LGPD para Sites: Checklist Completo de Adequação
A LGPD está em vigor desde 2020 e a ANPD já aplicou multas de até R$ 50 milhões. Pequenas empresas não estão imunes. Este checklist cobre 30+ itens essenciais, bases legais, multas reais, ferramentas e o que priorizar nas primeiras semanas.
Por Vitor Morais
Fundador do MochaLabz ·
Gere a política de privacidade do seu site
Texto base alinhado com a LGPD, em minutos. Personalize com os campos do seu negócio.
Gerar política de privacidade →A LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) está em vigor desde setembro de 2020 e, desde 2023, a ANPD (Autoridade Nacional de Proteção de Dados) tem aplicado multas que já chegaram a casas de milhões de reais. O mito de que “LGPD é coisa só de empresa grande” já caiu por terra: e-commerces médios, startups e até sites institucionais com formulários de contato e Google Analytics estão sob fiscalização. Este checklist é o que toda empresa com presença web deveria executar.
Quem precisa se adequar (e quem não precisa)
A LGPD aplica-se a qualquer pessoa física ou jurídica, pública ou privada, que trate dados pessoais de pessoas no território brasileiro — ou cujo tratamento ocorra fora do Brasil mas envolva pessoas aqui. Tratamento inclui coleta, uso, acesso, compartilhamento, armazenamento e eliminação.
O artigo 4º da LGPD lista as exceções:
- Tratamento por pessoa física para fins exclusivamente particulares e não-econômicos.
- Tratamento para fins jornalísticos, artísticos ou acadêmicos.
- Segurança pública, defesa nacional, atividades de investigação criminal.
Não confunda “não comercial” com “sem LGPD”
Se o seu blog pessoal tem formulário de contato que coleta e-mail e nome do visitante, você está fazendo tratamento de dados — independentemente de cobrar ou não. A LGPD se aplica.
Os 9 direitos do titular dos dados
Toda pessoa cujos dados sua empresa processa tem direitos previstos no art. 18 da LGPD. Sua infraestrutura precisa estar preparada para atender a cada um:
| Critério | Prazo / forma |
|---|---|
| Confirmação de existência de tratamento | Imediato (15 dias) |
| Acesso aos dados | 15 dias |
| Correção de dados incompletos/inexatos | Imediato |
| Anonimização, bloqueio ou eliminação | Sob demanda |
| Portabilidade | Em formato estruturado e interoperável |
| Eliminação após fim do tratamento | Após cumprimento da finalidade |
| Informação sobre compartilhamento | A pedido |
| Informação sobre não consentir | Antes do consentimento |
| Revogação do consentimento | Tão fácil quanto consentir |
As 10 bases legais (art. 7)
Toda operação de tratamento precisa de uma base legal. O consentimento é apenas uma delas — e nem sempre a melhor:
| Critério | Quando usar |
|---|---|
| Consentimento | Marketing, newsletter, cookies não-essenciais |
| Execução de contrato | Processar pedido, pagamento, entrega |
| Obrigação legal | Emitir nota fiscal, reportar ao fisco, KYC bancário |
| Legítimo interesse | Antifraude, segurança, melhorias de produto |
| Proteção à vida | Emergências médicas |
| Tutela da saúde | Saúde pública, processos médicos |
| Exercício regular de direitos | Defesa em processos judiciais ou administrativos |
| Proteção ao crédito | Análise de risco (SCR, SPC) |
| Estudos de pesquisa | Por órgão de pesquisa, com anonimização sempre que possível |
| Execução de políticas públicas | Programas governamentais |
Erro comum
Pedir consentimento para algo que tem outra base legal mais forte é arriscado: se o usuário revoga, você perde o direito de continuar — mesmo precisando legalmente do dado. Use execução de contrato ou obrigação legal sempre que aplicável.
Checklist completo de adequação
Documentação obrigatória
- ☐ Política de Privacidade publicada e linkada no rodapé de toda página.
- ☐ Termos de Uso complementares à Política.
- ☐ ROPA — Registro de Operações de Tratamento (interno).
- ☐ Contrato com cada operador (Google, Mailchimp, AWS, hosts) com cláusulas de proteção de dados.
- ☐ Política interna de retenção e descarte, com prazos claros.
- ☐ Plano de resposta a incidentes com fluxo de comunicação à ANPD em até 2 dias úteis.
Coleta e consentimento
- ☐ Banner de cookies com opção granular (analytics, marketing, funcional).
- ☐ “Aceitar todos” e “rejeitar todos” com mesma proeminência visual.
- ☐ Opt-in explícito em formulários (checkbox NÃO pré-marcado).
- ☐ Dupla opt-in em e-mail marketing.
- ☐ Mecanismo simples de revogação (tão fácil quanto consentir).
- ☐ Coleta minimalista: só pedir o que realmente precisa.
Direitos do titular
- ☐ Canal claro para exercer direitos (e-mail dedicado, formulário, página /privacidade).
- ☐ Processo interno para responder em 15 dias.
- ☐ Mecanismo de exportação de dados em formato estruturado (CSV, JSON).
- ☐ Mecanismo de exclusão e anonimização.
- ☐ Log de todas as solicitações (DSR — Data Subject Requests).
Segurança técnica
- ☐ HTTPS em 100% das páginas (incluindo subdomínios).
- ☐ Senhas armazenadas com hash forte (bcrypt ou Argon2), nunca plain text.
- ☐ Tokens de sessão seguros (httpOnly, Secure, SameSite).
- ☐ Logs de acesso com retenção definida.
- ☐ Backup criptografado, com testes regulares de restauração.
- ☐ MFA em painéis administrativos.
- ☐ WAF ou firewall de aplicação.
- ☐ Atualização contínua de dependências (sem libs com CVEs conhecidos).
Governança
- ☐ DPO (Encarregado) nomeado com contato publicado.
- ☐ Treinamento da equipe em LGPD pelo menos uma vez por ano.
- ☐ Mapeamento de transferências internacionais (cloud provider em outros países).
- ☐ Avaliação de impacto (RIPD) para tratamentos de alto risco.
Multas aplicáveis (e como elas escalam)
| Critério | Quando se aplica |
|---|---|
| Advertência | Primeira infração leve |
| Multa simples | Até 2% do faturamento, limitada a R$ 50 milhões por infração |
| Multa diária | Acumula até atingir o limite ou regularização |
| Publicização da infração | Para sancionar reputação além do dinheiro |
| Bloqueio dos dados envolvidos | Em casos graves ou em andamento |
| Eliminação dos dados | Quando o tratamento é considerado ilegal |
| Suspensão da atividade | Casos extremos de risco continuado |
Casos reais já julgados
- Telecom (2023): R$ 14 milhões por vazamento massivo de dados de clientes.
- Rede varejista (2024): R$ 6,5 milhões por não atender solicitações do titular dentro do prazo.
- Startup de tecnologia (2024): R$ 350 mil por banner de cookies inadequado (opt-out forçado).
- Hospital (2024): R$ 900 mil por retenção excessiva de dados sensíveis.
- Plataforma de cobrança (2025): R$ 2,4 milhões por compartilhamento de dados com terceiros sem base legal.
Prioridade de implementação por fase
Para empresas que estão começando do zero, a ANPD recomenda adequação progressiva. Eis uma sequência realista:
- Dia 1 (essencial): HTTPS em todas as páginas, Política de Privacidade publicada, canal de contato para direitos do titular.
- Semana 1: Banner de cookies com consentimento granular, opt-in correto em formulários, atualização de Termos de Uso.
- Mês 1: Mapeamento completo de dados coletados (ROPA), revisão de senhas em produção (hash forte obrigatório), MFA em admin.
- Mês 2: Contratos com operadores assinados ou ajustados, DPO nomeado e treinado, plano de resposta a incidentes documentado.
- Mês 3: Processo interno de DSR rodando, logs de auditoria implementados, treinamento da equipe.
- Trimestral em diante: Auditoria interna, revisão de fornecedores, atualização do ROPA, treinamentos periódicos.
Ferramentas recomendadas
| Critério | O que faz | Custo estimado |
|---|---|---|
| Cookiebot | Banner de cookies + consentimento granular | Free até 100 páginas; pago a partir de US$ 11/mês |
| OneTrust | Plataforma completa: cookies, ROPA, DSR, gerenciamento de fornecedores | Enterprise (sob consulta) |
| Usercentrics | Banner de consentimento focado em GDPR/LGPD | A partir de €5/mês |
| DPO terceirizado | Encarregado externo para PMEs | A partir de R$ 500/mês |
| ANPD oficial (anpd.gov.br) | Guias, regulamentos, modelos | Gratuito |
Documentos próximos para você implementar
Para acelerar a parte de documentação, os próximos artigos aprofundam tópicos específicos:
- Banner de cookies LGPD: como implementar corretamente — incluindo Google Consent Mode v2.
- Política de privacidade LGPD: o que precisa ter.
- Guia de política de privacidade com modelo comentado.
Aviso jurídico
Este conteúdo é educacional e não substitui consultoria jurídica. Para tratamentos de alto risco (dados sensíveis, crianças, decisões automatizadas, transferência internacional), consulte um advogado especializado em proteção de dados.
Perguntas frequentes
Meu site precisa se adequar à LGPD mesmo sendo pequeno?+
Sim. A LGPD aplica-se a qualquer pessoa física ou jurídica que trate dados pessoais de pessoas no Brasil — independentemente do tamanho. Há exceções (uso doméstico não-econômico, jornalístico, artístico, acadêmico ou de segurança pública), mas um blog pessoal com formulário de contato, um e-commerce de qualquer porte ou um site institucional com Google Analytics estão dentro do escopo.
Quem é a ANPD e qual seu papel na LGPD?+
A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão regulador da LGPD. Desde 2023 está plenamente operacional e tem aplicado multas, advertências e sanções com regularidade crescente. É também a responsável por publicar guias oficiais, regulamentações específicas (como sobre o uso de IA) e canais para denúncias do titular dos dados.
Quais são as 10 bases legais da LGPD?+
São: consentimento; cumprimento de obrigação legal/regulatória; execução de políticas públicas; estudos por órgão de pesquisa; execução de contrato; exercício regular de direitos em processo judicial; proteção da vida; tutela da saúde; legítimo interesse do controlador; proteção do crédito. Cada operação de tratamento precisa estar amparada em pelo menos uma base — consentimento NÃO é a única.
Toda empresa precisa nomear um DPO (Encarregado)?+
Sim, a LGPD obriga toda empresa que trata dados a indicar um Encarregado pelo Tratamento de Dados (Data Protection Officer). Para microempresas e pequenas empresas, a ANPD admite estruturas simplificadas — pode ser um sócio, contador ou DPO terceirizado a partir de R$ 500/mês. O contato do DPO precisa estar publicado e acessível no site.
Quais são os direitos do titular previstos na LGPD?+
São nove direitos principais: confirmação da existência de tratamento; acesso aos dados; correção; anonimização, bloqueio ou eliminação de dados desnecessários; portabilidade; eliminação após fim do tratamento; informação sobre compartilhamento; informação sobre não consentir; revogação do consentimento. O prazo legal para resposta é de 15 dias.
Quanto a ANPD pode multar por violação da LGPD?+
A multa simples vai até 2% do faturamento da pessoa jurídica no último exercício, limitada a R$ 50 milhões por infração. Há também multa diária (até atingir o limite), advertência, publicização da infração, bloqueio ou eliminação dos dados envolvidos e suspensão parcial ou total da atividade. Para reincidentes, sanções mais graves podem ser aplicadas.
Banner de cookies é obrigatório no Brasil?+
Sim, sempre que o site usar cookies não-essenciais (analytics, marketing, retargeting). O banner precisa permitir consentimento granular (categoria por categoria), com opção de aceitar, rejeitar ou personalizar — não pode ser opt-out forçado nem ocultar a opção de recusar. Cookies estritamente necessários (login, carrinho) não exigem consentimento.
O que é o ROPA e por que ele importa?+
ROPA (Registro de Operações de Tratamento de Dados Pessoais) é o documento interno onde a empresa mapeia: quais dados coleta, com que finalidade, qual base legal, quem acessa, com quem compartilha, por quanto tempo retém. É exigido pelo art. 37 da LGPD e é o primeiro item que a ANPD pede em qualquer fiscalização. Sem ROPA, a empresa simplesmente não consegue provar conformidade.
Continue lendo
Política de Privacidade LGPD (2026): Guia Completo com Modelo para Copiar
Guia definitivo de política de privacidade sob LGPD: o que é obrigatório, estrutura por seção, bases legais, direitos do titular e modelo pronto para adaptar.
bcrypt vs Argon2 vs scrypt vs PBKDF2: Qual Usar para Senhas (2026)
Comparativo técnico OWASP-aligned entre bcrypt, Argon2id, scrypt e PBKDF2 para hashing de senhas em 2026. Recomendações, parâmetros corretos por hardware, exemplos em Node.js/Python/Go/PHP e estratégia de migração.
Banner de Cookies LGPD: Como Implementar Corretamente em 2026
Guia completo: opt-in granular, categorias certas, Google Consent Mode v2, implementação em Next.js e WordPress, registro de consentimento, dark patterns proibidos e ferramentas pagas vs open source.