Durante muito tempo, a utilização do reCAPTCHA da Google criou dúvidas sobre a protecção de dados. Este serviço foi desenvolvido para proteger logins em sites contra bots e spam, mas a forma como tratava a informação dos utilizadores nem sempre era transparente.
Até agora, a Google era a responsável pelo tratamento dos dados ao analisar o comportamento dos utilizadores; ou seja, a empresa decidia as finalidades e os meios do tratamento dos dados recolhidos em segundo plano, muitas vezes com base nas suas próprias políticas gerais de privacidade. Contudo, isto vai acabar.
Segundo a Google, a partir de 2 de Abril de 2026 a empresa deixa de fazer isto e definir os meios do tratamento; assim, o reCAPTCHA (actualmente na versão 3) começa a ser «integrado no conjunto dos serviços profissionais da Google Cloud e passará a obedecer aos mesmos requisitos de conformidade».
Na prática, esta transformação implica que, a partir da Primavera de 2026, os próprios donos dos sites passam a ser os responsáveis pelo tratamento dos dados do reCAPTCHA, ficando a Google apenas como subcontratante do tratamento.
A empresa, que passa de ‘data controller’ para ‘data processor’, compromete-se, assim, a tratar os dados recolhidos nos sites dos clientes «exclusivamente de acordo com instruções rigorosas dadas por esses operadores».
