O desafio
O ponto de partida era crítico. Depois de uma penalização regulatória por exposição de dados sensíveis a terceiros no ecossistema de analytics, a operação passou a conviver com risco concreto de nova sanção e com uma limitação prática no uso de dados navegacionais. O impacto não era apenas jurídico. Era estratégico.
A ameaça regulatória tinha peso real. Em um setor altamente sensível à confiança e à conformidade, a exposição de identificadores únicos e outros sinais de PII colocava a operação diante de potenciais multas, suspensão de atividades de tratamento e desgaste institucional. A penalização anterior já havia produzido um efeito imediato: seis meses de paralisação operacional, com perda de visibilidade e restrição severa da capacidade analítica.
Ao mesmo tempo, a infraestrutura de martech acumulava problemas silenciosos. Eventos legados do Universal Analytics, dados duplicados, configurações desalinhadas entre GTM, GA4 e Consent Mode e baixa padronização técnica criavam uma camada de ruído que aumentava risco legal, inflava custos de processamento e distorcia leitura de performance.
Esse cenário também bloqueava inovação. Sem uma base de dados sanitizada, auditada e tecnicamente protegida, qualquer avanço em automação analítica ou aplicações de IA ampliaria o problema em vez de resolvê-lo. Antes de pensar em novos usos, era preciso restabelecer o direito básico de operar dados com segurança.
A solução
A resposta não foi uma limpeza pontual. Foi uma auditoria técnica com lógica de governança contínua.
A MATH submeteu todo o ecossistema de analytics a uma metodologia proprietária de auditoria composta por 61 pontos de verificação. O objetivo era mapear, com profundidade técnica, as inconformidades existentes entre coleta, parametrização, consentimento e exposição de dados. A análise passou por GA4, GTM e Consent Mode, cobrindo desde UTMs e estruturas de eventos até o tratamento de User IDs e sinais potencialmente sensíveis.
A segunda frente foi o tratamento preventivo dos dados. Em vez de atuar apenas depois da coleta, a lógica de proteção foi aplicada no próprio Google Tag Manager. Quando identificadores únicos ou outros sinais indevidos eram detectados na camada de dados, o sistema aplicava hash ou bloqueio antes do envio ao Google Analytics. Na prática, isso significou mover a proteção para a origem do fluxo, com uma abordagem real de privacy by design.
A terceira frente concentrou-se na correção do Consent Mode. A infraestrutura foi readequada para garantir que o sinal de consentimento do usuário fosse respeitado tecnicamente em toda a cadeia de coleta, impedindo o envio de dados em cenários de opt-out e reduzindo o passivo jurídico associado a coletas indevidas.
A quarta frente foi a racionalização da base. Eventos irregulares, dados duplicados e estruturas legadas foram excluídos, ajustados ou redesenhados para que a operação voltasse a trabalhar com uma base mais limpa, consistente e confiável para leitura de jornada e tomada de decisão.
Além de corrigir o presente, o projeto preparou o futuro. A arquitetura estabeleceu as bases para um sistema contínuo de monitoramento de tags e dados sensíveis, transformando governança em processo vivo, e não em resposta emergencial.
O ganho do projeto não foi apenas conformidade. Foi a reconstrução da confiança técnica necessária para voltar a operar dados com utilidade, segurança e continuidade.
Os resultados
Os efeitos do projeto apareceram em quatro camadas: risco, governança, qualidade operacional e prontidão futura.
Na camada de risco, a auditoria reduziu de forma material a exposição a novas sanções e mitigações financeiras desproporcionais ao investimento do projeto. Mais do que evitar multa, o trabalho protegeu a continuidade operacional de uma estrutura que já havia sofrido seis meses de interrupção analítica.
Na governança, a operação avançou 10 pontos no score global de compliance do grupo. Esse resultado não representa apenas adequação técnica local. Ele demonstra que o modelo aplicado no Brasil passou a funcionar como referência concreta de eficácia na gestão de privacidade dentro de um ecossistema global. A aprovação de 83% junto à área de Compliance reforça esse ponto.
Na qualidade operacional, mais de 60 mil eventos irregulares foram excluídos ou ajustados em apenas cinco meses. Isso reduziu ruído, corrigiu distorções de leitura e melhorou a integridade da base analítica. Além disso, mais de 40 jornadas críticas foram identificadas e neutralizadas quanto a inconformidades LGPD, o que elevou o controle sobre fluxos de coleta mais sensíveis.
Na camada estratégica, o projeto devolveu à organização a capacidade de operar dados navegacionais com mais segurança e abriu caminho para evoluções futuras em analytics e IA. Sem uma base auditada, o dado amplifica risco. Com uma base protegida, ele volta a gerar direção.
