Estudo aponta para falhas de privacidade na banca de retalho em Portugal e Espanha

Um estudo da empresa portuguesa Datatekin identificou falhas na execução técnica de mecanismos de privacidade digital em sites de banca de retalho em Portugal e Espanha. O relatório conclui que cookies e tags não essenciais continuam a ser ativados mesmo quando os utilizadores selecionam a opção “Reject All” nos sistemas de gestão de consentimento.

O relatório Iberian Retail Banking – Digital Privacy Execution Study & Cyber Overlap (Q3 2025) analisa a implementação prática de políticas de privacidade digital em plataformas bancárias e aponta discrepâncias entre a informação apresentada nas plataformas de consentimento e o comportamento real observado no browser dos utilizadores.

Segundo a Datatekin, esse desfasamento pode gerar riscos de desalinhamento com as obrigações definidas pela legislação europeia de ePrivacy e pelo Regulamento Geral sobre a Proteção de Dados (RGPD).

A análise técnica avaliou 15 sites de banca de retalho, nove em Portugal e seis em Espanha, através da observação de 15 mil páginas, correspondentes a mil páginas aleatórias por cada site. O estudo monitorizou tráfego de rede, cookies e tags ativadas em diferentes cenários de consentimento com base na execução real no browser.

Miguel Silva, CEO da Datatekin, afirma que o principal problema não está na existência de banners de consentimento, mas na forma como as decisões dos utilizadores são tecnicamente executadas. Segundo o responsável, quando um utilizador rejeita o consentimento e continuam a ser ativadas tags classificadas como não essenciais, a privacidade deixa de ser apenas uma política declarativa e passa a exigir validação técnica da sua execução.

No cenário de rejeição total de consentimento (“Reject All”), o estudo identificou 825 cookies únicos escritos nos browsers durante os testes. Destes, 59% foram classificados como não essenciais segundo o critério restritivo de “estritamente necessário” definido pela legislação de ePrivacy.

O relatório conclui que este padrão foi observado de forma transversal na amostra analisada, o que sugere limitações na implementação técnica dos mecanismos de controlo de consentimento.

A análise também identificou inconsistências no cenário de aceitação total de cookies (“Accept All”). Nesse caso, foram observados 949 cookies únicos, dos quais 53,4% não estavam listados em qualquer categoria nas plataformas de gestão de consentimento (CMP – Consent Management Platform).

De acordo com o estudo, esta discrepância pode indicar falhas na classificação, inventariação e gestão de tecnologias de rastreamento utilizadas nos sites analisados.

A Datatekin aponta a complexidade das arquiteturas digitais como um dos fatores que contribuem para estas inconsistências. A dependência de múltiplos fornecedores e integrações técnicas, bem como a presença de scripts implementados fora de mecanismos centralizados de controlo, pode dificultar a aplicação consistente das preferências de consentimento.

Entre os testes realizados, o relatório indica que nenhum dos sites auditados apresentava a tag do CMP implementada em 100% das páginas analisadas. Esta lacuna pode gerar inconsistências na aplicação das regras de consentimento, dependendo da estrutura técnica do site.

O estudo introduz também o conceito de “cyber overlap”, que descreve a interseção entre privacidade digital e cibersegurança. Segundo a Datatekin, tags e scripts de terceiros são código executável que opera dentro do perímetro digital das organizações e pode aceder a dados ou comunicar com infraestruturas externas.

Miguel Silva refere que “quando não existe uma governação estrita e monitorização contínua, a organização perde visibilidade e controlo sobre que códigos estão a correr no seu próprio site. Isso é risco de privacidade e é também risco operacional”.

O relatório recomenda uma abordagem operacional à privacidade digital, baseada em governação centralizada de tags e fornecedores, redução de implementações fora dos mecanismos de controlo e monitorização automatizada para identificar alterações ou desvios.

Segundo a Datatekin, o objetivo é aproximar a gestão da privacidade digital das práticas de cibersegurança e resiliência operacional, assegurando que as decisões de consentimento dos utilizadores são aplicadas de forma consistente ao longo de toda a experiência digital.

A empresa sublinha que o estudo representa uma análise técnica setorial baseada em comportamento observado num momento específico e não constitui uma avaliação jurídica individual nem uma imputação de incumprimento a entidades específicas.