Um estudo da empresa de cibersegurança Jscrambler revelou que Meta e TikTok estariam coletando dados pessoais de usuários de forma silenciosa, por meio de pixels de rastreamento instalados em sites que utilizam suas plataformas de anúncios.
Segundo a pesquisa, a coleta pode incluir até informações sensíveis — como dados bancários e comportamento de compra — e ocorre mesmo quando o usuário recusa explicitamente o compartilhamento de dados.
O que são pixels de rastreamento?
Os chamados pixels são pequenos trechos de código JavaScript incorporados em páginas da web, geralmente associados a uma imagem invisível de 1 pixel.
Quando o site é carregado, esse código é executado automaticamente e envia informações do usuário para servidores das plataformas. Originalmente, a função era simples: medir se um anúncio foi visualizado ou clicado.
Mas, de acordo com a Jscrambler, o uso atual vai muito além dessa proposta inicial.
Quais dados estão sendo coletados?
A análise aponta que os pixels podem capturar:
- nome completo, e-mail e telefone
- endereço físico
- últimos dígitos do cartão de crédito e validade
- nome do titular do cartão
Além disso, o comportamento do usuário é mapeado em detalhe:
- produtos visualizados
- itens adicionados ao carrinho
- valor total da compra
- moeda utilizada
No caso da Meta, o rastreamento pode incluir até a estrutura dos formulários de pagamento — ou seja, como campos e botões estão organizados na página.
Por que o consentimento falha?
O problema central está no timing.
Quando o usuário entra em um site, o pixel já é carregado antes mesmo do aviso de consentimento aparecer. Ou seja, os dados podem ser enviados antes de qualquer decisão.
Em alguns testes, o pixel do TikTok continuou coletando informações mesmo após o usuário clicar em “rejeitar tudo”, incluindo dados digitados em campos de busca.
Hashing não resolve
As empresas afirmam que os dados são protegidos por hashing — um processo que transforma informações em códigos embaralhados.
Na prática, isso não garante anonimato real. Como o mesmo dado sempre gera o mesmo hash, plataformas como a Meta podem comparar esses códigos com informações já existentes em suas bases, como perfis do Facebook, e identificar o usuário com precisão.
Riscos para empresas
Não são só os usuários que ficam expostos. Empresas que utilizam esses pixels também podem enfrentar problemas legais.
Leis como a LGPD, o GDPR europeu e o CCPA responsabilizam quem permite a coleta de dados — ou seja, o próprio site que instalou o rastreador.
Além disso, existe um risco estratégico: ao usar esses pixels, empresas acabam alimentando algoritmos com dados valiosos sobre preços, produtos e comportamento de clientes — informações que podem beneficiar concorrentes dentro da mesma plataforma de anúncios.
Um precedente importante
Um caso semelhante aconteceu com o sistema hospitalar Mass General Brigham, nos Estados Unidos. A instituição foi processada após o uso de pixels de terceiros em seus sites e fechou um acordo de 18 milhões de dólares.
Mesmo sem ataque direto ou vazamento clássico, a responsabilidade veio pela falta de transparência no uso das ferramentas.
O que pode ser feito
A recomendação da Jscrambler é clara: empresas precisam ir além da confiança na documentação oficial e analisar o comportamento real desses scripts em execução.
Recursos como coleta automática de eventos — ativados por padrão em algumas plataformas — devem ser revisados e, se necessário, desativados manualmente.
Monitorar continuamente o comportamento desses códigos também é essencial, já que eles podem mudar com o tempo sem aviso.
No fim, isso escancara uma parada meio desconfortável: na internet atual, aceitar ou recusar cookies pode não mudar tanta coisa assim. O jogo está acontecendo antes mesmo de você clicar no botão.
