Voltar aos artigos
Analytics
Analytics RGPD Comparação Google Analytics

Google Analytics e RGPD: legal em Portugal e na Europa em 2026?

5 de novembro de 2025 10 min de leitura DPLIANCE

A questão da legalidade do Google Analytics à luz do RGPD é um folhetim jurídico que dura desde 2020. Seis anos depois, a resposta continua a não ser simples. E é precisamente isso que deveria preocupá-lo.

O Google Analytics equipa ainda mais de 330 000 sites em França e cerca de 55% dos sites web no mundo. É a ferramenta de analytics mais utilizada do planeta. Mas ser popular nunca significou estar em conformidade.

Na DPLIANCE, acreditamos que uma empresa não deveria ter de lidar com incertezas jurídicas para compreender a sua audiência. A privacidade dos utilizadores não é uma variável de ajustamento.

Eis o estado da situação completo, factual e sem rodeios.

Cronologia: de Schrems II às decisões de 2025

Julho de 2020: o acórdão Schrems II dinamita as transferências UE-EUA

A 16 de julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) profere o acórdão “Schrems II” (processo C-311/18). Invalida o Privacy Shield, o acordo que enquadrava as transferências de dados pessoais entre a UE e os Estados Unidos. Motivo: as leis americanas de vigilância (FISA Section 702, Executive Order 12333) não garantem um nível de proteção equivalente ao RGPD.

Consequência imediata: qualquer transferência de dados pessoais para os Estados Unidos sem garantias suplementares torna-se ilegal. Ora, o Google Analytics transfere sistematicamente dados para os servidores da Google nos Estados Unidos.

Agosto de 2020: a NOYB apresenta 101 queixas

Na sequência de Schrems II, a associação NOYB (None Of Your Business), fundada por Max Schrems, apresenta 101 queixas junto das autoridades de proteção de dados de toda a Europa. As queixas visam sites que utilizam Google Analytics e Facebook Connect, que transferem dados para os Estados Unidos.

O Comité Europeu para a Proteção de Dados (EDPB) cria em setembro de 2020 uma task force para coordenar as respostas das diferentes autoridades nacionais.

Janeiro de 2022: a Áustria abre caminho

A 13 de janeiro de 2022, a autoridade austríaca de proteção de dados (DSB) é a primeira a decidir: a utilização do Google Analytics viola o RGPD em razão das transferências de dados para os Estados Unidos. As medidas suplementares implementadas pela Google (encriptação, cláusulas contratuais) são consideradas insuficientes.

Fevereiro-março de 2022: a CNIL segue

A 10 de fevereiro de 2022, a CNIL (autoridade francesa de proteção de dados) publica a sua decisão: a utilização do Google Analytics, nas condições da época, não está em conformidade com o RGPD. A CNIL intima um gestor de site comercial francês a cessar a utilização do Google Analytics num prazo de um mês. A 2 de março de 2022, seguem-se mais duas intimações.

A CNIL é explícita: as transferências de dados pessoais para os Estados Unidos via Google Analytics são ilegais. As medidas de proteção implementadas pela Google não são suficientes para impedir o acesso dos serviços de informações americanos aos dados dos cidadãos europeus, através do Cloud Act e do Foreign Intelligence Surveillance Act (FISA).

A CNIL propõe uma solução operacional: a utilização de um servidor proxy corretamente configurado para anonimizar os dados antes de qualquer transferência. Mas reconhece que esta implementação “pode revelar-se dispendiosa e complexa” e “nem sempre permite responder às necessidades operacionais”.

2022: a Itália confirma

O Garante italiano (autoridade italiana) profere uma decisão semelhante ao longo de 2022, confirmando a ilegalidade do Google Analytics pelas mesmas razões.

Três das maiores autoridades de proteção de dados da Europa (Áustria, França, Itália) estão agora alinhadas.

Julho de 2023: o Data Privacy Framework muda as regras do jogo

A 10 de julho de 2023, a Comissão Europeia adota uma decisão de adequação para o EU-US Data Privacy Framework (DPF). Este novo quadro, negociado entre a UE e os Estados Unidos, autoriza novamente as transferências de dados pessoais para as empresas americanas certificadas.

A Google está certificada ao abrigo do DPF. As transferências de dados via Google Analytics tornam-se, portanto, novamente legalmente possíveis.

Na sequência desta decisão, a CNIL (autoridade francesa de proteção de dados) atualiza a sua posição: as transferências para os Estados Unidos são doravante autorizadas no âmbito do DPF.

Setembro de 2025: o DPF resiste, mas por quanto tempo?

A 3 de setembro de 2025, o Tribunal Geral da União Europeia rejeita o recurso de anulação do DPF interposto pelo deputado francês Philippe Latombe, que é igualmente membro do colégio da CNIL. O DPF é, portanto, ainda válido.

Mas esta vitória jurídica é frágil. O Tribunal Geral sublinha que a sua decisão “não preclude futuros recursos baseados em argumentos diferentes, circunstâncias ou factos novos”. Philippe Latombe tinha até 3 de novembro de 2025 para recorrer para o TJUE.

Em paralelo, a NOYB vigia de perto as evoluções americanas: as ordens executivas da administração Trump e a substituição de responsáveis de agências independentes poderiam fragilizar as garantias nas quais se baseia o DPF. Um “Schrems III” não está excluído.

Estado da situação em março de 2026

O que é autorizado

  • Utilizar o Google Analytics 4 (GA4) com o Consent Mode se os utilizadores derem o seu consentimento explícito
  • Transferir dados para a Google nos Estados Unidos no âmbito do Data Privacy Framework (enquanto for válido)

O que é obrigatório

  • Obter o consentimento explícito dos utilizadores antes de depositar os cookies do GA4 (nenhuma autoridade europeia concedeu isenção de consentimento ao Google Analytics)
  • Informar os utilizadores da transferência de dados para os Estados Unidos
  • Documentar a base legal do tratamento no seu registo de tratamentos
  • Respeitar as orientações das autoridades de proteção de dados sobre cookies e rastreadores (consentimento positivo, possibilidade de recusa tão simples como a aceitação)

O que permanece arriscado

  • A perenidade do DPF: os seus dois predecessores (Safe Harbor e Privacy Shield) foram invalidados pelo TJUE. O DPF baseia-se em ordens executivas americanas que podem ser modificadas unilateralmente.
  • O consentimento real: na Europa, conforme os setores, 30 a 70% dos visitantes recusam os cookies. Utilizar o GA4 com consentimento significa aceitar ver apenas uma fração da sua audiência.
  • A coima em caso de não conformidade: as autoridades não hesitam em sancionar. Em 2025, o total das coimas aplicadas pela CNIL (autoridade francesa de proteção de dados) ascendeu a 487 milhões de euros, dos quais 475 milhões para a Google e a Shein.

A Google lançou o Consent Mode para permitir que os sites utilizem o GA4 mesmo quando os utilizadores recusam os cookies. O princípio: quando o consentimento é recusado, o GA4 envia “pings” sem cookie, e a Google utiliza modelização estatística para preencher as lacunas.

O problema? Vários:

  1. Dados continuam a ser enviados à Google, mesmo sem consentimento. A natureza exata destes dados e o que a Google faz com eles permanecem opacos.
  2. A modelização estatística não é medição. Os números apresentados são estimativas, não factos.
  3. A conformidade do Consent Mode não foi validada pela CNIL (autoridade francesa de proteção de dados) nem por qualquer outra autoridade de proteção de dados na Europa, incluindo a CNPD portuguesa.
  4. Os dados transitam sempre pelos servidores da Google nos Estados Unidos, o que implica uma dependência do DPF.

O custo oculto do Google Analytics

O Google Analytics é “gratuito”, mas o que é gratuito tem sempre um custo.

Custo em conformidade

  • Implementação e manutenção de um banner de cookies conforme (CMP)
  • Documentação jurídica (registo de tratamentos, avaliação de impacto)
  • Vigilância jurídica permanente sobre o estatuto do DPF
  • Risco de coima em caso de não conformidade

Custo em dados perdidos

  • 30 a 70% da sua audiência recusa os cookies
  • Os bloqueadores de publicidade bloqueiam o script GA4
  • Só vê uma fração do seu tráfego real

Custo em dependência

  • Os seus dados estão na Google. Não tem controlo total sobre eles.
  • A Google pode modificar o GA4, alterar as suas condições de utilização ou descontinuar funcionalidades a qualquer momento (como fez com o Universal Analytics em julho de 2023).
  • Os seus dados alimentam o ecossistema publicitário da Google, quer queira quer não.

As alternativas conformes

Face a estes riscos, numerosas empresas europeias já migraram para alternativas conformes ao RGPD.

Mirage Analytics

O Mirage Analytics é a ferramenta de analytics web editada pela DPLIANCE. Sem cookie de terceiros, sem rastreador persistente, alojado em França na Scaleway. Integra analytics, session replay, heatmaps e error monitoring numa única solução. Nenhuma transferência de dados para fora da União Europeia. A partir de 19 EUR s/IVA/mês.

Outras alternativas

  • Matomo: open source, auto-alojável, elegível para a isenção de consentimento. Gratuito em auto-alojamento, a partir de 22 EUR/mês em Cloud.
  • Plausible: open source, minimalista, sem cookie. A partir de 9 EUR/mês.
  • Fathom: simples, sem cookie. A partir de 15 $/mês.

Para um comparativo completo, consulte o nosso guia das alternativas ao Google Analytics.

O que recomendamos

Não somos juristas, e este artigo não constitui um parecer jurídico. Mas eis a nossa leitura da situação:

  1. Se lança um novo site em 2026, não escolha o Google Analytics por defeito. Avalie as alternativas conformes desde o início.
  2. Se já utiliza o GA4, assegure-se de que o seu banner de cookies está em conformidade (consentimento explícito, recusa tão simples como a aceitação), documente a sua base legal e vigie a evolução do DPF.
  3. Se quer certeza jurídica, privilegie uma ferramenta alojada na Europa, sem transferência de dados para fora da UE, compatível com a isenção de consentimento.
  4. Se quer dados completos, uma ferramenta sem cookie que meça 100% da sua audiência será mais fiável do que um GA4 que só vê os 30 a 70% que aceitaram os cookies.

FAQ

O Google Analytics 4 é diferente do Universal Analytics para o RGPD?

O GA4 recolhe menos dados por defeito (sem endereço IP armazenado, por exemplo) e propõe o Consent Mode. Mas o problema fundamental permanece o mesmo: os dados transitam pelos servidores da Google nos Estados Unidos, e a ferramenta necessita do consentimento do utilizador para depositar cookies. O GA4 nunca beneficiou de uma isenção de consentimento por parte de qualquer autoridade europeia.

O Data Privacy Framework pode ser invalidado?

Sim. Os seus dois predecessores foram (Safe Harbor em 2015 pelo acórdão Schrems I, Privacy Shield em 2020 por Schrems II). O DPF sobreviveu a um primeiro recurso em setembro de 2025, mas outras contestações são possíveis, nomeadamente se as garantias americanas forem enfraquecidas por alterações legislativas ou executivas.

Posso utilizar o Google Analytics com um proxy para estar em conformidade?

A CNIL (autoridade francesa de proteção de dados) mencionou esta possibilidade em 2022, mas com reservas importantes. O proxy deve anonimizar completamente os dados antes de qualquer transferência, o que é tecnicamente complexo e pode tornar os dados inutilizáveis para análise. Na prática, poucas empresas implementaram esta solução com sucesso.

Qual é a coima máxima por não conformidade com o RGPD?

O RGPD prevê coimas que podem ir até 20 milhões de euros ou 4% do volume de negócios anual mundial, sendo retido o montante mais elevado. A CNIL (autoridade francesa de proteção de dados) demonstrou a sua capacidade de sancionar pesadamente: 325 milhões de euros para a Google em setembro de 2025. Em Portugal, a CNPD também tem competência para aplicar coimas nos mesmos termos do RGPD.

Como migrar do Google Analytics para uma alternativa?

A migração técnica é geralmente simples: adiciona o script da nova ferramenta ao seu site e remove o do GA4. A importação de dados históricos não é possível (os formatos são incompatíveis), mas pode executar as duas ferramentas em paralelo durante 1 a 3 meses para comparar os dados.

Fontes: TJUE, acórdão Schrems II, 16 de julho de 2020, processo C-311/18; CNIL (autoridade francesa de proteção de dados), intimação Google Analytics, 10 de fevereiro de 2022 (cnil.fr); CNIL, intimação de 2 de março de 2022; Comissão Europeia, decisão de adequação DPF, 10 de julho de 2023; Tribunal Geral da UE, acórdão de 3 de setembro de 2025 (processo Latombe); CNIL, sanção Google 325 M EUR, 1 de setembro de 2025; NOYB, acompanhamento das 101 queixas (noyb.eu); Le Monde Informatique, “La Cnil met en demeure plusieurs sites sur l’usage de Google Analytics” (2022).

Quer analytics fiáveis sem incerteza jurídica? Descubra o Mirage Analytics: analytics web sem cookie, alojado em França, session replay e heatmaps integrados. A partir de 19 EUR s/IVA/mês.

Escreva-nos

contact@dpliance.com
Fale conosco