Em 2024, a Meta faturou aproximadamente US$ 233 por usuário nos EUA e no Canadá. Não com assinaturas. Com a venda de acesso a perfis comportamentais construídos a partir de tudo que você digitou, clicou, passou o mouse ou simplesmente ignorou enquanto usava os produtos “gratuitos” deles.
Esse número está direto nos relatórios trimestrais de resultados da empresa. Não é estimativa de ativista de privacidade. É o que o mercado publicitário considera que valem a sua atenção e os seus dados comportamentais — e esse valor sobe todo ano.
Então quando um serviço é gratuito, você não está fazendo um bom negócio. Você é o negócio.
O Que Realmente É Coletado Quando Você Cria Uma Conta
O endereço de e-mail é só o começo. No momento em que você cria uma conta — e muitas vezes antes disso, via pixels de rastreamento e scripts de terceiros — a empresa já começa a montar um perfil sobre você.
A parte explícita é óbvia: nome, e-mail, data de nascimento, localização. Mas o valor de verdade está nos dados comportamentais. Cada rolagem de tela, pausa, busca e conteúdo em que você demora um segundo a mais são registrados e alimentam modelos que inferem coisas que você nunca contou pra ninguém. Se você está ansioso. Se está grávida. Se está prestes a comprar um carro.
Por baixo de tudo isso roda o fingerprinting técnico. Tipo de navegador, resolução de tela, fontes instaladas, comportamento da placa de vídeo — juntos, esses dados criam um identificador quase único que te segue por sites diferentes mesmo quando você não está logado e mesmo que limpe os cookies. A ferramenta Cover Your Tracks da EFF (disponível sem cadastro) mostra exatamente o quão único é o seu navegador para os sites que você visita. A maioria das pessoas se surpreende.
A dimensão entre sites é o que torna tudo isso especialmente difícil de escapar. Os botões “Entrar com Google” e “Entrar com Facebook” em sites de terceiros reportam de volta ao Google e à Meta mesmo quando você não clica neles. O widget de login carrega e o rastreamento acontece de qualquer jeito. Você não se cadastrou em nada naquele site, mas sua visita já foi registrada.
O Leilão em Tempo Real Por Trás de Cada Página
Quando você abre uma página com publicidade programática, um leilão acontece em cerca de 100 milissegundos. Seu perfil — dados demográficos inferidos, sinais de intenção de compra, histórico de navegação — é transmitido para centenas de potenciais anunciantes. Eles fazem lances. O vencedor exibe o anúncio. Você não vê nada disso, mas seus dados foram compartilhados com todos os participantes do leilão, não só com o vencedor.
Isso se chama real-time bidding, e é a base da economia publicitária digital. As implicações de privacidade não são um efeito colateral — fazem parte da estrutura. Compartilhar seus dados com centenas de partes ao mesmo tempo é exatamente como o sistema funciona.
A divisão de publicidade do Google faturou cerca de US$ 237 bilhões em 2024. A Alphabet não vende anúncios só por reconhecimento de marca — ela vende segmentação que só é possível porque rastreia comportamento no Search, no Gmail, no YouTube, no Maps, no Android e no navegador Chrome ao mesmo tempo. Um estudo da Universidade Vanderbilt de 2022 estimou que celulares Android ociosos enviam dados para servidores do Google aproximadamente 14 vezes por hora.
O Problema das Vazamentos É Maior Do Que Você Imagina
Contas gratuitas se acumulam. Com o tempo, a maioria das pessoas tem dezenas delas — cadastros em fóruns, trials de serviços, apps baixados e esquecidos. Cada uma é um alvo potencial de vazamento.
O banco de dados Have I Been Pwned de Troy Hunt (acessível sem login) já havia registrado mais de 14 bilhões de contas comprometidas no início de 2025. Esse número representa milhares de vazamentos individuais, de fóruns pequenos a grandes plataformas. As chances são de que o seu e-mail apareça lá mais de uma vez.
O verdadeiro problema não são os vazamentos em si — é o que acontece depois. Corretores de dados agregam registros de diferentes fontes, cruzam as informações e vendem perfis completos. O vazamento da National Public Data em 2024 expôs aproximadamente 2,9 bilhões de registros, incluindo números de CPF americano e endereços. Essa empresa era uma corretora de dados. Ela havia coletado tudo aquilo justamente porque os dados das pessoas vazam de serviços gratuitos o tempo todo, e existe um mercado para comprá-los, tratá-los e revendê-los.
O relatório de 2024 da IBM sobre custo de violação de dados apontou uma média global de US$ 4,88 milhões por incidente. Mas esse é o custo para a empresa. Para as pessoas cujos dados são expostos, o prejuízo vem de outra forma: tentativas de phishing, ataques de credential stuffing contra outras contas, fraude de identidade anos depois.
“Os dados não desaparecem depois de um vazamento — eles circulam. Um conjunto de credenciais exposto em 2016 pode ainda estar sendo usado em campanhas ativas de credential stuffing em 2026.”
O Que Acontece Com os Dados Que Você Achava Que Não Importavam
Os casos mais alarmantes de uso indevido documentados não são hipotéticos. Foram investigados, multados e, em alguns casos, admitidos.
O pixel de publicidade da Meta foi encontrado em pelo menos 33 dos 100 maiores sites de hospitais nos EUA, enviando dados de consultas de saúde dos pacientes — buscas por condições específicas, interações de agendamento de consultas — de volta para os sistemas de segmentação de anúncios do Facebook. Isso foi reportado pelo The Markup em 2022. Os dados nunca deveriam ter saído do sistema do hospital.
O BetterHelp, uma plataforma de terapia online, pagou US$ 7,8 milhões para fechar um acordo com a FTC em 2023 por compartilhar informações sensíveis de saúde mental dos usuários com o Facebook e o Snapchat para segmentação publicitária — apesar de promessas explícitas de não compartilhar dados de saúde.
O Twitter (pré-aquisição) pagou US$ 150 milhões em 2023 por um padrão específico: coletou números de telefone para autenticação de dois fatores e depois usou esses mesmos números para segmentação de anúncios. Números fornecidos por segurança viraram ferramenta de receita.
O Google pagou US$ 391 milhões em um acordo com vários estados americanos em 2022 após uma investigação da Associated Press constatar que a empresa rastreava a localização precisa dos usuários mesmo quando eles tinham desativado explicitamente o “Histórico de localização”. A configuração dizia uma coisa. O comportamento fazia outra.
Nenhum desses é um caso isolado. São ações punitivas documentadas de reguladores federais contra algumas das maiores empresas de tecnologia do mundo.
Por Que o GDPR Ajuda (e Onde Não Ajuda)
O Regulamento Geral de Proteção de Dados da União Europeia dá aos usuários europeus direitos reais: acesso aos próprios dados, exclusão, portabilidade e a exigência de que as empresas demonstrem base legal para processar dados pessoais. As multas do GDPR podem chegar a 4% da receita global anual — por isso a Meta já pagou mais de € 1,2 bilhão em multas desde 2018.
A CCPA da Califórnia dá direitos similares aos residentes do estado. Tecnicamente, um californiano pode pedir a corretoras de dados que apaguem seus registros. O problema: um estudo da Consumer Reports descobriu que as corretoras muitas vezes reacquiriam os dados apagados em questão de meses, por meio de outras fontes. Pedidos de exclusão funcionam uma vez. A economia dos dados preenche as lacunas automaticamente.
Os EUA ainda não têm uma lei federal abrangente de privacidade em 2026. As proteções variam por estado, setor e boa vontade das empresas. Para a maioria dos usuários fora da Califórnia e da UE, as proteções legais são frágeis.
A Comparação Que Você Deveria Estar Fazendo
| Ferramenta | Exige conta | Dados coletados | Modelo de receita |
|---|---|---|---|
| Google Docs | Sim | Conteúdo do documento, comportamento, metadados | Segmentação de anúncios |
| Microsoft 365 Free | Sim | Telemetria de uso, varredura de conteúdo | Upsell + dados |
| Photopea (sem login) | Não | Dados mínimos de sessão | Anúncios exibidos (não segmentados) |
| Excalidraw (sem login) | Não | Nada armazenado no servidor | Open source / doações |
| PDF24 Tools (sem login) | Não | Conteúdo dos arquivos (processado, não retido) | Anúncios |
O Photopea lida com arquivos PSD no nível de um aplicativo desktop. O Excalidraw é um quadro branco colaborativo completo. Nenhum dos dois exige conta. Nenhum dos dois monta um perfil comportamental sobre você. A diferença de recursos entre esses e os equivalentes que exigem conta encolheu muito.
Nem sempre a comparação favorece as ferramentas sem login — o Google Docs tem recursos que o Photopea não tem. Mas para uma grande parte das tarefas do dia a dia, a diferença de recursos é mínima ou inexistente, e a troca de valores muda completamente.
O Que Você Pode Fazer Na Prática
Usar ferramentas sem login para tarefas que não precisam de persistência é a abordagem mais direta. Para edição rápida de imagens, conversão de formatos, ferramentas de PDF, esboços em quadro branco, verificação gramatical e dezenas de outros casos de uso, existem ferramentas que funcionam sem cadastro e funcionam bem. O nologin.tools mantém um diretório curado de opções verificadas.
Para os casos em que você realmente precisa de uma conta, serviços de e-mail temporário permitem criar um endereço descartável para o cadastro, evitando que seu e-mail real se torne um dado vinculado a dezenas de serviços. Isso não resolve o rastreamento comportamental após o login, mas limita a agregação da sua identidade real entre serviços.
A higiene do navegador também importa. Usar navegadores separados para contextos diferentes, bloqueio agressivo de conteúdo e entender o que o seu navegador expõe fazem diferença. O BrowserLeaks mostra quais dados de fingerprinting estão visíveis na sua configuração atual.
Uma ferramenta que apareceu recentemente no Hacker News — o Ichinichi, um app de uma nota por dia com criptografia E2E e funcionamento local — representa uma direção arquitetural mais ampla que vale acompanhar. Aplicativos local-first que processam dados no seu dispositivo em vez de na nuvem evitam completamente o problema de acumulação de dados no servidor. A tendência em direção a ferramentas local-first, de conhecimento zero e com privacidade por design está acelerando. Não por vitória moral, mas porque usuários suficientes passaram a exigir isso para criar um mercado para essas soluções.
A Mudança Que Já Está Acontecendo
A pressão regulatória está aumentando. As ações punitivas estão ficando maiores. As multas do GDPR já cruzaram a marca do bilhão de euros. A FTC nas administrações recentes tem sido mais ativa em práticas de dados do que na década anterior. A legislação estadual nos EUA está se multiplicando. O custo legal do uso indevido de dados está subindo, o que muda o cálculo para empresas que trataram os dados dos usuários como lucro puro.
As alternativas técnicas estão melhores do que nunca. Ferramentas que preservam a privacidade para quase todos os fluxos de trabalho comuns já existem, muitas delas construídas sobre bases open source que as tornam confiáveis de formas que serviços proprietários não conseguem igualar.
O padrão, porém, ainda é vigilância. A maioria das pessoas vai continuar criando contas, aceitando termos que não lê e financiando, sem saber, ecossistemas de publicidade comportamental com o registro da sua vida digital diária. Mudar esse padrão — uma ferramenta de cada vez — não é uma solução perfeita, mas é uma solução real.
A questão não é se você consegue viver completamente sem contas. Provavelmente não consegue. A questão é quais contas são realmente necessárias e quais você criou porque era mais rápido do que procurar uma alternativa.