de saída.
Conversion API com strings de consentimento. O Meta CAPI aceita data_processing_options e opt_out; a Conversions API do LinkedIn aceita enlli; a Events API do TikTok aceita limited_data_use. Todas elas sinalizam o estado de consentimento para a plataforma. O padrão é idêntico: a landing page resolve, envia para o servidor primário, o servidor primário dispara com o estado de consentimento anexado.
Relatórios server-side agregados. Onde o estado de consentimento nega o uso publicitário ou analítico, os relatórios server-side que são genuinamente agregados e carecem de identificadores por usuário são geralmente aceitáveis sob o Art. 5(2) do DMA e sob o Art. 6 do GDPR com base no interesse legítimo. As Diretrizes 04/2023 do EDPB sobre anonimização reiteram que dados pseudonimizados não são anônimos e que o k-anonimato baixo ainda reidentifica. A prática conservadora é publicar contagens no nível do workspace com um limite ≥10.
Resolução de identificador first-party na landing page. A abordagem mais resiliente é identificar o usuário via um sinal do Art. 6(1)(b) do GDPR — ele fez login, preencheu um formulário, clicou em um link de e-mail confirmado — e atribuir retroativamente. Isso não depende de ad_storage ou ad_user_data. O post Atribuição de cliques após o Safari ITP cobre esse padrão; é a resposta certa para o mundo pós-DMA também.
Mitigações server-side que não são legais#
Três padrões aparecem em propostas de fornecedores de ferramentas e não deveriam.
Disparar eventos de CAPI da borda antes que o consentimento da landing page seja resolvido. Este é o modo de falha descrito acima. Não há estado de consentimento para anexar; disparar o evento implica que o controlador obteve consentimento, o que não ocorreu. Alguns fornecedores descrevem isso como "atribuição determinística"; sob o Art. 5(2) do DMA, é uma operação de combinação de dados que o usuário não autorizou.
Fazer o hash do IP e tratar o hash como anônimo. O EDPB tem sido claro desde o Parecer 4/2007 sobre o conceito de dados pessoais e reiterado nas Diretrizes 04/2023 que identificadores com hash continuam sendo dados pessoais quando o hash é reversível por qualquer pessoa com acesso à população. Hashes de IP são facilmente reversíveis em escala; o hash não altera o caráter jurídico do processamento.
Sincronização de identificadores server-side com gatekeepers. Encaminhar o evento de clique para o Google ou Meta com um e-mail ou número de telefone com hash, e confiar no gatekeeper para combiná-lo com seu próprio grafo de identificadores, é a operação que o Art. 5(2) do DMA restringe especificamente. A combinação é uma operação de dados entre serviços feita pelo gatekeeper. O consentimento para isso deve ser explícito e no nível do usuário. A presença do hash não torna a operação lícita; a ausência de consentimento torna-a ilícita.
Contexto recente do TJUE e do EDPB#
Duas movimentações recentes dos reguladores tornam o cenário mais nítido.
O julgamento do TJUE no Caso C-621/22 (Royal Lichtervelde, 2024) reiterou a análise de controladoria conjunta de Wirtschaftsakademie (C-210/16) e Fashion ID (C-40/17). Quando um publicador integra uma tag de terceiros e essa tag transmite dados do usuário para o terceiro, o publicador e o terceiro são controladores conjuntos para esse processamento. O Art. 26 do GDPR exige um acordo transparente entre eles. Para um cliente do Consent Mode v2, o acordo do Art. 26 com o Google precisa estar em vigor e o estado de consentimento deve fluir honestamente. Falsificar ad_user_data=granted para recuperar a atribuição é uma responsabilidade de controladoria conjunta para ambos os lados.
As Diretrizes 03/2024 do EDPB sobre sinais de consentimento em contextos publicitários (rascunho de consulta, final esperado para o 3º trimestre de 2026) abordam explicitamente o Consent Mode v2. O rascunho sustenta que o sinal ad_user_data é, sob o Art. 7(4) do GDPR, condicional ao consentimento livremente dado, e que banners que agrupam ad_storage com ad_user_data sem controles granulares falham no teste de liberdade do Art. 7. A maioria dos banners atuais os agrupa. O redesenho cabe ao cliente; o encurtador fornece um estado limpo, ele não projeta o banner.
Para o quadro mais amplo de impacto de transferência — consentimento concedido, mas os dados ainda saem da UE — o post Schrems II e pixels de rastreamento cobre o ângulo do TIA. O DMA não resolve esse problema; ele adiciona outra restrição.
O que a Elido faz (e o que não faz) na camada de redirecionamento#
A Elido é o operador (processor); o controlador decide a postura de consentimento e opera o banner. O plano de dados de redirecionamento faz o mínimo:
- Preserva UTMs e o próprio identificador de clique do cliente. Identificadores de publicidade específicos de fornecedores (
fbclid,gclid,msclkid,ttclid) são encaminhados por padrão porque são a superfície de atribuição do controlador; a desativação por workspace está disponível. - Não dispara nenhum evento publicitário server-side no momento do redirecionamento. O evento de clique interno gravado no ClickHouse tem o IP truncado para /24 ou /48 e apenas campos de dispositivo analisados, conforme o GDPR data minimisation. Ele não é compartilhado com terceiros.
- Suporta o encaminhamento de conversões server-side com reconhecimento de consentimento para GA4, Meta CAPI, LinkedIn, TikTok e Reddit, controlado pelo estado de consentimento que a landing page fornece. O encaminhador reside em
/features/conversion-tracking; a configuração está no guia de documentação de rastreamento de conversão. - Requer um payload de
consentda landing page quando o encaminhamento com reconhecimento de consentimento está ativado; na ausência do payload, o evento é descartado, não disparado silenciosamente com padrões.
O painel de analytics em /features/analytics mostra a divisão do estado de consentimento por campanha — concedido, negado, indefinido — para que a equipe de marketing possa ver quanta atribuição está sendo perdida por recusas.
O que a Elido não faz: implementar o banner, pré-decidir o consentimento ou honrar o consentimento concedido para usuários que não o concederam de fato. Essas decisões residem com o controlador, onde tanto o GDPR quanto o DMA as colocam.
A questão de aquisição/procurement#
Para um controlador avaliando um encurtador sob o Art. 5(2) do DMA, três perguntas.
O encurtador encaminha dados de clique para qualquer serviço de publicidade ou analytics de terceiros no momento do redirecionamento, independentemente do estado de consentimento da landing page? Se sim, isso é uma exposição ao Art. 5(2) do DMA a ser encerrada.
O encurtador suporta o encaminhamento do estado de consentimento para seus endpoints de conversão server-side? Se não, o controlador precisará de um proxy de rastreamento server-side separado (contêiner de servidor GTM, Stape, Snowplow) entre a landing page e as APIs dos gatekeepers.
A camada de analytics do encurtador compartilha dados agregados com terceiros? Alguns voltados para marketing publicam "benchmarks do setor" que acabam sendo dados de cliques de clientes com subgrafos identificáveis pelo formato do tráfego — qual é a análise de controladoria conjunta sob Wirtschaftsakademie e Fashion ID?
Um encurtador que hesita em qualquer uma dessas questões adiciona uma superfície de risco ao DMA que o controlador terá que defender em uma auditoria.
Conclusão#
O Consent Mode v2 não é uma iniciativa de marketing. É um mecanismo de conformidade para o Art. 5(2) do DMA que é distribuído através da plataforma de tags do Google. Os quatro sinais são honestos sobre qual consentimento foi obtido; as mitigações server-side funcionam quando o estado de consentimento viaja com o evento; a perda de atribuição em um mundo de consentimento negado é real, mas menor do que parece quando a resolução de identificadores first-party está em vigor. O encurtador entrega um estado limpo através do redirecionamento e expõe o encaminhamento com reconhecimento de consentimento que o controlador conecta ao seu banner.
A orientação esperada do EDPB para o 3º trimestre de 2026 elevará o nível de exigência. Projetar apenas para o nível atual é míope; projetar para o que o Art. 5(2) pretende — consentimento explícito, granular e livremente dado para combinação de dados entre serviços — é a posição que sobrevive à próxima rodada de fiscalização.
Leitura relacionada#
- GDPR para encurtadores de URL: o que o seu DPO realmente quer ver — a pedra angular para o cluster de conformidade.
- Atribuição de cliques após o Safari ITP — a história paralela de perda de atribuição no lado do navegador.
- Atribuição sem cookies explicada — padrões de identificadores first-party que sobrevivem ao consentimento negado.
- Rastreamento server-side do GA4 via redirecionamentos — o formato de Measurement Protocol sobre o qual o encaminhamento de consentimento se baseia.
- Schrems II e pixels de rastreamento — o que acontece com os dados consentidos após cruzarem o Atlântico.
- Superfície do produto:
/features/analyticspara a visão detalhada do estado de consentimento. - Passo a passo operacional: o guia de documentação de rastreamento de conversão para a configuração do encaminhador com reconhecimento de consentimento.