Falhas na execução da privacidade digital em sites da banca de retalho

Um estudo da portuguesa Datatekin alerta para falhas na execução da privacidade digital em sites de banca de retalho em Portugal e Espanha, referindo que cookies e tags não essenciais continuam ativados mesmo quando o utilizador os rejeita.

O “Iberian Retail Banking – Digital Privacy Execution Study & Cyber Overlap (Q3 2025)”, da Datatekin, “alerta para discrepâncias técnicas que podem gerar risco de desalinhamento com obrigações de ePrivacy [privacidade digital] e RGPD [Regulamento Geral sobre a Proteção de Dados] em sites de banca de retalho em Portugal e Espanha”.

O estudo analisa “a execução real da privacidade digital em sites de bancos e identifica um desfasamento entre o que é comunicado nas plataformas e políticas de consentimento e o que acontece, na prática, no browser do utilizador, com potencial impacto direto na transparência, no controlo e no risco operacional”, lê-se no documento.

A análise foi feita em 15 sites de banca de retalho — nove em Portugal e seis em Espanha — e avaliou “15.000 páginas, 1.000 páginas aleatórias por site, com base na execução real do browser, monitorizando tráfego de rede, cookies e tags ativadas em diferentes cenários de consentimento”.

O presidente executivo (CEO) da Datatekin, Miguel Silva, sublinha, citado no comunicado, que “o problema não é o banner existir ou não existir”.

“O problema é quando o utilizador rejeita e, mesmo assim, são observadas ativações técnicas de tags classificadas como não essenciais. É aqui que a privacidade deixa de ser apenas uma política e passa a exigir prova técnica de execução”, afirma o CEO.

A principal conclusão do estudo aponta “para um padrão transversal observado na amostra analisada no cenário de rejeição de consentimento”.

• Supervisão das criptomoedas vai sacrificar privacidade dos clientes bancários

No modo “Reject All” (Rejeitar todos), “foram observados 825 cookies únicos escritos no total, dos quais 59% foram classificados como não essenciais, de acordo com a classificação técnica e jurídica adotada no estudo, baseada no critério restritivo de ‘estritamente necessário’ da legislação de ePrivacy”.

Este dado “reforça a ideia central do relatório: a privacidade digital não se esgota em configurações declarativas; depende da capacidade de garantir que a decisão do utilizador é respeitada, de forma consistente, em toda a experiência digital”, lê-se no documento.

Também são identificadas “discrepâncias relevantes no cenário ‘Accept All’ (Aceitar tudo), sugerindo que, mesmo quando existe consentimento, podem persistir lacunas ao nível da transparência operacional e do inventário de tecnologias em produção”.

No total, “foram observados 949 cookies únicos, sendo que 53,4% não estavam listados em nenhuma categoria no CMP [plataforma de gestão de consentimento], o que poderá indiciar falhas de classificação, inventariação e controlo do ecossistema de tags e cookies”.

“As tags de terceiros são parte do produto digital. Quando não existe uma governação estrita e monitorização contínua, a organização perde visibilidade e controlo sobre que códigos estão a correr no seu próprio site. Isso é risco de privacidade e também risco operacional”, adverte Miguel Silva.

O estudo apresenta o conceito de “cyber overlap” como a interseção entre privacidade e cibersegurança: “tags e scripts de terceiros são código executável que opera dentro do perímetro digital da organização e pode aceder a dados e comunicar com infraestruturas externas”. Assim, “sem inventário, monitorização e controlo contínuos, estas dependências aumentam o risco de exposição a incidentes e a falhas de resiliência operacional”.

O objetivo do estudo “é apoiar o setor na evolução da aplicação da privacidade digital como uma disciplina operacional contínua, mais próxima das rotinas de cibersegurança e resiliência”. Trata-se, acrescenta o documento, de “uma análise técnica setorial baseada em comportamento observável num momento específico no tempo, não configurando uma avaliação jurídica individual nem uma imputação de incumprimento a qualquer entidade”.

Agência Lusa
Editado por Jornal PT50