LGPD para sites: o que sua página precisa para estar em conformidade
A Lei Geral de Proteção de Dados (LGPD) está em vigor desde 2020 e afeta qualquer site que coleta dados pessoais de brasileiros. Se você tem um site, precisa se adequar. Não importa se é um blog pequeno, uma landing page ou um e-commerce. A multa pode chegar a 2% do faturamento, limitada a 50 milhões de reais. Neste artigo, mostro o que sua página precisa para ficar em conformidade com a lgpd para sites.
O que a LGPD exige do seu site
A LGPD estabelece regras claras para coleta, armazenamento e tratamento de dados pessoais. Dado pessoal é qualquer informação que identifique ou torne alguém identificável: nome, CPF, e-mail, IP, cookies, geolocalização. O site precisa ter uma base legal para cada coleta — consentimento, legítimo interesse, execução de contrato, entre outras. Na prática, você precisa informar o usuário sobre o que coleta, por que coleta, por quanto tempo guarda e com quem compartilha.
Além disso, a lei exige que o titular dos dados possa acessar, corrigir, excluir ou portar seus dados a qualquer momento. Isso significa que seu site deve ter mecanismos para atender a essas solicitações. Sem um processo definido, você pode ser notificado pela Autoridade Nacional de Proteção de Dados (ANPD) e sofrer sanções.
Um ponto importante: a LGPD se aplica mesmo que seu site não seja o controlador principal dos dados. Se você usa Google Analytics, Mailchimp ou qualquer serviço de terceiros que processe dados de usuários, você é corresponsável. Por isso, revise todos os serviços integrados ao seu site e verifique se eles estão em conformidade.
Política de privacidade
A política de privacidade é o documento central da conformidade. Ela deve estar acessível em todo o site, geralmente no rodapé. O conteúdo precisa ser claro, em português, e detalhar:
- Quais dados são coletados (formulários, cookies, logs de acesso).
- Finalidade da coleta (ex: enviar newsletter, processar pedido, melhorar a experiência).
- Base legal para cada finalidade (consentimento, legítimo interesse, etc.).
- Compartilhamento com terceiros (nome dos serviços e país onde os dados ficam).
- Período de retenção dos dados.
- Direitos do titular e como exercê-los.
Muita gente copia política de outro site. Isso é perigoso. Cada site tem coleta e finalidades diferentes. Um site de e-commerce coleta dados de pagamento; um blog coleta apenas e-mail e cookies. A política precisa refletir exatamente o que seu site faz. Se você usa o Facebook Pixel, por exemplo, precisa informar que os dados vão para os EUA e citar a base legal (geralmente consentimento).
Para sites de profissionais de saúde, como sites para médicos em Brasília, a política de privacidade deve mencionar o cumprimento da Resolução CFM 1.974, que exige sigilo e proteção dos dados dos pacientes. Nesse caso, o consentimento precisa ser explícito e separado para cada finalidade.
Termos de uso
Os termos de uso regulam a relação entre você e o usuário do site. Embora não sejam exclusivos da LGPD, eles complementam a política de privacidade. Nos termos, você define regras de uso do conteúdo, propriedade intelectual, limitação de responsabilidade e condições de cancelamento de serviços.
Para a LGPD, os termos de uso devem deixar claro que o usuário concorda com a política de privacidade ao navegar ou se cadastrar. Muitos sites incluem uma cláusula de aceitação implícita, mas o ideal é obter consentimento explícito via checkbox. Em casos de coleta de dados sensíveis (saúde, religião, política), o consentimento precisa ser ainda mais específico.
Os termos também devem prever como o site lida com dados de menores de idade. A LGPD exige consentimento de um dos pais ou responsável para crianças menores de 12 anos. Se seu site tem conteúdo infantil, adapte os termos e a política para incluir esse requisito.
Banner de cookies
Cookies são pequenos arquivos que armazenam informações no navegador. Eles podem ser essenciais (para o funcionamento do site) ou não essenciais (rastreamento, marketing). A LGPD exige que o usuário seja informado sobre o uso de cookies e, para os não essenciais, que dê consentimento prévio.
O banner de cookies deve aparecer na primeira visita e conter:
- Mensagem clara de que o site usa cookies.
- Link para a política de privacidade.
- Opção de aceitar todos, rejeitar todos ou personalizar.
- Botão de “Aceitar” e “Recusar” com mesmo destaque (não vale esconder o “recusar”).
Muitos sites usam banners que apenas informam, sem dar opção de recusa. Isso não é suficiente. A ANPD já multou empresas por não oferecerem escolha real. Ferramentas como Cookiebot, OneTrust ou o plugin gratuito Cookie Notice & Compliance for GDPR/CCPA resolvem o problema. Configure para que os cookies de rastreamento só sejam ativados após o consentimento.
Para sites de serviços locais, como um site para dentistas em Brasília, o banner de cookies deve ser leve e não atrapalhar a navegação. Muitos pacientes acessam pelo celular e podem se incomodar com pop-ups pesados. Prefira um banner no topo ou na base da tela, que suma após a escolha.
Direitos do titular
A LGPD lista 10 direitos do titular dos dados. Os principais para seu site são:
- Confirmação e acesso: o usuário pode perguntar se você tem dados dele e pedir uma cópia.
- Correção: pode solicitar a atualização de dados incorretos.
- Exclusão: pode pedir a remoção dos dados, exceto se houver obrigação legal de mantê-los.
- Portabilidade: pode pedir os dados em formato estruturado para levar a outro serviço.
- Revogação do consentimento: pode retirar a autorização a qualquer momento.
Para atender a esses direitos, crie um canal de contato específico, como um e-mail (lgpd@seudominio.com.br) ou formulário. Treine sua equipe para responder em até 15 dias, conforme a lei. Se você usa sistemas de terceiros, como CRM ou plataforma de e-mail marketing, garanta que eles permitam exportar e excluir dados.
Um erro comum é achar que só empresas grandes precisam se preocupar. A ANPD já autuou microempresas. Em 2023, mais de 200 processos foram abertos contra pequenos negócios. O custo de adequação é baixo comparado à multa. Um plugin de consentimento custa de R$ 0 a R$ 200 por mês. A política de privacidade pode ser feita com modelos gratuitos, mas o ideal é um advogado revisar.
Multas e fiscalização
As sanções da LGPD incluem:
- Advertência com prazo para correção.
- Multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração).
- Multa diária.
- Publicização da infração.
- Bloqueio ou eliminação dos dados.
- Suspensão parcial ou total do funcionamento do banco de dados ou do site.
A ANPD começou a fiscalizar ativamente em 2023. O foco inicial são empresas de grande porte, mas pequenos sites também podem ser alvo de denúncias. Um usuário insatisfeito pode abrir reclamação na ANPD ou no Procon. Em 2024, a ANPD publicou o Guia de Boas Práticas e intensificou as notificações.
Para evitar problemas, mantenha um registro das operações de tratamento de dados (ROPA). Documente quais dados coleta, onde armazena, quem tem acesso e por quanto tempo. Isso ajuda a comprovar conformidade em caso de fiscalização.
Outra dica: revise periodicamente os serviços que você integra ao site. Muitos plugins gratuitos coletam dados sem seu conhecimento. Desative o que não for essencial. E, se possível, opte por servidores no Brasil para reduzir riscos de transferência internacional.
Base legal para cada tipo de dado
A LGPD exige que toda coleta de dados tenha uma base legal específica. As mais comuns em sites são: consentimento, legítimo interesse, execução de contrato e obrigação legal. Cada finalidade precisa de uma base diferente. Por exemplo, enviar newsletter exige consentimento; processar uma compra pode usar execução de contrato; usar cookies analíticos pode se basear em legítimo interesse, desde que não haja impacto significativo na privacidade.
Na prática, você precisa mapear todas as coletas do seu site e associar cada uma a uma base legal. Isso deve estar documentado na política de privacidade. Um erro frequente é usar consentimento para tudo, mas o consentimento deve ser a última opção, pois é mais burocrático (exige ação afirmativa do usuário). O legítimo interesse é válido para finalidades como segurança do site, prevenção de fraudes e marketing direto para clientes existentes, desde que você avalie e documente que os direitos do titular não são prejudicados.
Para dados sensíveis (saúde, religião, orientação sexual), a única base legal possível é o consentimento explícito ou uma exceção específica (como proteção à vida). Por isso, se seu site coleta dados sensíveis, como em consultas online, o formulário deve ter uma checkbox separada e clara, sem texto genérico.
Encarregado de dados (DPO)
A LGPD determina que o controlador (você, dono do site) indique um encarregado de dados, também chamado de DPO (Data Protection Officer). O DPO é o ponto de contato entre sua empresa, os titulares e a ANPD. Ele não precisa ser um funcionário interno; pode ser terceirizado. O importante é que ele tenha conhecimento da lei e possa atuar de forma independente.
Para sites pequenos, o próprio dono pode acumular a função, desde que entenda as obrigações. Mas o ideal é designar alguém com experiência. O contato do DPO deve estar público, geralmente na política de privacidade. Muitos sites colocam um e-mail genérico como dpo@seudominio.com.br, mas sem divulgar o nome. A ANPD recomenda que o nome do encarregado seja informado, embora não seja obrigatório.
Além disso, o DPO precisa ter autonomia para implementar medidas de proteção. Se você terceiriza o desenvolvimento do site, como fazemos na Web Pixel, podemos ajudar a configurar os mecanismos de coleta e consentimento, mas a responsabilidade pelo DPO é sua. Mantenha um registro das atividades de tratamento e revise anualmente se a adequação continua válida.
Concluindo: adequar seu site à LGPD não é um bicho de sete cabeças. Comece pela política de privacidade, instale um banner de cookies funcional, crie um canal para direitos dos titulares e documente seus processos. O investimento é pequeno e evita dores de cabeça com multas. Se precisar de ajuda, a Web Pixel pode desenvolver ou revisar seu site para garantir conformidade.