Rastreadores de terceiros - Docs do MetricSpot

Q: As fontes são mesmo trackers?

Sim, quando servidas por uma CDN de terceiros. O fonts.googleapis.com regista o IP que faz o pedido. Um tribunal regional de Munique multou em 2022 um proprietário de site em 100 € especificamente por embeber Google Fonts sem consentimento (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Faz self-host das tuas fontes e o problema desaparece.

O que esta verificação faz

Regista todos os pedidos de rede feitos ao renderizar a página, agrupa-os por domínio registável e reporta a contagem de hosts únicos de terceiros que enviam JavaScript, pixels, beacons ou iframes de tracking. Os domínios de primeira parte (tu e os teus subdomínios) são excluídos. CDNs que servem os teus próprios ativos (cdn.teudominio.com) são excluídas. Fontes e analytics que correspondem a fingerprints conhecidos de tracker são incluídos.

Suspeitos comuns que aparecem na lista:

Tag managers: googletagmanager.com
Analytics: google-analytics.com, analytics.google.com, mixpanel.com, segment.io, amplitude.com
Ad tech: doubleclick.net, googlesyndication.com, facebook.net, connect.facebook.net, bat.bing.com, ads.linkedin.com, t.co, analytics.tiktok.com
Session replay / heatmaps: hotjar.com, static.hotjar.com, fullstory.com, clarity.ms
Widgets de suporte: intercom.io, widget.intercom.io, drift.com, js.driftt.com, zendesk.com
Fontes e SDKs: fonts.googleapis.com, fonts.gstatic.com, js.stripe.com, cdn.shopify.com (quando não é a tua loja)

Três ou menos é uma base saudável. Acima de sete, és um site de marketing típico — e tens trabalho real de RGPD à tua frente.

Porque é importante

Cada domínio de terceiros na tua página são três problemas ao mesmo tempo.

Um salto de privacidade que tens de divulgar. Sob o artigo 13.º do RGPD e a Diretiva ePrivacy, cada destinatário não essencial de dados pessoais tem de ser nomeado na tua política de privacidade e consentido antes do seu script disparar. A CNIL multou sites especificamente por divulgação insuficiente da lista de destinatários.
Um imposto de desempenho que não controlas totalmente. O relatório third-party-web do HTTP Archive mostra consistentemente que ad-tech, tag managers e widgets de chat são os terceiros mais lentos da web — muitas vezes a empurrar o Largest Contentful Paint para além dos 4 segundos e o Interaction to Next Paint para a banda falhada. Cada script que não envias é um imposto que não pagas.
Uma superfície de consentimento que parte com facilidade. Se mesmo um script no teu tag manager disparar antes do consentimento — porque está hardcoded fora do gate de consentimento ou o listener de consentimento carrega tarde — estás em incumprimento independentemente da qualidade do teu banner de consentimento de cookies.

Seis trackers é mais ou menos a mediana para um site de conteúdo. Doze a vinte é normal para um site de marketing de e-commerce ou SaaS. Quarenta ou mais aparece em sites de notícias com anúncios programáticos — e é também onde aterram a maioria das coimas de RGPD.

Como corrigir

Faz inventário do que tens. Abre a página no Chrome DevTools → separador Network → filtra por domínio. Agrupa os pedidos de terceiros por domínio registável e, para cada um, pergunta “ainda está a ganhar o lugar que ocupa?”.

# Auditoria rápida na linha de comandos com curl + um parser à tua escolha
curl -s https://teudominio.com/ \
  | grep -oE 'https?://[^"'"'"']+' \
  | awk -F/ '{print $3}' \
  | sort -u

Corre uma auditoria Lighthouse (DevTools → Lighthouse → Generate report) — o diagnóstico “Reduce the impact of third-party code” lista cada domínio com o seu tempo de bloqueio.

Corta o que não precisas. As vitórias mais comuns:

Remove o Google Tag Manager e inlina o GA4 diretamente. GTM é um hábito, não um requisito. Se só geres o GA mais um ou dois pixels, inlina o gtag.js e apaga o contentor de GTM.
Faz self-host das fontes. O fonts.googleapis.com é um rastreador sob o RGPD (um tribunal alemão decidiu-o assim em 2022). Transfere os ficheiros WOFF2, serve-os a partir da tua origem e remove o URL do Google Fonts.
Substitui o chat de terceiros por email. Os widgets do Intercom, Drift e Zendesk pesam cada um 100–300 KB e correm pedidos de heartbeat contínuos. Um link mailto: não.
Remove pixels mortos. As equipas de marketing adicionam pixels para campanhas e esquecem-se de os remover. Audita a idade dos pixels e remove tudo o que seja mais antigo do que o teu ciclo típico de campanha.

Põe atrás do consentimento o que tens de manter. Cada tracker não essencial restante tem de carregar apenas depois de o utilizador conceder consentimento no teu banner. Usa Google Consent Mode v2 + IAB TCF v2.2 ou o equivalente para a tua stack. Vê banner de consentimento de cookies.

Lazy-load aos widgets de suporte. Não envies o Intercom em todas as páginas. Carrega-o só quando o utilizador clica num botão “Falar connosco”:

<button id="open-chat">Falar connosco</button>
<script>
  document.getElementById('open-chat').addEventListener('click', () => {
    const s = document.createElement('script');
    s.src = 'https://widget.intercom.io/widget/YOUR_APP_ID';
    document.head.appendChild(s);
  });
</script>

Move a analítica para o servidor. Ferramentas como Plausible, Fathom ou um Matomo self-hosted eliminam o tracker do lado do cliente. O server-side GTM move a stack do Google para o teu próprio domínio (ainda GA, ainda trackable, mas só um domínio de terceiros no painel de rede).

Audita as dependências, não só o teu código. Um plugin de WordPress ou uma app de Shopify pode silenciosamente adicionar três ou quatro trackers sem o teu conhecimento. Depois de cada instalação de plugin, volta a correr a auditoria.

Perguntas frequentes

Quantos são demais?

Depende do tipo de site. Um site de marketing SaaS consegue normalmente viver com 4–6: GA4 + GTM + um pixel de anúncios + Stripe + a tua CDN. Um site de conteúdo monetizado com anúncios programáticos terá mais de 20 e não há volta a dar — mas esses sites também precisam de canalização de banner de consentimento de cookies à prova de bala. O número em si não é o problema; as obrigações de consentimento e divulgação que vêm com ele são.

As fontes são mesmo trackers?

Sim, quando servidas por uma CDN de terceiros. O fonts.googleapis.com regista o IP que faz o pedido. Um tribunal regional de Munique multou em 2022 um proprietário de site em 100 € especificamente por embeber Google Fonts sem consentimento (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Faz self-host das tuas fontes e o problema desaparece.

Remover trackers prejudica a minha analítica?

Remover trackers duplicados não — a maioria dos sites tem duas ferramentas de analítica que discordam em 30% por causa da perda de consentimento na mesma. Remover um tracker que de facto usas vai obviamente parar o fluxo de dados; nesse caso, substitui-o por um equivalente amigo da privacidade (Plausible, Fathom, Matomo self-hosted) em vez de apenas o apagares.