O Google Analytics é a ferramenta de medição de audiência mais utilizada no mundo: mais de 28 milhões de sites integram-no em 2026. No entanto, desde que a CNIL francesa declarou o Google Analytics não conforme ao RGPD em fevereiro de 2022, a legalidade desta ferramenta tornou-se uma questão central para qualquer editor de sites web europeu. Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) tem-se alinhado com as posições europeias sobre transferências internacionais de dados, e a Lei n.º 58/2019, que assegura a execução do RGPD em Portugal, reforça estas obrigações. A introdução do Google Analytics 4 e a adoção do quadro EU-US Data Privacy Framework em julho de 2023 alteraram o panorama, mas os riscos não desapareceram. Se gere um site acessível a partir da UE, compreender estas questões é indispensável para evitar coimas até 20 milhões de euros.
Por que o Google Analytics cria problemas com o RGPD
O conflito entre o Google Analytics e o RGPD centra-se num ponto fundamental: a transferência de dados pessoais para os Estados Unidos. Quando um visitante navega num site que utiliza o Google Analytics, dados como o endereço IP, o identificador de cookie, a resolução de ecrã e o comportamento de navegação são recolhidos e enviados para os servidores da Google situados nos Estados Unidos.
O acórdão Schrems II e as suas consequências
Em julho de 2020, o Tribunal de Justiça da União Europeia invalidou o Privacy Shield, o mecanismo que autorizava as transferências de dados entre a UE e os EUA. Este acórdão, conhecido como Schrems II, criou um vazio jurídico para todos os serviços americanos que tratam dados de residentes europeus. O Google Analytics, que transfere sistematicamente dados para os servidores americanos da Google, foi diretamente afetado.
As decisões das autoridades europeias em 2022
Em fevereiro de 2022, a CNIL francesa notificou formalmente um gestor de site web pela utilização do Google Analytics na configuração padrão. A autoridade concluiu que as cláusulas contratuais tipo da Google não ofereciam garantias suficientes contra o acesso aos dados pelos serviços de informações americanos. As autoridades da Áustria, Itália e Dinamarca adotaram decisões semelhantes. Em Portugal, a CNPD tem reiterado que as transferências internacionais de dados devem cumprir as garantias do capítulo V do RGPD, conforme reforçado pela Lei n.º 58/2019.
O duplo problema dos cookies
Para além da transferência de dados, o Google Analytics deposita cookies de rastreamento no dispositivo do utilizador. Em conformidade com a Lei n.º 41/2004 (transpondo a Diretiva ePrivacy) e as orientações da CNPD, qualquer depósito de cookies não essenciais requer o consentimento prévio do utilizador. Um site que carrega o Google Analytics sem aguardar o consentimento comete uma dupla infração: violação das normas sobre cookies e transferência não autorizada de dados para os Estados Unidos.
O Data Privacy Framework: uma melhoria incerta
Em julho de 2023, a Comissão Europeia adotou o EU-US Data Privacy Framework (DPF), um novo quadro jurídico destinado a resolver o problema das transferências transatlânticas de dados. A Google foi certificada no âmbito do DPF, o que em teoria legaliza novamente as transferências para os seus servidores americanos. Contudo, este quadro assenta em compromissos das autoridades americanas, e impugnações jurídicas estão já em curso. A organização noyb anunciou a intenção de contestar o DPF perante o Tribunal de Justiça da UE, tal como fez com o Privacy Shield. Um eventual acórdão «Schrems III» poderia invalidar este quadro por sua vez. Em 2026, a incerteza jurídica persiste.
Google Analytics 4: é suficiente?
Desde julho de 2023, a Google retirou o Universal Analytics e substituiu-o pelo Google Analytics 4 (GA4). Esta nova versão traz melhorias significativas em matéria de proteção de dados.
Os progressos do GA4
O GA4 anonimiza os endereços IP por defeito, sem configuração adicional. Os períodos de retenção de dados são mais curtos (2 ou 14 meses em vez dos 26 meses padrão do Universal Analytics). O modelo de dados baseia-se em eventos em vez de sessões, e o GA4 oferece maior controlo sobre os dados recolhidos.
As limitações persistentes
Apesar destas melhorias, o GA4 continua a depositar cookies no dispositivo do utilizador, o que continua a exigir consentimento prévio conforme. Os dados continuam a ser tratados pela Google, uma empresa sujeita ao direito americano (Cloud Act, FISA Secção 702). O DPF poderá ser invalidado, o que recolocaria o GA4 na mesma situação do seu predecessor. Além disso, mesmo com consentimento, os dados transmitidos à Google alimentam um ecossistema publicitário fora do controlo do utilizador.
Posição atual das autoridades
Em 2026, o GA4 é considerado utilizável desde que se cumpram três requisitos cumulativos: obter o consentimento prévio do utilizador antes de qualquer depósito de cookie, configurar o GA4 de forma rigorosa (desativar os sinais do Google, reduzir a retenção, limitar a partilha de dados) e mencionar o GA4 na sua política de cookies. Esta tolerância assenta, porém, na validade do DPF, que permanece juridicamente frágil.
As alternativas conformes ao RGPD
Face aos riscos associados ao Google Analytics, várias alternativas permitem medir a audiência do seu site em plena conformidade com o RGPD.
Matomo (ex-Piwik)
O Matomo é a principal alternativa de código aberto ao Google Analytics. Oferece uma gama de funcionalidades comparável (relatórios de tráfego, conversões, mapas de calor) garantindo o controlo total dos dados. Alojado na Europa (auto-alojamento ou via Matomo Cloud na Alemanha), elimina o problema da transferência transatlântica. Sob determinadas condições de configuração (sem cruzamento de dados, duração de cookies limitada, recolha mínima), o Matomo pode ser utilizado sem recolher o consentimento prévio, ao abrigo da isenção reconhecida pela CNIL, cujo critério tem sido referenciado por outras autoridades europeias. A versão auto-alojada é gratuita; o Matomo Cloud começa nos 19 euros por mês.
Plausible Analytics
O Plausible é uma ferramenta leve e centrada na privacidade. Não deposita qualquer cookie, não recolhe dados pessoais e pesa menos de 1 KB (contra cerca de 45 KB do GA4). Como não utiliza cookies, nenhum banner de consentimento é necessário para a medição de audiência. Os dados são alojados na União Europeia. O preço começa em cerca de 9 euros por mês. A interface é deliberadamente minimalista, ideal para pequenas empresas que procuram métricas essenciais sem complexidade.
Fathom Analytics
O Fathom partilha a filosofia do Plausible: sem cookies, sem dados pessoais, conformidade com o RGPD por defeito. Oferece uma interface limpa, um script ultraligeiro e alojamento conforme. Distingue-se pela filtragem inteligente de tráfego de bots e pelos relatórios por e-mail. O preço começa em cerca de 14 dólares por mês.
AT Internet (Piano Analytics)
A AT Internet, agora Piano Analytics, é uma solução francesa de medição de audiência utilizada por numerosas administrações públicas e grandes empresas. A CNIL concedeu-lhe isenção de consentimento na configuração de medição de audiência. É a ferramenta de referência para organizações com requisitos de conformidade rigorosos. Os preços são disponibilizados sob orçamento, geralmente adaptados a sites com elevado tráfego.
Solução híbrida: o melhor dos dois mundos
Em 2026, numerosos sites adotam uma abordagem híbrida: uma ferramenta sem cookies (Plausible ou Matomo isento) para capturar as estatísticas de base de todos os visitantes, complementada pelo GA4 ativado apenas após o consentimento para os utilizadores que o aceitam. Esta estratégia permite obter dados de base sobre 100 % do tráfego, conservando as funcionalidades avançadas do GA4 para os visitantes que dão o seu consentimento.
Como configurar o GA4 de forma conforme
Se optar por manter o Google Analytics 4, uma configuração rigorosa é indispensável para limitar o risco jurídico.
Obter o consentimento antes de qualquer depósito de cookie. O script do GA4 só deve ser carregado após a aceitação explícita através de um banner de consentimento conforme. Ferramentas como o Cookiebot, Axeptio ou Osano permitem condicionar o carregamento de scripts ao consentimento.
Configurar o GA4 de forma restritiva. Na interface de administração do GA4: desativar os sinais do Google (Google Signals), reduzir o período de retenção de dados para 2 meses, desativar a recolha de dados publicitários granulares e ativar o modo de consentimento avançado (Consent Mode v2).
Documentar a conformidade. Mencionar o Google Analytics na política de cookies, precisando a finalidade (medição de audiência), os tipos de cookies depositados, a sua duração e as transferências de dados para os Estados Unidos no âmbito do DPF.
O impacto na sua política de cookies
A utilização do Google Analytics ou de qualquer alternativa tem um impacto direto na sua política de cookies. Este documento deve enumerar com precisão cada ferramenta de medição de audiência utilizada, os cookies que deposita (ou a sua ausência no caso do Plausible ou Fathom), os dados recolhidos e a sua finalidade, as eventuais transferências para fora da União Europeia e a base jurídica do tratamento (consentimento ou isenção).
Se utilizar uma abordagem híbrida, ambas as ferramentas devem ser documentadas separadamente. Para orientação sobre a redação de uma política de cookies completa e conforme, consulte o nosso guia sobre regras e sanções de cookies. Lembre-se de que uma política de cookies é um dos 4 documentos legais obrigatórios para qualquer site de comércio eletrónico. O incumprimento pode expor o seu site a coimas até 300 000 euros, como detalhado na nossa análise das maiores coimas RGPD.
Conclusão: que solução escolher em 2026?
A escolha da sua ferramenta de análise depende do seu perfil e das suas necessidades.
Pequena empresa ou startup com orçamento limitado: Plausible Analytics (a partir de 9 euros/mês) ou Matomo auto-alojado (gratuito) oferecem conformidade RGPD nativa sem exigência de consentimento para a medição de audiência. Estas ferramentas cobrem as necessidades essenciais de monitorização de tráfego.
Empresa de média dimensão com necessidades de marketing: Matomo Cloud (a partir de 19 euros/mês) ou Plausible, complementado pelo GA4 com consentimento prévio. A abordagem híbrida permite conservar as funcionalidades avançadas do Google, garantindo dados de base sobre a totalidade do tráfego.
Grande empresa ou organismo público: Piano Analytics (AT Internet) oferece uma solução francesa isenta pela CNIL, com um nível de detalhe e personalização adaptado a sites com elevado tráfego e requisitos de conformidade rigorosos.
Qualquer que seja a sua escolha, um ponto permanece inegociável: a sua política de cookies deve estar atualizada e refletir fielmente as ferramentas utilizadas. A conformidade analítica é inseparável da conformidade documental. Não deixe que uma ferramenta de medição de audiência comprometa a conformidade global do seu site.