Veille juridique

Pixels de rastreamento em e-mails: a CNIL esclarece o quadro legal

Alerta Jurídico nº 94 – Abril de 2026. 

 

Pixels de rastreamento em e-mails: a CNIL esclarece o quadro legal

Em 14 de abril, a CNIL (Comissão Nacional de Informática e Liberdades) publicou suas recomendações sobre pixels de rastreamento em e-mails. A recomendação é dirigida a todas as organizações privadas e públicas que utilizam pixels de rastreamento, bem como aos provedores de serviços técnicos que elas possam utilizar.

O pixel de rastreamento é, na prática, uma imagem, geralmente muito pequena, que será exibida no conteúdo do e-mail por meio de um hiperlink.

A inclusão do pixel constitui uma instrução dada ao terminal do usuário para enviar informações específicas (identificador do pixel, endereço IP, etc.) aos agentes que o depositaram.

O pixel permite que o remetente da mensagem veja se ela foi aberta ou não e ajuste sua comunicação de acordo, por exemplo, em relação à frequência de envio, ao conteúdo das mensagens ou à atualização da lista de potenciais clientes.

A CNIL lembra-nos que tal prática exige o consentimento prévio dos destinatários dos emails, nos termos do artigo 5.º da Diretiva ePrivacy, transposta para o artigo 82.º da Lei Francesa de Proteção de Dados.

No entanto, permite uma exceção para e-mails "transacionais" relacionados a um serviço solicitado pelo destinatário, por exemplo, para identificar destinatários que não abrem mais seus e-mails e removê-los das listas de distribuição.

A exceção também se aplica a e-mails referentes a alertas de conta, notificações relacionadas a eventos como o envio de um pacote, confirmações de pedidos e faturas de compra, lembretes e redefinições de senha, alertas de segurança e notificações de violação de dados, etc.

Com exceção dessas situações, para qualquer endereço coletado a partir de 14 de abril, data da recomendação da CNIL, o controlador de dados deve obter o consentimento prévio dos destinatários antes de integrar um pixel de rastreamento ao e-mail.

Esse consentimento poderia, por exemplo, ser obtido no momento da coleta do endereço ou por meio de um link incorporado em um e-mail sem pixel de rastreamento.

Para endereços coletados antes dessa data, os responsáveis devem informar claramente os destinatários, no prazo de três meses, para que estes possam apresentar objeções.

Esta publicação está gerando reações porque está forçando um grande número de funcionários a tomar medidas de conformidade rapidamente.

A autoridade supervisora é mais rigorosa ou mais leniente do que as suas congéneres europeias nesta matéria?

Agora parece ser um dos únicos que indica claramente em que contexto irá penalizar pixels de rastreamento.

No entanto, este tipo de tratamento de dados tem sido destacado há anos pelo Comité Europeu para a Proteção de Dados (CEPD) e, antes dele, pelo seu antecessor, o G29 (ver, em particular, as orientações WP118 e 2/2023).

A posição europeia também é mais rigorosa do que a da CNIL, uma vez que menciona uma proibição total de pixels de rastreamento na ausência de consentimento do destinatário da mensagem.

As contribuições recebidas durante a consulta pública sobre a proposta de recomendação parecem ter levado a CNIL a tentar agradar a todos: assim, evoluiu a sua posição para uma maior flexibilidade no que diz respeito aos emails relacionados com um serviço solicitado pelo destinatário.

No entanto, a implementação dessa posição provavelmente se mostrará complexa.

Seria bem-vindo um esclarecimento sobre o âmbito da isenção para melhor identificar os serviços que dela beneficiam, como newsletters ou outras subscrições contratadas pelos destinatários, para as quais ainda existem algumas dúvidas. A CNIL (Comissão Nacional de Informática e Liberdades da França) indica que prestará apoio aos responsáveis pelo tratamento de dados, principalmente através de webinars. Espera-se que as auditorias e a aplicação de sanções ocorram apenas numa fase posterior, embora a Comissão não esteja a fornecer mais detalhes neste momento.

 

A CNIL (Comissão Nacional de Informática e Liberdades da França) publicou um modelo de documento criado para auxiliar os Encarregados de Proteção de Dados (EPDs) na elaboração de relatórios sobre suas atividades. Embora tal relatório não seja obrigatório segundo o RGPD (Regulamento Geral de Proteção de Dados), a CNIL o considera uma prática recomendada útil para monitorar a conformidade e para a comunicação com os EPDs.

Em 28 de abril, a CNIL também aprovou o código de conduta apresentado pela Alliance du Commerce, destinado a fornecer assistência concreta aos varejistas franceses do setor de vestuário e calçados para que cumpram os requisitos do GDPR.

O guia tem como objetivo reforçar a proteção de dados nas vendas e na distribuição, tanto em lojas físicas quanto online.

Este é o primeiro código nacional e o terceiro código setorial aprovado pela CNIL (Comissão Nacional de Informática e Liberdades da França), seguindo os códigos europeus CISPE (2021), dedicado à computação em nuvem, e EUCROF (2024), relativo a ensaios clínicos na área da saúde. Cerca de quinze códigos foram implementados na Europa, acessíveis por meio deste infográfico.

Em seu decreto de 24 de abril de 2026, o governo optou por definir as modalidades técnicas do Arquivo Nacional de Contas Fraudulentas (FNC-RF), visando fortalecer o combate à fraude bancária, desconsiderando as recomendações da CNIL sobre segurança.

Este arquivo, compartilhado entre instituições financeiras através do Banco da França, contém os números IBAN de contas suspeitas de fraude.

A arquitetura aprovada pelo governo apresenta, segundo a CNIL, máxima exposição a riscos, por meio do compartilhamento de cópias integrais e sincronizadas de dados em texto simples com provedores de serviços de pagamento e seus subcontratados.

Em 17 de abril, a DGSI (Direção-Geral de Segurança Interna) publicou um comunicado alertando para os riscos associados ao uso de aplicativos e soluções estrangeiras no ambiente de trabalho. "Além da maior exposição a riscos de cibersegurança, essas ferramentas, muitas vezes desenvolvidas por empresas não europeias, podem representar riscos legais, de segurança, de confidencialidade, de dependência ou de interrupção de serviços."

A nota apresenta diversos casos que devem encorajar todos os usuários a serem cautelosos com as informações compartilhadas e o acesso concedido.

Em 30 de abril, o Conselho de Estado francês publicou sua decisão sobre o princípio da resposta gradual para o ARCOM, sucessor do Hadopi, e anulou diversos aspectos do decreto de 5 de março de 2010, sob a alegação de violação do direito à privacidade. O sistema visava combater a pirataria de músicas e filmes em redes P2P. Atendendo a uma petição de quatro grupos de defesa dos direitos digitais, o Conselho de Estado extraiu as conclusões necessárias da decisão do Tribunal de Justiça da União Europeia (TJUE) de 30 de abril de 2024, que especifica que a comparação repetida entre identidade e obras baixadas não pode ser realizada sem supervisão independente.

A decisão da Anthropic de não tornar público o Mythos, seu mais recente modelo de inteligência artificial (IA), devido aos riscos de segurança cibernética, gerou diversas reações.

O Mythos é de fato capaz de identificar vulnerabilidades em códigos de computador com muita eficácia.

Em nota publicada na quinta-feira, 23 de abril, o Conselho para Inteligência Artificial e Tecnologia Digital (CIANum) apela para que "não se ceda ao pânico generalizado" e faz diversas observações:

"Adotar a IA para alcançar a conformidade: os atores públicos e privados que não fizerem um esforço contínuo para entender e integrar esses novos usos ficarão rapidamente para trás."

Manter os humanos envolvidos em etapas-chave: embora a IA seja uma ajuda valiosa no desenvolvimento, correção e teste de software, eliminar completamente a experiência humana agora parece garantir o fracasso. 

Antecipar novas vulnerabilidades e implementar correções de acordo representa um desafio significativo, especialmente porque muitos jogadores já estão sobrecarregados.

O Comitê Nacional Consultivo de Ética em Ciências da Vida e Saúde (CCNE) e o Comitê Nacional Consultivo de Ética em Tecnologia Digital (CCNEN) publicaram, em 7 de abril, um parecer conjunto dedicado às neurotecnologias digitais e às interfaces cérebro-máquina.

O parecer enfatiza que o desenvolvimento dessas tecnologias "levanta importantes questões éticas, particularmente em termos de dignidade, autonomia, liberdade de pensamento, proteção da privacidade e equidade."

Questões específicas dizem respeito ao uso de dados neurais, aplicações não médicas, potenciais efeitos sobre a identidade e o comportamento, e a proteção de crianças e adolescentes.

Os comitês formulam um conjunto de recomendações que exigem especial atenção em relação aos usos das neurotecnologias digitais.

 

Instituições e órgãos europeus

Em 7 de maio, após uma tentativa inicial sem sucesso, os legisladores europeus chegaram a um acordo. Acordo sobre o "AI Omnibus", com o objetivo de alterar e simplificar a regulamentação europeia em matéria de IA.

As empresas terão até o final de 2027 para cumprir as regras relativas à IA de alto risco, enquanto os fornecedores de máquinas com inteligência artificial serão explicitamente isentos de certas obrigações.

Ao mesmo tempo, a Lei Omnibus introduz uma nova proibição relativa às práticas de IA relacionadas à geração de conteúdo sexual e íntimo não consensual ou pornografia infantil.

O processo formal de aprovação está em andamento, com o objetivo de publicar as alterações finais até agosto.

Num contexto em que um número crescente de países pretende limitar o acesso de menores às redes sociais, a Comissão Europeia adotou, em 29 de abril, uma recomendação que insta os Estados-Membros a acelerarem a implementação da aplicação europeia de verificação de idade e a disponibilizá-la até ao final do ano.

A Comissão desenvolveu um plano diretor para esta aplicação, que é apresentado como compatível com a privacidade e permite aos utilizadores comprovar que são maiores de idade sem revelar a sua idade exata, identidade ou quaisquer outras informações pessoais.

No entanto, um consultor de cibersegurança teria identificado falhas de segurança que poderiam comprometer o lançamento do aplicativo em todo o país.

Em 29 de abril, a Comissão Europeia concluiu, em caráter preliminar, que as plataformas Instagram e Facebook da Meta violavam o Regulamento de Serviços Digitais (RSD) por não identificarem, avaliarem e mitigarem diligentemente os riscos associados ao acesso aos seus serviços por menores de 13 anos.

Em sua reunião plenária de 22 de abril, o CEPD adotou diretrizes relativas ao tratamento de dados pessoais para fins de pesquisa científica.

O Comitê também criou um grupo de trabalho encarregado de acelerar a finalização das diretrizes sobre anonimização.

O órgão também adotou dois pareceres sobre dois conjuntos de critérios de certificação Europrivacy, com vistas à sua aprovação como selos europeus de proteção de dados, sendo que um deles se destina a servir como ferramenta para transferências.

Na sua sessão plenária anterior, o CEPD publicou outro documento importante: para facilitar a conformidade das organizações com o RGPD e reforçar a coerência em toda a Europa, desenvolveu um modelo para uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). Este documento está aberto a comentários até 9 de junho.

Em 21 de abril, o Tribunal de Justiça da União Europeia (TJUE) decidiu que, ao adotar uma lei que estigmatiza e marginaliza as pessoas LGBTI+, a Hungria violou o direito da União Europeia.

O Tribunal salienta ainda que o título da lei equipara estes indivíduos aos condenados por pedofilia, "uma assimilação que provavelmente aumentará a estigmatização dos primeiros e incentivará comportamentos de ódio contra eles".

Por fim, o Tribunal especifica que esta lei infringe o RGPD na medida em que alterou a lei sobre antecedentes criminais a fim de ampliar o acesso à informação relativa a pessoas condenadas por pedofilia.

Embora esse acesso possa ser lícito em certas circunstâncias, o Tribunal considera que "a lei não fornece uma definição suficientemente precisa nem das pessoas autorizadas a aceder aos dados, nem das condições de acesso necessárias para oferecer salvaguardas adequadas aos direitos e liberdades das pessoas cujos dados estão em causa".

 

Notícias dos países membros da União Europeia.

Na Bélgica, a autoridade de proteção de dados (APD) alertou duas pessoas para que garantam que suas câmeras de vigilância não filmem mais vias públicas.

A câmera havia sido instalada como medida dissuasora contra furos de pneus.

A APD concluiu que filmar a via pública era ilegal de acordo com a Lei de Câmeras de Vigilância e enfatizou que as imagens gravadas infringiam o direito à privacidade e o direito à proteção de dados do reclamante e de sua família devido ao processamento frequente de seus dados pessoais resultante da localização da câmera.

A Agência Espanhola de Proteção de Dados (APD) multou uma empresa de serviços de transporte em € 200.000 por obrigar seus funcionários a usar quatro aplicativos de rastreamento em seus telefones pessoais para fins de trabalho.

A APD também multou uma universidade em 160.000 euros por não obter o consentimento válido dos alunos para verificar sua identidade durante exames online por meio de um sistema que utiliza reconhecimento facial.

A Autoridade Italiana de Proteção de Dados (APD) aplicou uma multa de 6.624.000 euros à Poste Italiane SpA e de 5.877.000 euros à Postepay SpA pelo processamento ilegal de dados pessoais de milhões de usuários.

Os aplicativos BancoPosta e Postepay exigiam, como condição obrigatória para a utilização dos serviços, que os usuários concedessem autorização para monitorar um conjunto de dados contidos em dispositivos móveis, a fim de detectar qualquer software malicioso.

A APD constatou que o âmbito da vigilância era excessivo em relação aos objetivos de prevenção de fraudes e apontou ainda deficiências nas informações fornecidas aos usuários, a ausência de uma avaliação de impacto (AIIP), a falta de medidas de segurança adequadas e de uma política de retenção de dados, bem como irregularidades na designação do responsável pelo tratamento dos dados.

O Ministro holandês da Economia Digital e Soberania está trabalhando na criação de um "kit de emergência digital" para ajudar as administrações públicas e os cidadãos a lidarem por conta própria com um desastre digital, como uma interrupção nacional da internet.

O país ainda depende perigosamente de empresas de tecnologia americanas para sua infraestrutura essencial, desde hospedagem em nuvem até sistemas tributários.

O governo quer que os cidadãos sejam capazes de satisfazer as suas necessidades de forma independente durante 72 horas, sem internet, telefone e métodos de pagamento digitais.

O governo britânico confirmou em 23 de abril que os registros médicos de 500 mil participantes de um dos principais programas científicos do Reino Unido, o UK Biobank, foram colocados à venda online no site Alibaba. Embora as informações comprometidas não incluíssem nomes, endereços, dados de contato ou números de telefone, poderiam incluir sexo, idade, mês e ano de nascimento, situação socioeconômica, hábitos de vida e medidas de amostras biológicas. Não houve ataque cibernético, mas sim um download massivo de dados por uma organização devidamente credenciada. O banco de dados está, de fato, acessível a pesquisadores. A administração do Biobank afirmou que, desde o incidente, implementou medidas para limitar o tamanho dos arquivos baixados e monitorar exportações de arquivos suspeitos.

 

O governo britânico confirmou em 23 de abril que os registros médicos de 500 mil participantes de um dos principais programas científicos do Reino Unido, o UK Biobank, foram colocados à venda online no site Alibaba. Embora as informações comprometidas não incluam nomes, endereços, dados de contato ou números de telefone, podem conter informações como sexo, idade, mês e ano de nascimento, situação socioeconômica, hábitos de vida e medidas de amostras biológicas.

Não houve ciberataque, mas sim um download massivo de dados por uma organização devidamente credenciada. O banco de dados está, de fato, acessível aos pesquisadores.

A administração do biobanco indicou que, desde o incidente, implementou medidas para limitar o tamanho dos arquivos baixados e monitorar exportações de arquivos suspeitos.

Em 21 de abril, a Federação de Consumidores da América (CFA) entrou com uma ação coletiva contra a Meta, alegando que a empresa não estava protegendo seus usuários de anúncios fraudulentos no Facebook e Instagram, contrariando seus compromissos, e que estava lucrando com esses anúncios às custas de seus usuários.

A CFA busca indenização por danos, restituição de lucros ilícitos e medidas cautelares em benefício dos consumidores em Washington, D.C.

Uma dinâmica global em favor da soberania digital está emergindo, do Canadá à União Europeia e à costa do Pacífico, um tema central na recente Cúpula Mundial da IAPP 2026 em Washington, DC. "Durante diversos workshops, os participantes buscaram esclarecer e refinar o debate sobre soberania digital, além de oferecer suas perspectivas sobre como o atual contexto geopolítico moldará esse debate nos próximos anos."

O site 01.net detalha os projetos de IA mais recentes da Anthropic.

Em 14 de abril, a empresa publicou uma página dedicada à verificação de identidade para seu LLM Claude. Determinadas funcionalidades, ações de segurança ou "verificações de integridade da plataforma" agora acionam uma solicitação de documento de identidade oficial e uma selfie ao vivo.

Este anúncio surge apenas algumas semanas depois de um vazamento que indicava que a Anthropic detecta palavrões, insultos e expressões de frustração em mensagens, registrando-os como sinais de sentimento negativo do usuário. "Juntando isso à nova exigência de passaporte e selfie, o cenário é vertiginoso. A Anthropic sabe o que você está dizendo quando está reclamando."

No sábado, 19 de abril, a Palantir publicou no X um resumo de 22 pontos de "A República Tecnológica", uma espécie de credo geopolítico desta empresa cujo negócio principal é fornecer software de vigilância e análise de dados para exércitos, serviços de inteligência e agências de imigração ocidentais (incluindo a França).

Segundo este manifesto, a sobrevivência das democracias liberais depende agora do poder do software, o “desarmamento” da Alemanha e do Japão após 1945 foi um erro histórico, a era da dissuasão nuclear está chegando ao fim e uma nova dissuasão baseada em inteligência artificial deve substituí-la.

A pesquisadora Chiara Gallese relata uma vulnerabilidade relacionada a um agente de IA operado pela empresa Meta.

Supostamente, esse agente agiu sem instruções humanas, divulgando dados confidenciais da empresa e dos usuários a funcionários não autorizados.

A Meta classificou este incidente como "Sev 1", o segundo nível mais alto de gravidade em termos de segurança. O pesquisador destaca que, por um lado, alguns dos agentes de IA da Meta estão ignorando as instruções de supervisão humana, enquanto, ao mesmo tempo, a Meta está adquirindo plataformas que permitem que os agentes de IA se comuniquem entre si (Moltbook).

Os riscos persistirão enquanto a supervisão humana não se tornar um requisito arquitetônico estrito dos sistemas de IA com agentes: hoje, a verificação humana é tratada como uma preferência e não como uma restrição dos sistemas de IA autônomos.

A Diretoria de Sinais da Austrália (ACSC), juntamente com vários parceiros internacionais, incluindo a NSA, recomendou, em uma publicação de 1º de maio, uma adoção cautelosa de serviços de IA com agentes.

O documento enfatiza que, em infraestruturas críticas, a autonomia dos agentes aumenta os riscos de erros, escaladas imprevistas e comprometimento das cadeias de ação.

A principal recomendação é limitar a autonomia, registrar ações, controlar o acesso e definir salvaguardas antes de qualquer implementação operacional de IA ativa.

pt_PTPT