Blog

CTDPA: Guia de Requisitos + Conformidade de Scripts de Terceiros

Entenda as regras da Lei de Privacidade de Dados de Connecticut, os prazos de aplicação e como gerenciar corretamente os scripts de terceiros.

Nov 25, 2025 • 14 min read

Juan Combariza Growth Marketer

connecticut-data-privacy-act-guide-and-third-party-script-compliance

Neste artigo:

A CTDPA se aplica à minha organização?
Onde ocorrem as falhas de conformidade com a CTDPA
Como garantir que scripts de terceiros estejam em conformidade com a CTDPA
Cronogramas da CTDPA

Existe uma lacuna crescente entre o que as empresas acham que estão fazendo para proteger os dados dos usuários e o que leis de privacidade como a CTDPA (Connecticut Data Privacy Act) realmente exigem. O navegador é onde os dados pessoais são cada vez mais coletados, mas também é onde quase ninguém está de olho. É exatamente essa lacuna que os reguladores estão mirando.

Sem monitoramento, scripts mal configurados ou maliciosos podem acessar campos sensíveis, sobrescrever escolhas de consentimento ou transmitir dados sem divulgação. Se perguntado "Os scripts de terceiros no seu site se comportam da forma como sua política de privacidade afirma?", a maioria das organizações não consegue dar uma resposta embasada em evidências.

Este artigo percorre os requisitos da CTDPA e mostra como trazer a camada do navegador para a conformidade antes que uma violação ocorra.

A CTDPA se aplica à minha organização?

simplified-criteria-checklist-does-ctdpa-apply-to-my-organization — Checklist simplificado de critérios: A CTDPA se aplica à minha organização?

A CTDPA segue o modelo de aplicabilidade no estilo "Virginia/Colorado". Ela se aplica com base no volume de dados pessoais processados. Abaixo estão os 2 principais critérios que você pode usar como um checklist simples. TODOS esses pontos precisam ser verdadeiros para que sua empresa esteja sujeita às regras da CTDPA.

1. Critério da CTDPA: Você realiza negócios em Connecticut OU tem como alvo residentes de CT

Isso inclui empresas que:

Vendem para consumidores de Connecticut, fazem marketing ou publicidade para residentes de CT, operam um site ou aplicativo que atende clientes de CT, têm usuários, assinantes ou clientes em CT.

Isso se aplica mesmo que a empresa não esteja fisicamente localizada em Connecticut. "Ter como alvo" não exige uma abordagem intencional. Se residentes de Connecticut podem acessar seu site, receber seus anúncios ou optar por se cadastrar, você ainda pode ser considerado como realizando negócios no estado.

2. Critério da CTDPA: Você processa um volume significativo de dados de residentes de Connecticut

A CTDPA se aplica se, no ano civil anterior, você processou:

2 A) Dados pessoais de 100.000 ou mais residentes de Connecticut

OU

2 B) Dados pessoais de 25.000 ou mais residentes E você obtém 25% ou mais da receita com a venda de dados pessoais

Vamos detalhar melhor esses limites:

2 A) (Expandido) Dados pessoais de 100.000 ou mais residentes de Connecticut

Dados pessoais = qualquer dado vinculado ou vinculável a um indivíduo (incluindo endereços IP). Isso importa porque um visitante não precisa preencher um formulário ou explicitamente "fornecer" informações para estar sujeito à CTDPA. A maioria das ferramentas de análise, publicidade e rastreamento coleta identificadores baseados em IP automaticamente.

Este limite exclui:

Dados pessoais processados exclusivamente para concluir uma transação de pagamento

2 B) (Expandido): Dados pessoais de 25.000 ou mais residentes E você obtém 25% ou mais da receita com a venda de dados pessoais

Isso afeta principalmente:

Corretores de dados, revendedores de leads e aplicativos ou sites de consumo que monetizam informações pessoais

Quem está excluído dos requisitos da CTDPA:

Agências governamentais, organizações sem fins lucrativos (isentas), instituições de ensino superior, dados já regulados pela FCRA, FERPA ou frameworks similares

No entanto: mesmo organizações isentas devem seguir práticas de "segurança razoável". A exposição de dados no lado do cliente ainda pode gerar responsabilidade sob outras obrigações, como o PCI DSS.

O que é a Connecticut Data Privacy Act?

A Connecticut Data Privacy Act (CTDPA) é uma lei estadual de privacidade aprovada para dar aos residentes mais controle sobre como as empresas coletam, usam e compartilham seus dados pessoais. Assim como o GDPR e a CCPA, o objetivo da CTDPA é oferecer aos consumidores controle real sobre seus dados pessoais. A lei estabelece obrigações para organizações que coletam, usam ou compartilham dados pessoais.

A Superfície de Risco de Privacidade no Lado do Cliente

client-side-privacy-compliance-risk-breakdown-cside-1 — Detalhamento dos fatores de risco de privacidade e conformidade no lado do cliente

Leis de privacidade modernas como a CTDPA se aplicam a todo o ciclo de vida dos dados, mas a área de maior risco é o próprio site. É nessa camada que os usuários interagem pela primeira vez com sua empresa e onde os dados pessoais são coletados inicialmente — seja por meio de entradas em formulários ou automaticamente por scripts de terceiros que você não controla totalmente.

Infelizmente, o lado do cliente (o código que sua empresa entrega aos usuários quando eles interagem com seu site) é a camada menos protegida na maioria das empresas. Servidores são bloqueados, funcionários são treinados em processos de tratamento de dados, mas o código executado no navegador do usuário não é monitorado.

Scripts de terceiros são um risco de conformidade com a privacidade:

Elementos do site interagem com dados dos usuários, e a maioria das equipes não tem governança sobre:

Scripts de rastreamento de marketing que disparam antes do consentimento
Pixels que coletam endereços IP e identificadores sem opção de opt-out
Widgets de chat que processam documentos e dados de conta
Ferramentas de teste A/B que coletam metadados de sessão
Ferramentas de marketing que inferem geolocalização a partir de sinais do dispositivo

Ataques no lado do cliente são um risco de violação de dados de privacidade:

Nem toda violação de dados resulta de alguém invadindo o servidor. Cada vez mais, o comprometimento acontece no navegador: invasores injetam algumas linhas de código malicioso em um script confiável do seu site.

De repente, credenciais de login, documentos de identidade e números de cartão de crédito estão sendo coletados diretamente de páginas como checkouts, formulários de cadastro, chatbots ou processos de KYC.

Um exemplo bem conhecido desse tipo de ataque é a violação da British Airways em 2018, que gerou uma multa de £20 milhões. Cobrimos esse incidente em detalhes, junto com os exemplos mais recentes, em nosso artigo aprofundado sobre os maiores ataques Magecart.

Uma plataforma de segurança no lado do cliente detecta e previne esses ataques.

Banners de cookies são suficientes para a conformidade com a CTDPA?

Banners de cookies capturam as preferências dos usuários, mas nem sempre as aplicam de forma completa. Na prática, há vários pontos onde os banners ficam aquém:

Integrações incorretas ou incompletas entre banners de cookies e gerenciadores de tags como o Google Tag Manager
Banners que bloqueiam acidentalmente scripts essenciais, como formulários ou ferramentas de suporte via chat
Scripts mal configurados ou maliciosos que ignoram as seleções de consentimento do usuário

Alguns fornecedores de banners de cookies tentam resolver esses desafios, mas a má configuração ainda é comum. E mesmo quando implementados corretamente, os banners de cookies não foram projetados para prevenir ataques no lado do cliente. Essa lacuna leva à ausência de "salvaguardas de segurança razoáveis", que tem sido a alegação mais frequentemente citada em processos judiciais de privacidade sob leis similares, como a CCPA.

Onde Ocorrem as Falhas de Conformidade com a CTDPA

where-ctdpa-compliance-failures-happen-infographic — Infográfico: Principais falhas de conformidade com a CTDPA

1. Falha em respeitar os direitos do consumidor (acesso/exclusão/opt-out)

O opt-out deveria interromper todo o processamento dos dados pessoais do usuário. Na prática, a escolha do usuário precisa ser respeitada em múltiplas camadas:

Scripts no lado do cliente, ferramentas de análise, serviços de gravação de sessão, gerenciadores de tags e plataformas de publicidade

No lado do cliente, isso frequentemente falha. As empresas acreditam ter respeitado o opt-out, mas:

O usuário faz opt-out no banner de cookies, mas os scripts continuam disparando
Ferramentas de análise de "gravação de sessão" ainda capturam informações sensíveis
"Cookies" são bloqueados, mas os scripts continuam sendo executados
Gerenciadores de tags sobrescrevem as configurações de consentimento de cookies

Respeitar os direitos da CTDPA exige garantir que os scripts no lado do cliente realmente parem de coletar ou compartilhar dados. Isso só é possível com ferramentas que consigam observar e aplicar o comportamento dos scripts diretamente no navegador.

2. Coleta não monitorada

Uma das maiores lacunas de conformidade ocorre quando as organizações não sabem exatamente quais dados estão sendo coletados em seu site. Scripts entram e saem enquanto fornecedores atualizam seu código sem aviso. A maioria das organizações não conseguiria listar todos os scripts em execução no seu site hoje — muito menos explicar o que eles acessam.

3. Falha em implementar "salvaguardas de segurança razoáveis"

pie-chart-ccpa-court-cases-privacy-compliance-cside — Gráfico de pizza mostrando a distribuição de processos judiciais de conformidade com privacidade que geraram ações

Fonte: CCPA Litigation Tracker, Perkins Coie

De acordo com o CCPA Litigation Tracker da Perkins Coie, que analisa todos os processos judiciais publicamente registrados sob a CCPA (um framework de privacidade similar que está em vigor há muito mais tempo), a grande maioria dos processos decorre de um único problema:

"uma alegação de falha em implementar salvaguardas de segurança razoáveis resultando em uma violação de dados"

O lado do cliente tornou-se a superfície de ataque mais visada, com grandes organizações sofrendo violações por scripts maliciosos (veja: ataques à Ticketmaster e à British Airways). Em muitos desses incidentes, as empresas acreditavam estar "cobertas" por ferramentas de conformidade que apenas gerenciam banners ou políticas, e não a segurança real do navegador.

A proteção verdadeira no lado do cliente deve detectar e prevenir ataques como:

Formjacking, sequestro de sessão e e-skimming

Esses ataques coletam dados do consumidor diretamente do navegador, o que significa que os invasores nunca precisam invadir seu ambiente interno.

4. Divulgações de privacidade imprecisas ou incompletas

A CTDPA exige que as organizações divulguem claramente quais dados pessoais coletam, por que os coletam e quais terceiros recebem essas informações.

Na prática, muitas divulgações de privacidade são incompletas simplesmente porque as equipes não têm visibilidade total de cada script, formulário ou ferramenta externa operando em seu site.

Realizar um inventário de scripts (por exemplo, por meio de uma varredura gratuita de crawler) pode ajudar a estabelecer uma visão inicial dos scripts que precisam ser divulgados.

Principais Requisitos da CTDPA (Connecticut Data Privacy Act)

Direitos do Consumidor

As organizações devem dar aos usuários a capacidade de:

Fazer opt-out
Acessar seus dados pessoais
Corrigir imprecisões nos dados pessoais
Excluir dados pessoais
Solicitar uma cópia portátil de seus dados

Avisos de Privacidade e Transparência

As organizações devem fornecer um aviso de privacidade claro que explique quais dados pessoais são coletados, por que são coletados e como os usuários podem exercer seus direitos. Essa lista também deve incluir quais terceiros recebem suas informações. As divulgações devem ser mantidas atualizadas quando as práticas de dados mudarem.

Consentimento para Dados Sensíveis

A CTDPA exige consentimento afirmativo de opt-in antes de processar dados pessoais sensíveis, incluindo: informações de saúde, identificadores biométricos, geolocalização precisa ou dados de crianças.

Minimização de Dados

Sob a CTDPA, as empresas devem limitar a coleta de dados pessoais ao que é genuinamente necessário para a finalidade declarada. Elas não podem coletar informações excessivas e não podem usar dados para finalidades novas ou não relacionadas sem obter novo consentimento.

Para uma lista completa de requisitos, visite nossa seção de recursos oficiais, que direcionará você à documentação oficial da lei de privacidade.

Recursos Oficiais e Links Governamentais

Connecticut Data Privacy Act (Gabinete do Procurador-Geral):

https://portal.ct.gov/ag/sections/privacy/the-connecticut-data-privacy-act

Esta é a página da CTDPA publicada pelo Procurador-Geral de Connecticut, a principal autoridade de aplicação da lei. Ela fornece orientações oficiais, atualizações e recursos emitidos pelo estado.

Projeto de Lei Oficial do Senado – Public Act No. 22-15 (2022)

https://www.cga.ct.gov/2022/act/pa/pdf/2022PA-00015-R00SB-00006-PA.pdf#:~:text=(NEW)%20(Effective%20July%201%2C%202023)%20The%20provisions,revenue%20from%20the%20sale%20of%20personal%20data.

Este é o texto completo da Connecticut Data Privacy Act conforme aprovado pela legislatura estadual em 2022.

Cronogramas da CTDPA

A CTDPA foi implementada em fases, com obrigações adicionais incluídas ao longo do tempo por meio de emendas. Abaixo estão as datas-chave que a maioria das equipes deve conhecer (para o panorama completo e sempre atualizado, consulte a seção de Recursos Oficiais).

10 de maio de 2022 – CTDPA sancionada. Connecticut aprova sua lei de privacidade abrangente como Senate Bill 6 / Public Act 22-15.
1º de julho de 2023 – Lei entra em vigor. Controladores e processadores que atendem aos limites devem estar em conformidade a partir desta data, com o Procurador-Geral de Connecticut como autoridade de aplicação.
1º de julho de 2023 – 31 de dezembro de 2024 – Janela de aplicação com "direito de correção". Durante esse período, o Procurador-Geral deve dar às empresas uma oportunidade de 60 dias para corrigir uma violação antes de tomar medidas, quando a correção for possível.
1º de outubro de 2023 – 1º de outubro de 2024 – Emendas sobre saúde e menores entram em vigor gradualmente. Novas disposições sobre dados de saúde do consumidor, aplicativos de relacionamento e serviços online usados por menores entram em vigor em várias datas no final de 2023 e 2024.
1º de janeiro de 2025 – Sinais universais de opt-out (ex.: GPC) são reconhecidos. Consumidores de Connecticut podem enviar sinais de preferência de opt-out no nível do navegador (como o Global Privacy Control), e os controladores sujeitos à CTDPA devem respeitá-los.
1º de julho de 2025 – Avaliações de proteção de dados se aplicam a novos processamentos de alto risco. Os requisitos de avaliação se aplicam a atividades de processamento criadas ou geradas a partir desta data.
31 de dezembro de 2025 – Direito legal de correção expira. Após esta data, o Procurador-Geral não é mais obrigado a oferecer um período de correção de 60 dias, embora ainda possa fazê-lo a seu critério.
A partir de 1º de julho de 2026 – Emendas adicionais entram em vigor. Emendas aprovadas em 2025 (SB 1295) introduzem novas mudanças, incluindo limites atualizados e requisitos de avaliação de impacto, com a maioria das alterações em vigor a partir de meados de 2026.

Como o cside Ajuda Organizações a Alcançar a Conformidade com a CTDPA

Transparência nos Fluxos de Dados no Lado do Cliente

O cside revela quais scripts coletam dados pessoais, o que coletam e para onde vão. As equipes de privacidade obtêm a visibilidade necessária para publicar divulgações precisas.

Minimização de Dados no Nível do Script

A maioria dos sites coleta mais dados do que pretende simplesmente porque os scripts evoluem ao longo do tempo. O cside destaca quando um script começa a coletar mais informações do que deveria, ajudando as equipes a manter a coleta bem delimitada.

Salvaguardas de Segurança Razoáveis

O cside detecta scripts maliciosos ou adulterados, alterações suspeitas de código no lado do cliente e comportamentos de skimming de dados na camada do navegador. Isso apoia o requisito da CTDPA de implementar salvaguardas de segurança razoáveis e previne possíveis violações de dados.

Validação do Comportamento de Terceiros

O monitoramento em tempo real garante que processadores terceiros cumpram suas obrigações de privacidade em vez de violá-las involuntariamente por você.

Logs e Evidências Prontos para Auditoria

O cside fornece um painel e logs históricos detalhados mostrando a atividade dos scripts junto com as medidas de tratamento de dados. Isso dá às equipes de privacidade as evidências forenses necessárias para demonstrar conformidade com a CTDPA durante auditorias ou investigações.

FAQ

A CTDPA se aplica a empresas localizadas fora de Connecticut?

Sim. A CTDPA se aplica a qualquer organização que processe dados de residentes de Connecticut e atenda aos limites de volume, independentemente de onde a empresa esteja fisicamente localizada.

Banners de cookies são suficientes para atender aos requisitos de consentimento da CTDPA?

Na maioria dos casos, não. Banners de cookies capturam preferências e gerenciam cookies, mas a CTDPA exige aplicação no nível do script e medidas de segurança razoáveis que possam prevenir ataques que expõem dados pessoais.

O que se considera "salvaguardas de segurança razoáveis" segundo a CTDPA?

As organizações devem proteger os dados pessoais contra acesso não autorizado, incluindo riscos no lado do cliente, como scripts mal configurados, ferramentas de terceiros não monitoradas e ataques de skimming.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Sim. A CTDPA se aplica a qualquer organização que processe dados de residentes de Connecticut e atenda aos limites de volume, independentemente de onde a empresa esteja fisicamente localizada.

Na maioria dos casos, não. Banners de cookies capturam preferências e gerenciam cookies, mas a CTDPA exige aplicação no nível do script e medidas de segurança razoáveis que possam prevenir ataques que expõem dados pessoais.

As organizações devem proteger os dados pessoais contra acesso não autorizado, incluindo riscos no lado do cliente, como scripts mal configurados, ferramentas de terceiros não monitoradas e ataques de skimming.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.