Obrigações da LGPD para sites: O que você realmente precisa cumprir
Política de privacidade, consentimento de cookies, identificação do responsável - três obrigações que todo site deve cumprir. Explicado de forma clara para gestores e diretores, sem jargão jurídico.
O que é uma política de privacidade e por que todo site precisa de uma?
Uma política de privacidade informa os visitantes do seu site sobre quais dados pessoais são coletados, por que isso é feito e quais direitos os titulares dos dados possuem. Parece abstrato, mas é concreto: apenas quando alguém acessa seu site, o servidor armazena um endereço IP. Isso já é um dado pessoal. Com isso, todo site está sujeito à LGPD.
A Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018) está em vigor no Brasil desde agosto de 2020. Ela obriga todo operador de site - seja grande empresa, PME, associação ou fundação - a dispor de uma política de privacidade completa. Se falta ou está desatualizada, há risco de sanções pela ANPD (Autoridade Nacional de Proteção de Dados).
Importante: uma política de privacidade não é o mesmo que os termos de uso. Os termos de uso regulam as condições de utilização do site. A política de privacidade regula como os dados são tratados (segundo a LGPD). Ambos são recomendados e devem existir separadamente.
Os erros mais frequentes nas políticas de privacidade
Na nossa prática, vemos sempre os mesmos problemas. Muitos deles são facilmente evitáveis - quando se sabe no que prestar atenção.
Modelos desatualizados
Muitos sites ainda utilizam políticas de privacidade genéricas ou desatualizadas. Desde a entrada em vigor da LGPD, a legislação evoluiu (novas orientações da ANPD, decisões sobre uso de dados). Um modelo de anos atrás quase certamente não é mais conforme.
Informações que faltam
A LGPD exige informações concretas: nome do controlador, contato do encarregado de dados (DPO), bases legais para cada tratamento, prazos de retenção e direitos dos titulares. Se falta algum desses, a política está incompleta.
Copiar e colar sem adaptar
Uma política de privacidade deve corresponder ao próprio site. Quem usa Google Analytics mas só menciona Facebook Pixel tem um problema. E quem não usa ferramentas de análise mas escreve três parágrafos sobre elas, também.
Páginas vazias ou escondidas
Alguns sites têm um link para a política de privacidade no rodapé, mas a página está vazia ou leva a um erro. A ANPD pode fiscalizar isso - e advogados especializados em reclamações ainda mais.
Consentimento de cookies: por que um simples aviso não basta
Cookies são pequenos arquivos de texto que os sites armazenam no dispositivo do visitante. Alguns são tecnicamente necessários (por exemplo, para o carrinho de compras em uma loja online). Outros servem para análise ou marketing - e é aí que se torna juridicamente relevante.
A LGPD exige uma base legal para qualquer tratamento de dados pessoais. Para cookies não essenciais, o consentimento é a base mais segura. Isso significa: um banner com o texto "Este site utiliza cookies - OK" não é suficiente. O visitante deve ter uma escolha real - com a possibilidade de rejeitar categorias individuais.
Na prática, você precisa de uma plataforma de gestão de consentimento (CMP). Essa ferramenta mostra na primeira visita um banner de cookies com pelo menos duas opções: "Aceitar tudo" e "Apenas necessários". Somente após o consentimento podem ser instalados cookies de rastreamento. Sem um CMP funcional, qualquer tracking no seu site pode ser considerado ilícito.
A propósito: vídeos incorporados do YouTube, Google Maps ou botões de redes sociais também instalam cookies. Quem incluir esses conteúdos precisa de consentimento prévio ou de uma solução de dois cliques que só carrega após a aprovação.
A melhor solução: não precisar de um banner de cookies
Existe uma alternativa ao dilema do banner de cookies: construa seu site de forma que não instale cookies não essenciais. Sem tracking, sem fontes externas, sem embeds de terceiros - então você não precisa de banner nem de CMP. Isso economiza dinheiro (ferramentas CMP custam entre 50 e 500 EUR por mês), melhora o tempo de carregamento e simplifica enormemente a conformidade com a LGPD.
Parece irreal? O gosign.de é a prova: zero cookies, zero banner, Lighthouse 100/100, análise completa com ferramentas sem cookies. O que está por trás disso e como pode funcionar também para o seu site, explicamos em detalhe:
Site sem cookie banner - é assim que funcionaLGPD, Marco Civil, CDC - qual lei se aplica a quê?
Três marcos normativos, três âmbitos de aplicação. Para os operadores de sites é importante conhecer a diferença - porque infrações de cada um podem ser sancionadas separadamente.
| Legislação | Regula | Obrigação para sites |
|---|---|---|
| LGPD | Tratamento de dados pessoais | Política de privacidade, registro de atividades de tratamento, direitos dos titulares |
| Marco Civil da Internet | Princípios, garantias e deveres para o uso da internet | Proteção de dados, privacidade, guarda de registros de acesso |
| CDC | Proteção do consumidor | Informação clara e adequada sobre produtos e serviços, incluindo em meios digitais |
A LGPD é uma lei federal e se aplica a todo tratamento de dados pessoais. O Marco Civil da Internet (Lei 12.965/2014) estabelece princípios para o uso da internet no Brasil. O Código de Defesa do Consumidor (CDC) regula as relações de consumo, incluindo no ambiente digital. As três legislações se aplicam em paralelo e todas devem ser cumpridas.
Caso especial: fundações e organizações sem fins lucrativos
Um equívoco comum: fundações, associações e organizações sem fins lucrativos estão isentas da LGPD. Isso não é verdade. A LGPD se aplica a toda organização que trate dados pessoais - independentemente da forma jurídica ou finalidade.
Na prática, isso significa: também o site de uma fundação, uma associação ou uma entidade religiosa precisa de uma política de privacidade completa, um banner de cookies conforme e uma identificação clara do responsável. Os requisitos são idênticos aos de uma empresa comercial.
Precisamente em fundações, vemos com frequência sites com formulários de contato, inscrição em newsletters e formulários de doação - áreas onde dados especialmente sensíveis são tratados. Uma política de privacidade correta não é apenas obrigatória, mas também uma questão de confiança com doadores e apoiadores. Também a base técnica do site desempenha um papel - informações básicas sobre Schema.org e fundamentos de SEO ajudam a posicionar o site de forma profissional.
Lista de verificação: 8 pontos que todo site deve cumprir
Independentemente do setor, porte ou forma jurídica - estes oito pontos são o mínimo para todo site no Brasil.
Política de privacidade existente e atualizada
Política completa com todas as informações obrigatórias da LGPD. Verificar pelo menos anualmente e atualizar após mudanças legislativas.
Identificação clara do responsável
Nome, endereço, e-mail, telefone, CNPJ. Em uma página separada, acessível com no máximo dois cliques.
Banner de cookies com consentimento real
Sem "Aceitar tudo" pré-selecionado. Opções equivalentes para aceitar e rejeitar. Somente após o consentimento podem ser instalados cookies não essenciais.
Criptografia SSL/TLS ativa
Todo o site deve ser acessível por HTTPS. Sem criptografia, os dados de formulários são transmitidos em texto plano - uma clara vulnerabilidade.
Formulários de contato com aviso de privacidade
Cada formulário precisa de um aviso sobre o tratamento de dados e um link para a política de privacidade. Para dados sensíveis (candidaturas, saúde) é necessário consentimento separado.
Contratos com operadores de dados firmados
Para cada prestador externo com acesso a dados pessoais (hosting, e-mail, ferramentas de análise) deve existir um contrato de operador de dados. Sem ele, o tratamento pode ser considerado irregular.
Sem integrações de terceiros descontroladas
Google Fonts hospedadas localmente (não carregar dos servidores do Google). Vídeos do YouTube apenas com solução de dois cliques. Sem pixels de rastreamento externos sem consentimento. Cada conexão com terceiros deve ser documentada na política de privacidade.
Acesso acessível às informações legais
A política de privacidade e os termos de uso devem ser acessíveis para todos - também para pessoas com deficiência. A Lei 13.146/2015 (Estatuto da Pessoa com Deficiência) exige acessibilidade digital.
Verificação de privacidade do seu site: 30 minutos, gratuita.
Verificamos seu site quanto à conformidade com a LGPD e mostramos onde é preciso agir.
Solicitar verificação de privacidade25 anos de experiência · 800+ projetos · Prática de privacidade desde Hamburgo
O que acontece em caso de infração?
As consequências de uma infração da LGPD são reais e podem ser severas. A LGPD prevê sanções que vão desde advertência até multa simples de até 2% do faturamento - limitada a R$ 50 milhões por infração. A ANPD (Autoridade Nacional de Proteção de Dados) é responsável pela fiscalização e aplicação das sanções.
Além das multas, existem dois riscos adicionais que na prática se materializam com mais frequência:
Ações judiciais
Titulares de dados e organizações de defesa do consumidor podem mover ações judiciais por danos causados pelo tratamento indevido de dados pessoais. O número de processos tem crescido significativamente desde a entrada em vigor da LGPD.
Procedimentos da ANPD
A ANPD tem intensificado suas atividades de fiscalização. Uma denúncia é gratuita para qualquer titular de dados e pode resultar em procedimento administrativo. Isso consome recursos internos e pode levar a obrigações de adequação com prazos curtos.
O mais importante: a maioria das infrações em sites é facilmente evitável. Uma política de privacidade atualizada, um banner de cookies funcional e uma identificação correta do responsável custam uma fração do que custa uma multa. A prevenção não é uma questão de orçamento, mas de prioridade.
A Gosign é uma agência digital de Hamburgo com 25 anos de experiência em desenvolvimento web, TYPO3 e integração de IA. Verificamos sites quanto à conformidade com a LGPD, implementamos soluções conformes com a legislação de proteção de dados e acompanhamos empresas, fundações e organismos públicos no cumprimento de todos os requisitos legais.
Atualizado: março 2026
Perguntas frequentes sobre proteção de dados em sites
Todo site precisa de uma política de privacidade?
Sim, sem exceção. Desde agosto de 2020 (LGPD), todo site que trate dados pessoais - e todo site faz isso ao menos através dos logs do servidor - deve ter uma política de privacidade completa.
Um simples aviso de cookies é suficiente?
Não. É necessário um consentimento real antes de instalar cookies não essenciais. Um simples banner com botão de OK não é conforme com a legislação.
Fundações estão isentas da LGPD?
Não. A LGPD se aplica a todas as organizações que tratam dados pessoais, independentemente da forma jurídica. Também fundações sem fins lucrativos devem ter uma política de privacidade completa.
Agende uma consulta inicial gratuita
30 minutos com um especialista da Gosign, sem compromisso.