SteerAds
GuideOptimisationGoogle Ads

Privacidade e rastreamento PPC 2026

Guia regulatório comparativo para rastreamento do Google Ads em 5 regiões: Consent Mode v2 (UE), CCPA/CPRA (EUA), DPDP (Índia), PDPL (Arábia Saudita), LGPD (Brasil). O que muda por região, o que fazer, como são as multas.

Maria
MariaFundamentals & Education Lead
···16 min de leitura

O cenário regulatório de privacidade para o Google Ads agora está fragmentado em 5 grandes regimes, cada um com seu próprio modelo de consentimento, requisitos de tratamento de dados e penalidades. Um anunciante global que veicula anúncios nos EUA, Europa, GCC, Índia e Brasil deve navegar por RGPD + Consent Mode v2 (UE/EEE), CCPA/CPRA (EUA), DPDP (Índia), PDPL (Arábia Saudita) e LGPD (Brasil) — cinco frameworks que compartilham princípios, mas diferem na execução. Errar qualquer um deles acarreta multas, suspensões de conta e perda de capacidades (ex.: o Customer Match na UE exige Consent Mode v2).

Este guia é a referência regulatória comparativa para operações de PPC em 2026. Cobrimos o que cada regulamentação exige, quais são as implicações práticas para o Google Ads e a arquitetura universal de server-side + Consent Mode v2 que satisfaz os cinco frameworks com uma única configuração. Mais um roteiro de migração de 12 meses para anunciantes atualmente fora de conformidade.

Atualizado em 08/05/2026 para refletir o pós-fiscalização da DPDP, a maturidade pós-PDPL e o comportamento em estado estável do Consent Mode v2.

Por que a privacidade multirregião é prioridade em 2026

Três forças convergiram em 2024-2026 para tornar a conformidade de privacidade multirregião inegociável:

1. Fiscalização intensificada. As DPAs italiana, espanhola e francesa emitiram multas de vários milhões de euros em 2022-2024. O DPB da Índia estruturou a infraestrutura de fiscalização em 2024-2025. A SDAIA saudita expandiu sua equipe para fiscalização da PDPL. A ANPD brasileira aumentou as penalidades da LGPD.

2. Perda de capacidade por não conformidade. O Customer Match na UE exige Consent Mode v2 desde 2024. Sem a configuração de consentimento adequada, você literalmente não pode usar públicos de primeira parte. Outras restrições estão chegando para anunciantes não conformes globalmente.

3. Sites multirregionais são a norma. Uma empresa de SaaS com usuários nos EUA, UE, Índia e Brasil não pode gerenciar sites separados por região — mas o regime regulatório de cada região se aplica aos seus visitantes. O compliance com reconhecimento geográfico é a única solução prática.

A implicação: as operações de PPC em 2026 exigem uma arquitetura global de privacidade, não um remendo regional. GTM server-side + CMP com reconhecimento geográfico + Consent Mode v2 é a solução unificada que este guia detalha.

RGPD + Consent Mode v2 (UE/EEE)

Escopo. O RGPD se aplica ao processamento de dados pessoais de residentes da UE/EEE, independentemente de onde o responsável pelo tratamento esteja sediado.

Requisitos essenciais para rastreamento de anúncios.

  • Consentimento opt-in antes de qualquer rastreamento não essencial (cookies, pixels, impressão digital).
  • Consentimento granular (publicidade, análise, personalização separadamente).
  • A retirada deve ser tão fácil quanto o consentimento.
  • Base jurídica documentada (tipicamente consentimento para publicidade).
  • Mecanismos de transferência transfronteiriça (SCCs, decisões de adequação) para destinos de dados fora da UE.

Consent Mode v2 especificamente. Obrigatório na UE/EEE desde 2024 para anunciantes do Google Ads. Dois tipos: Consent Mode básico (sem mensuração quando o consentimento é recusado) e Consent Mode avançado (conversões modeladas quando o consentimento é recusado). A maioria dos anunciantes usa o avançado para preservação total do sinal do Smart Bidding.

Penalidades. Até 4% da receita global anual ou €20M, o que for maior. Multas significativas recentes: Meta €1,2B (2023), Amazon €746M (2021), Google €50M (CNIL 2019).

Impacto prático no Google Ads. Sem Consent Mode v2: Customer Match desativado na UE, sinal do Smart Bidding degradado em 20-40%, conversões modeladas indisponíveis. Com Consent Mode v2: funcionalidade plena preservada respeitando o consentimento do usuário.

Para implementação, consulte nosso guia de rastreamento server-side.

CCPA / CPRA (Califórnia + leis estaduais dos EUA)

Escopo. CCPA/CPRA cobre residentes da Califórnia. Vários outros estados dos EUA (Virginia VCDPA, Colorado CPA, Connecticut CTDPA, Utah UCPA, Texas DPDPA desde 2024) têm leis semelhantes. Até 2026, cerca de 15 estados dos EUA têm leis abrangentes de privacidade.

Requisitos essenciais para rastreamento de anúncios.

  • Modelo de opt-out (diferente do opt-in do RGPD).
  • Link "Do Not Sell My Personal Information" obrigatório.
  • Respeitar o sinal GPC (Global Privacy Control) como opt-out válido.
  • Divulgar categorias de dados pessoais vendidos ou compartilhados.
  • Processamento anual de solicitações de direitos de dados (direito de saber, excluir, corrigir).

Consent Mode para a Califórnia. Configure seu CMP para enviar sinais de opt-out (ad_storage='denied', analytics_storage='granted' ou 'denied' dependendo da escolha do usuário) quando o GPC for detectado ou o usuário optar por não participar via banner.

Penalidades. Até $7.500 por violação intencional, $2.500 por violação não intencional. Ações coletivas permitidas por violações de dados. Multas totais menores do que o RGPD, mas se acumulam com muitos usuários.

Impacto prático no Google Ads. A maioria do tráfego californiano ainda tem rastreamento ativado (o opt-out é raro). Mas: a adoção do GPC está crescendo em 2024-2026; os anunciantes devem respeitar o GPC para evitar ações do Procurador Geral. O rastreamento padrão do Google Ads funciona no escopo da CCPA; o CMP deve exibir o link "Do Not Sell" de forma proeminente.

Lei DPDP (Índia)

Escopo. A Lei DPDP cobre dados pessoais de indivíduos na Índia, independentemente de onde o fiduciário de dados (responsável) esteja sediado. Escopo extraterritorial semelhante ao RGPD.

Requisitos essenciais para rastreamento de anúncios.

  • Consentimento opt-in antes do processamento (semelhante ao RGPD).
  • Consentimento específico, informado e inequívoco.
  • Aviso em linguagem clara (multilíngue recomendado para a Índia).
  • Minimização de dados e limitação de finalidade.
  • Dados de crianças (menores de 18 anos) exigem consentimento parental verificável.

Cronograma de implementação. Lei DPDP aprovada em agosto de 2023; regras em vigor em etapas 2024-2025. Até 2026, conformidade plena obrigatória.

Penalidades. Até ₹250 crore (~$30M USD) por violação. O DPB indiano fiscaliza; sem limite de receita global, mas os limites absolutos são significativos.

Impacto prático no Google Ads. O tráfego indiano exige banner de consentimento opt-in. CMP multilíngue recomendado (hindi + inglês no mínimo; línguas regionais para alcance estadual). O rastreamento do Google Ads deve respeitar os sinais de consentimento via Consent Mode v2 como na UE.

PDPL (Arábia Saudita + variantes do GCC)

Escopo. A Lei de Proteção de Dados Pessoais (PDPL) da Arábia Saudita cobre dados pessoais de indivíduos no Reino da Arábia Saudita. Outros países do GCC (Decreto Federal dos EAU 45/2021, Qatar Lei 13/2016, PDPL do Bahrein) têm frameworks semelhantes, mas distintos.

Requisitos essenciais para rastreamento de anúncios.

  • Consentimento opt-in antes do processamento.
  • Residência de dados: certas categorias devem ser armazenadas no Reino da Arábia Saudita (dados financeiros, de saúde, governamentais).
  • Transferência transfronteiriça requer aprovação regulatória.
  • Obrigações de notificação de violações.

Cronograma de implementação. PDPL em vigor em março de 2023; fiscalização plena a partir de 2024. A SDAIA (Saudi Data and AI Authority) emite regulamentos e cuida da fiscalização.

Penalidades. Até SAR 5M (~$1,3M USD) mais possível responsabilidade criminal por violações graves envolvendo dados sensíveis. Matriz detalhada de penalidades por tipo de violação.

Impacto prático no Google Ads. CMP bilíngue (árabe + inglês) recomendado para tráfego do Reino da Arábia Saudita. A arquitetura server-side ajuda na conformidade de residência de dados (controle sobre o que cruza fronteiras). O rastreamento do Google Ads via Consent Mode v2 respeita o opt-in.

LGPD (Brasil)

Escopo. A Lei Geral de Proteção de Dados (LGPD) cobre dados pessoais de indivíduos no Brasil. Escopo extraterritorial semelhante ao RGPD.

Requisitos essenciais para rastreamento de anúncios.

  • Consentimento opt-in para publicidade e rastreamento não essencial (uma de 10 bases jurídicas).
  • Direitos dos titulares de dados semelhantes ao RGPD (acesso, exclusão, portabilidade).
  • Encarregado de Proteção de Dados (DPO) obrigatório para algumas entidades.
  • Notificação de violação à ANPD (Autoridade Nacional de Proteção de Dados brasileira).

Penalidades. Até 2% da receita brasileira (limitado a R$50M por violação). A ANPD tem fiscalizado ativamente 2023-2026 com aumento constante no tamanho das multas.

Impacto prático no Google Ads. CMP em português para o tráfego brasileiro. Implementação do Consent Mode v2 semelhante à UE. A ANPD emitiu orientações específicas sobre cookies e pixels de publicidade (2024); garanta que o CMP esteja alinhado.

Arquitetura server-side que funciona em todo lugar

A arquitetura unificada que satisfaz os 5 regimes:

Camada 1 — CMP com reconhecimento geográfico (Cookiebot, OneTrust, Didomi, personalizado). Detecta a localização do visitante via IP/geolocalização. Aplica o fluxo regional:

  • UE/Reino Unido: opt-in do RGPD
  • Califórnia: opt-out da CCPA + respeito ao GPC
  • Índia: opt-in da DPDP (multilíngue)
  • Arábia Saudita/GCC: opt-in da PDPL (bilíngue)
  • Brasil: opt-in da LGPD (português)
  • Padrão: opt-in (mais seguro do que opt-out)

Camada 2 — GTM server-side (sGTM) hospedado no Google Cloud ou Stape. Recebe eventos do cliente; aplica sinais de consentimento; encaminha para plataformas de anúncios apenas o que é permitido. Fonte única da verdade para configuração de tags.

Camada 3 — Tag do Google (gtag.js) com Consent Mode v2. Configurada para enviar os sinais ad_storage, analytics_storage, ad_user_data, ad_personalization refletindo o consentimento do usuário. As conversões modeladas são ativadas quando o consentimento é recusado.

Camada 4 — Enhanced Conversions e uploads de conversões offline. E-mail/telefone com hash (SHA-256) enviados servidor a servidor quando o consentimento permite. Uploads de conversões offline via API para atribuição B2B/ciclo longo.

Camada 5 — Registro de auditoria. Cada decisão de consentimento e disparo de tag registrados para auditoria regulatória. Revisão anual de fluxo de dados documentada.

Para detalhes server-side, consulte nosso guia de sGTM.

Matriz de comparação regional

Os 4 regimes de opt-in (RGPD, DPDP, PDPL, LGPD) têm padrões de implementação praticamente idênticos; o opt-out da CCPA é o caso especial. A arquitetura unificada lida com os dois via roteamento por CMP com reconhecimento geográfico.

Roteiro de migração (12 meses)

O bloco HowTo acima fornece o roteiro detalhado de 12 meses. Marcos principais:

  • Mês 2: Auditoria completa; stack selecionado.
  • Mês 4: sGTM e CMP implantados; sinais de consentimento fluindo.
  • Mês 6: Consent Mode v2 totalmente ativo; conversões modeladas verificadas.
  • Mês 9: Enhanced Conversions e uploads offline operacionais.
  • Mês 12: Auditoria completa; documentação finalizada; equipe capacitada.

Para contas sob pressão regulatória aguda (investigação ativa de DPA, violação recente), acelere para um cronograma de 6 meses com foco dedicado da equipe de compliance/desenvolvimento.

O compliance é mais barato do que as multas :

A configuração de compliance multirregião normalmente custa $15k-$60k inicialmente + $1.000-$3.500/mês continuamente (CMP + hospedagem do sGTM + manutenção). Uma única multa do RGPD frequentemente supera esses valores em 10-100×; uma única investigação regulatória custa meses de tempo jurídico. Trate o compliance como seguro, não como centro de custo.

Cite-nos :

Este guia de privacidade multirregião é atualizado trimestralmente pela SteerAds. Última atualização: 08/05/2026. As informações regulatórias são informativas; consulte seu advogado para orientação específica de conformidade. A arquitetura unificada de server-side + Consent Mode v2 é o padrão dominante de 2026 para anunciantes globais.

Para leitura complementar, consulte nosso guia de rastreamento server-side, nosso guia de rastreamento de conversões e nosso manual de PPC em saúde. Para auditar a conformidade do seu rastreamento em relação a esses regimes, execute nossa auditoria gratuita.

Fontes

Fontes oficiais consultadas para este guia:

FAQ

Preciso do Consent Mode v2 se não estou na Europa?

Estritamente obrigatório apenas para anunciantes que usam Google Ads com tráfego da UE/EEE desde 2024. Fora da UE, o Consent Mode v2 não é legalmente obrigatório — mas o Google o recomenda cada vez mais como a implementação de tag padrão. A CCPA/CPRA na Califórnia tem requisitos diferentes (sinal de opt-out, não opt-in). DPDP, PDPL e LGPD têm seus próprios frameworks baseados em consentimento. Melhor prática em 2026: implemente o Consent Mode v2 globalmente como linha de base, com personalização de CMP regional para opt-in vs opt-out e tratamento de direitos de dados.

O que acontece se eu não cumprir o RGPD para o rastreamento do Google Ads?

As multas do RGPD podem chegar a 4% da receita global anual ou €20M (o que for maior). A DPA italiana multou o Cookiebot em €1M em 2023 por deficiências no consentimento de cookies; a DPA espanhola multou o próprio Google em €10M em 2022 por problemas de consentimento. Além das multas: os públicos do Customer Match exigem Consent Mode v2 na UE desde 2024 — sem ele, toda a capacidade de remarketing na UE é desativada. Impacto prático: redução de 20-40% na eficiência de PPC na UE, mais o risco regulatório.

O rastreamento server-side é obrigatório para conformidade?

Não estritamente exigido por lei na maioria das regiões, mas torna o compliance dramaticamente mais fácil. O GTM server-side (sGTM) permite controlar exatamente quais dados saem do seu ambiente para as plataformas de anúncios. Você pode redigir PHI/PII no servidor, aplicar hash em identificadores de forma consistente, aplicar sinais de consentimento antes de encaminhar e auditar fluxos de dados. Obrigatório para publicidade de saúde no escopo HIPAA nos EUA. Fortemente recomendado para qualquer conta gastando mais de $50k/mês ou em verticais regulamentadas.

O que é especificamente o Consent Mode v2?

O Consent Mode v2 é o framework do Google para ajustar o comportamento das tags com base nos sinais de consentimento do usuário. Quando os usuários recusam o rastreamento, o Consent Mode v2 envia sinais de conversão modelados (sem cookies) para o Google Ads em vez de eventos brutos, preservando a qualidade do sinal do Smart Bidding. Implementado via tag do Google (gtag.js) ou GTM com configuração consciente do consentimento. Obrigatório na UE/EEE desde 2024 para anunciantes do Google Ads; recomendado globalmente.

Como a CCPA difere do RGPD para anunciantes?

O RGPD exige consentimento opt-in antes de qualquer rastreamento não essencial. A CCPA/CPRA exige opt-out — o rastreamento é permitido por padrão, mas os usuários podem optar por não participar via sinais 'Do Not Sell My Personal Information'. O Google honra o cabeçalho GPC (Global Privacy Control) como sinal de opt-out da CCPA desde 2023. Na prática: o RGPD exige um banner de cookies com opt-in explícito; a CCPA exige um link 'Do Not Sell' ou GPC honrado. Sites multirregionais normalmente implementam CMPs com reconhecimento geográfico que se adaptam por localização do visitante.

Qual é o cronograma da Lei DPDP da Índia?

A Lei DPDP foi aprovada em agosto de 2023; regras em vigor em etapas 2024-2025. Prazos de implementação para a maioria das disposições: final de 2024 a meados de 2025. Até 2026, a conformidade plena é obrigatória para qualquer anunciante que segmenta a Índia. Requisitos de consentimento semelhantes ao RGPD (opt-in para rastreamento não essencial). Penalidades de até ₹250 crore (~$30M) por violação. O DPB (Data Protection Board) da Índia fiscaliza a conformidade; sem limite de 4% de receita no estilo RGPD, mas os limites absolutos são significativos.

A PDPL da Arábia Saudita se aplica a anunciantes não sauditas?

Sim, se você processa dados pessoais de indivíduos na Arábia Saudita. Escopo extraterritorial semelhante ao RGPD. PDPL em vigor em etapas 2023-2024 com fiscalização plena a partir de 2024. Requer consentimento explícito para processamento, considerações de residência de dados (algumas categorias devem ser armazenadas no Reino da Arábia Saudita) e notificação de violações. Fiscalizado pela SDAIA (Saudi Data and AI Authority). Penalidades incluem multas de até SAR 5M mais possível responsabilidade criminal por violações graves.

Como lidar com o rastreamento de conversões para anunciantes internacionais?

Plataforma de Gerenciamento de Consentimento (CMP — Cookiebot, OneTrust, Didomi) com reconhecimento geográfico detectando a localização do visitante e aplicando o fluxo de consentimento correto por região. Container GTM server-side como fonte única da verdade para configuração de tags. Regras de disparo de tags por região que respeitam: opt-in do RGPD para tráfego da UE, sinais de opt-out da CCPA para a Califórnia, opt-in da PDPL/DPDP/LGPD para as respectivas regiões. Auditoria de fluxo de dados documentada anualmente. Configuração padrão em 2026 para qualquer anunciante global.

Ready to optimize your campaigns?

Start a free audit in 2 minutes and discover the ROI potential of your accounts.

Start my free audit

Free audit — no credit card required

Keep reading

Guide

Reduzir o CPA Google Ads: guia 2026

10 alavancas concretas para baixar o seu CPA: match types, negativas, smart bidding, quality score, audiências, criativos, dayparting.

Fondamentaux

ROAS, CPA, CPC: o guia claro 2026

Definições, fórmulas e valores-alvo por setor das 5 métricas-chave. O guia pedagógico para finalmente entender o painel PPC.