A política de privacidade da Turnstile carece de transparência.
O Cloudflare não indica claramente quais os sinais de dados que são recolhidos, durante quanto tempo são conservados, nem a sua utilização exata para além da deteção de bots.
Os operadores de websites têm total responsabilidade pela conformidade.
A utilização do Turnstile não garante automaticamente que o seu site esteja em conformidade com o RGPD/CCPA; deve realizar avaliações de impacto sobre a proteção de dados (DPIA), estabelecer uma base de interesse legítimo e assegurar a existência de acordos de tratamento de dados adequados.
O Cookies e as ambiguidades na transferência de dados criam riscos jurídicos.
A norma Turnstile remete para a política geral cookie da Cloudflare, em vez de uma política específica, e o encaminhamento pouco claro dos dados entre os servidores da UE e dos EUA suscita preocupações quanto à conformidade com a decisão Schrems II.
O Friendly Captcha garante a conformidade com o princípio da privacidade desde a conceção.
A tecnologia Proof-of-Work processa dados exclusivamente nos dispositivos dos utilizadores, com políticas claras, utilizando apenas o protocolo cookies, eliminação automática após 30 dias e sem transferências internacionais de dados. Experimente o Friendly Captcha e o ›
Proteger websites de atividade maliciosa de bots tornou-se essencial e provou a sua importância. No entanto, as ferramentas que usamos para combater bots muitas vezes trazem preocupações com a privacidade.
O Cloudflare Turnstile apresenta-se como uma alternativa que privilegia a privacidade e é fácil de utilizar em comparação com as soluções tradicionais de CAPTCHA, como o Google reCAPTCHA. Mas será que cumpre realmente as suas promessas em matéria de privacidade?
Este artigo analisa a realidade subjacente ao adendo de privacidade e às práticas de recolha de dados da Turnstile, a sua conformidade com regulamentos de privacidade, como o Regulamento Geral sobre a Proteção de Dados, e as responsabilidades que incumbem aos operadores de sítios web.
O Guardião Silencioso: Como funciona o Turnstile
O Turnstile funciona silenciosamente em segundo plano quando o seu Modo Invisível está ativado. Esta abordagem baseada no JavaScript parece, à primeira vista, mais intuitiva e respeitadora da privacidade. O utilizador não vê um desafio CAPTCHA tradicional nem tem de resolver nenhum. De facto, a experiência bastante integrada do CAPTCHA parece ser uma boa opção para quem procura reduzir o atrito sem sacrificar a segurança.
No entanto, a invisibilidade do Turnstile cria uma falsa sensação de privacidade. O que se passa nos bastidores revela uma realidade bem diferente.
Turnstile Aviso de Privacidade: Práticas vagas de recolha de dados
A política de privacidade do Cloudflare para o Turnstile refere a recolha de uma “variedade” de sinais do lado do cliente para funcionar e proteger contra bots. Mas o que significa “variedade” na prática?
A política de privacidade da Cloudflare carece de especificidade e do RGPD princípio da transparência. O Cloudflare não fornece uma lista detalhada dos dados recolhidos, do período durante o qual são conservados nem da forma exata como são utilizados para além da deteção de bots.
Em vez de manter uma política de privacidade específica para o Turnstile, o Cloudflare remete para a sua política geral cookie. Isto cria uma experiência fragmentada para os utilizadores preocupados com a privacidade e para os operadores de sítios Web que procuram compreender as suas obrigações em matéria de conformidade. É necessário reunir informações de vários documentos para obter uma visão completa – isto é, se for possível encontrá-las.
Que sinais recolhe o Turnstile?
De acordo com a documentação da Cloudflare, isto inclui características do navegador, padrões de interação do utilizador e informações sobre o dispositivo. No entanto, os parâmetros exatos continuam a ser pouco claros. Os operadores de sítios Web manifestam alguma confusão quanto ao facto de isto incluir endereços IP, impressões digitais de dispositivos ou dados de rastreamento comportamental que possam identificar os utilizadores de forma indireta.
Um utilizador do Reddit na comunidade r/GDPR expressou esta preocupação diretamente. Este cepticismo reflete um sentimento mais generalizado entre os defensores da privacidade na Europa e põe em evidência uma questão importante: no que diz respeito à segurança do site, a Cloudflare atua como subcontratante em nome do proprietário do site (o responsável pelo tratamento), tendo acesso às informações dos visitantes.
Um exemplo documentado: o Cloudflare Política de Privacidade oficial Turnstile lista o endereço IP, a impressão digital TLS, o User-Agent e a Sitekey, mas não os dados do renderizador WebGL, apesar de análise independente e diagnósticos comunicados pelo utilizador O código Turnstile verifica ativamente o modelo da GPU e as cadeias de caracteres do controlador.
As cadeias de caracteres do renderizador WebGL estão ligadas ao hardware e são estáveis ao longo da sessão. Trata-se de um identificador persistente que funciona sem o cookies. No âmbito do Orientações 2/2023 do PEPD Nos termos do n.º 3 do artigo 5.º da Diretiva ePrivacy, esses sinais de identificação requerem uma base legal. O ónus da conformidade recai sobre os operadores – no que diz respeito aos sinais que a Cloudflare não divulga.
O Cloudflare e o Turnstile utilizam o Cookies?
O Turnstile define o cookies para a deteção de bots e a gestão de sessões. O Cloudflare afirma que o Turnstile utiliza apenas “sinais” para fins estritamente relacionados com a proteção contra bots. Estes são classificados como “estritamente necessários” no âmbito do cookies RGPD e a diretiva ePrivacy, o que significa que tecnicamente não requerem o consentimento do utilizador.
Em geral, o cookies constitui um ponto central de confusão no que diz respeito à utilização do Turnstile, uma vez que o serviço Turnstile não dispõe de uma política específica para o cookie e links para a política geral Cloudflare. A política geral cookie da Cloudflare é extensa e complexa, abrangendo todos os serviços Cloudflare, e referindo-se à segmentação e ao desempenho do cookies. Esta transição entre uma política geral e um produto específico da família Cloudflare é uma questão que nunca foi esclarecida.
O que isto significa para os operadores de websites?
Os operadores de sítios Web devem consultar esta documentação para compreenderem exatamente quais são os conjuntos cookies e Turnstile, as suas finalidades e os seus períodos de retenção. Para muitos operadores, esta é uma tarefa avassaladora.
Nos Estados Unidos, onde os regulamentos de privacidade são menos rigorosos do que na Europa, esta falta de clareza pode parecer menos premente. No entanto, as empresas americanas atendem cada vez mais a utilizadores europeus e devem cumprir o RGPD da União Europeia. independentemente da sua localização. Adicionalmente, leis de privacidade a nível estadual como o California Consumer Privacy Act (CCPA) estão a criar novos requisitos de conformidade mesmo nos EUA.
Por fim, é necessário referir uma particularidade das mutações Cloudflare e Turnstile. A dados-c campo permite enviar dados do cliente na resposta de verificação para o backend. Esta flexibilidade, enquanto útil para os desenvolvedores, adiciona outra camada de potencial fuga de dados se não for manuseado com cuidado.
O Operador é Responsável por estar em Conformidade com o RGPD
O Cloudflare Turnstile baseia-se no interesse legítimo como fundamento jurídico para a proteção contra bots, em vez do consentimento do utilizador. Esta é uma distinção fundamental. Ao abrigo do RGPD, o “interesse legítimo” permite que as empresas tratem dados pessoais sem consentimento explícito, desde que o tratamento seja necessário e proporcionado. A Cloudflare argumenta, então, que a prevenção de ataques de bots e a proteção da segurança do sítio web constituem um interesse legítimo.
À primeira vista, isto parece razoável. Proteção de bots é inegavelmente importante. No entanto, o ónus do cumprimento não se esgota nas alegações de legitimidade e necessidade técnica da norma Cloudflare. Os operadores de sítios Web continuam a ser inteiramente responsáveis pelo estrutura de conformidade completa, incluindo:
Estabelecer uma base de interesse legítimo para o seu caso de uso específico
Realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPD)
Atualizar a sua política de privacidade com informações claras sobre os sistemas Turnstile
Garantir que os Acordos de Processamento de Dados (DPA) adequados estejam em vigor
Analisar todos os parâmetros cookies definidos pelo Turnstile e documentar as suas finalidades
Acompanhamento das práticas de conformidade da Cloudflare ao longo do tempo
Por outras palavras, a Cloudflare fornece a ferramenta, mas a responsabilidade é sua. Este é um ponto crucial frequentemente ignorado pelos webmasters, que partem do princípio de que a utilização de um serviço “em conformidade com o RGPD” torna automaticamente o seu site conforme com a regulamentação.
Turnstile e a base jurídica da CCPA
Para conformidade com a CCPA nos Estados Unidos, aplicam-se responsabilidades semelhantes. Embora a CCPA tenha um patamar inferior ao GDPR, ainda exige transparência sobre a recolha de dados e a possibilidade de os residentes na Califórnia recusarem determinadas utilizações dos dados. Os operadores de sítios Web devem garantir que as suas políticas de privacidade divulgam as práticas de recolha de dados da Turnstile para cumprir os requisitos do CCPA.
Transferência de Dados e Considerações Internacionais
Outra complexidade em matéria de conformidade decorre das transferências de dados. A Cloudflare opera centros de dados tanto na UE como nos EUA. Quando a Turnstile recolhe dados de visitantes europeus, para onde vão esses dados? mesmo processados? Embora a Cloudflare afirme dispor de centros de dados na UE, a política de privacidade não deixa claro se os dados são automaticamente encaminhados para servidores europeus ou se podem ser transferidos para os Estados Unidos.
Isto é importante porque a transferência de dados pessoais da UE para os EUA requer mecanismos jurídicos específicos, tais como as Cláusulas Contratuais Tipo (SCC) ou uma decisão de adequação. O panorama tem sido incerto desde o acórdão Schrems II, que colocou em causa a adequação das transferências de dados para os EUA. A Cloudflare deve dispor de mecanismos adequados, e os operadores de sítios Web devem compreender e documentar essas transferências.
Para operadores de websites americanos, isto é menos uma preocupação a nível nacional, mas aqueles que servem audiências internacionais devem estar cientes destas complexidades.
A Questão da Partilha de Dados
O Cloudflare recolhe sinais técnicos através do Turnstile e, embora afirme utilizá-los exclusivamente para a deteção de bots, ainda não existe total clareza quanto à forma como esses dados são utilizados.
Um dos aspetos mais preocupantes do Turnstile é a questão da partilha de dados. Embora a Cloudflare afirme que não utiliza os dados da Turnstile para fins publicitários, continua a não ser claro se esses dados são retidos para fins que vão além da deteção de bots. A política de privacidade da Cloudflare afirma que processa sinais “para melhorar as capacidades de deteção de bots da Turnstile”, mas a extensão deste processo de melhoria e se envolve o treino de modelos de aprendizagem automática permanece vaga.
Limitações e Expectativas Realistas
O Turnstile apresenta vantagens reais em relação a soluções como reCAPTCHA. Recolhe menos dados do que a solução do Google, não utiliza dados para publicidade e proporciona uma melhor experiência de utilizador. No entanto, estas vantagens vêm com limitações importantes:
A Turnstile não é totalmente transparente no que diz respeito às suas práticas em matéria de dados
Os operadores de websites são inteiramente responsáveis pelo cumprimento
A falta de uma política de privacidade dedicada cria confusão
Os períodos de retenção de dados e os fins exatos de tratamento não são claros
O uso potencial de dados para treino de IA não é explicitamente divulgado.
Um nível adequado para conformidade geral requer esforço ativo e conhecimento jurídico
Para operadores de websites com requisitos de privacidade rigorosos ou públicos europeus sob a diretiva ePrivacy, estas questões representam preocupações genuínas.
A alternativa Friendly Captcha
O Friendly Captcha constitui uma alternativa atraente ao Cloudflare e ao Turnstile.
O Friendly Captcha foi concebido especificamente tendo como prioridade a privacidade e a conformidade com o RGPD. A solução utiliza prova de trabalho tecnologia que funciona inteiramente no dispositivo do utilizador – não são enviados dados para os servidores da Friendly Captcha para além do estritamente necessário para a verificação do bot.
Em termos de privacidade, como se compara o Friendly Captcha com o Cloudflare e o Turnstile?
| Preocupações com a privacidade | Cloudflare Turnstile | Friendly Captcha |
|---|---|---|
|
Política clara e específica para o cookies |
❌ |
✅ |
|
Utilização do Cookies |
O modelo cookies está em vigor, mas remete para a política geral do modelo Cloudflare, onde são mencionados os critérios de seleção e o desempenho do modelo cookies |
✅ Apenas o cookies está funcional (__Host-x-frc-session, frc_sid, frc_sc, frc_rc, frc_sol). 0 cookies HTTP Sem cookies de terceiros Sem desempenho cookies Sem publicidade cookies |
|
Processamento de dados |
Falta de transparência |
✅ Limpar DPA |
|
Conformidade com RGPD e CCPA |
Os operadores do website mantêm a responsabilidade pela total conformidade. |
✅ Conformidade total por conceção |
|
Transferência de Dados |
Transferência de dados ao abrigo do Data Privacy Framework |
✅ Sem transferência internacional de dados |
|
Retenção de dados |
Vago “compatível com os propósitos comerciais”, “enquanto necessário”. |
Anonimização de dados com hashing unidirecional e eliminação automática no prazo de 30 dias. |
Para os operadores de sites americanos, o Friendly Captcha oferece a mesma facilidade de integração que o Turnstile, mas com a garantia adicional de que as práticas de privacidade estão verdadeiramente alinhadas com as expectativas atuais. À medida que as regulamentações de privacidade se tornam mais rigorosas nos EUA (com a CCPA, as leis estaduais e a potencial legislação federal), a escolha de uma solução que prioriza a privacidade prepara agora o seu site para o cumprimento futuro das normas.
Conclusão: Conformidade Exige Mais do que Boas Intenções
O Cloudflare Turnstile não é, por si só, incompatível com o RGPD ou a CCPA. No entanto, também não está em conformidade automaticamente. A solução CAPTCHA baseia-se no interesse legítimo como fundamento jurídico e minimiza a recolha de dados em comparação com alternativas como a reCAPTCHA. Estas são vantagens reais.
No entanto, a opacidade das práticas de recolha de dados da Cloudflare e da Turnstile, a ausência de uma política de privacidade específica, a utilização pouco clara da cookie e as políticas ambíguas de retenção de dados criam desafios de conformidade que os operadores de sítios web têm de resolver por conta própria. Isto coloca todo o peso da responsabilidade pela privacidade exclusivamente sobre os seus ombros.
Para os operadores de sites, tanto americanos como europeus, isto significa:
Não presuma que está em conformidade só porque utiliza o Cloudflare e o Turnstile.
Invista tempo a compreender as suas obrigações específicas em matéria de conformidade antes de integrar o Cloudflare e o Turnstile.
Considere se um mais transparente Cloudflare CAPTCHA (alternativa) talvez o Friendly Captcha se adapte melhor às suas necessidades
Se este nível de trabalho de conformidade parecer avassalador, ou se priorizar transparência genuína e design centrado na privacidade, Friendly Captcha oferece o caminho mais fácil para a proteção de bots sem as dores de cabeça da conformidade.
As políticas claras, o tratamento mínimo de dados e as práticas transparentes do Friendly Captcha permitem-lhe implementar com confiança a proteção contra bots, sabendo que as suas obrigações em matéria de privacidade são cumpridas por definição, e não por acaso.
Os operadores de sites preocupados com a privacidade merecem ferramentas que tornem a conformidade simples, e não complexa. Nesse sentido, o Friendly Captcha destaca-se como a solução mais prática para quem procura proteção contra bots sem comprometer a segurança. Experimente o Friendly Captcha agora!
FAQ
O Cloudflare Turnstile não está, por predefinição, em conformidade com o RGPD. No entanto, o seu modo de funcionamento permite-lhe recolher informações no âmbito do interesse legítimo da proteção anti-bot, o que significa que não é necessário o consentimento explícito do utilizador. O serviço aplica a minimização de dados, embora os tipos de “vários sinais” recolhidos permaneçam vagos e imprecisos. Os operadores de sites são responsáveis pela configuração de sites em conformidade com o RGPD, o que inclui a atualização das declarações de privacidade e, se necessário, a assinatura de um Acordo de Tratamento de Dados (DPA) com o Cloudflare.
O simpático CAPTCHA é Em conformidade com o RGPD por predefinição e oferece uma alternativa que privilegia a privacidade em relação ao Cloudflare Turnsite. Os operadores de sites não precisam de tomar qualquer medida ao implementar o widget Friendly Captcha.
O Cloudflare Turnstile está em conformidade com a CCPA, uma vez que minimiza a utilização de dados e não utiliza dados para fins publicitários, de rastreamento ou de retargeting. No entanto, tal como acontece com a conformidade com o RGPD para utilizadores e sítios web europeus, o operador do sítio web é responsável por garantir a conformidade ao utilizar o Cloudflare Turnstile, incluindo o conhecimento dos compromissos em matéria de privacidade.
Friendly Captcha é Em conformidade com a CCPA por defeito e é uma alternativa focada na privacidade para utilizadores e operadores de websites americanos.
O Cloudflare Turnstile oferece maior privacidade do que o Google reCAPTCHA, ao eliminar o rastreamento cookies e reduzir significativamente a recolha de dados. Enquanto o reCAPTCHA utiliza o extenso rastreamento entre sites do Google para criar perfis de utilizador, o Turnstile recorre apenas a sinais do navegador não identificativos, garantindo um cumprimento mais fácil de regulamentos como o RGPD ou a CCPA.
O Friendly Captcha é o melhor serviço CAPTCHA para utilizadores e operadores que procuram privacidade precisa.
O aditamento sobre privacidade do Cloudflare e do Turnstile está disponível ao público. No entanto, a política de privacidade do Turnstile remete para o aviso geral de privacidade do Cloudflare, especialmente no que diz respeito à utilização do cookie. A política do Cloudflare relativa ao cookie é extensa e complexa, abrangendo todos os seus serviços. A distinção entre o Turnstile como produto e o Cloudflare como família de produtos pode ser difícil de compreender e pode complicar a utilização do Turnstile.
Sim, o Cloudflare e o Turnstile transferem dados. O Cloudflare e o Turnstile transferem sinais do cliente, tais como o endereço IP do visitante, dados do agente do utilizador, impressão digital TLS e entradas do navegador, metadados do site (sitekey e origem do pedido) e pedidos de verificação. Uma vez que são processados dados pessoais, como endereços IP, os operadores de sites deve divulgar isto nas suas políticas de privacidade e garantir a conformidade com regulamentos como o RGPD ou o CCPA.
English 
German 
French 
Spanish 
Italian 
Portuguese