Política de Privacidade LGPD (2026): Guia Completo com Modelo para Copiar
Política de privacidade é um dos requisitos LGPD mais negligenciados em pequenos negócios — e o mais fácil de resolver. Este guia cobre o que a lei exige (quinze itens), estrutura por seção, bases legais corretas, direitos do titular e entrega um modelo pronto que você adapta ao seu site em uma hora.
Por Vitor Morais
Fundador do MochaLabz ·
Gere uma política em minutos
Formulário guiado com todos os itens LGPD exigidos — download pronto para colocar no site.
Usar gerador →Política de privacidade é o documento público em que você explica ao visitante do seu site o que faz com os dados dele. Desde 2020, quando a LGPD (Lei Geral de Proteção de Dados, 13.709/2018) entrou em vigor, esse documento deixou de ser “boa prática” e virou obrigação. Sem ele, qualquer coleta de dado pessoal — de e-mail em formulário a IP em analytics — é irregular.
Este guia cobre o que a LGPD exige, estrutura ideal por seção, bases legais aplicadas corretamente, os 15 itens obrigatórios, erros que a ANPD cobra em fiscalização, e entrega um template que você adapta ao seu negócio em uma hora.
O que a LGPD realmente exige
A lei não dita o texto da política — ela dita a informação que deve estar acessível ao titular dos dados. Os artigos 9 e 18 listam, em conjunto, quinze pontos obrigatórios:
- Quais dados pessoais são coletados (identificação, contato, navegação, etc.)
- Finalidade de cada coleta
- Base legal que justifica o tratamento
- Forma de coleta (formulário, cookie, integração, etc.)
- Duração do tratamento (retenção)
- Compartilhamento com terceiros (quem e por quê)
- Transferência internacional de dados (se houver)
- Medidas de segurança adotadas
- Direitos do titular e como exercê-los
- Canal de atendimento para o titular
- Responsável pelo tratamento (controlador)
- Dados do encarregado (DPO) quando aplicável
- Tratamento de dados de menores (se aplicável)
- Uso de cookies (detalhado)
- Política de mudanças e data da última atualização
Contexto
Estrutura padrão seção a seção
1. Introdução / Quem somos
Identifica o controlador (empresa ou pessoa responsável pelos dados) com razão social, CNPJ/CPF, endereço e contato.
A MochaLabz Tecnologia LTDA (“MochaLabz”),
CNPJ 00.000.000/0001-00, com sede em São Paulo/SP,
é o controlador dos dados pessoais coletados neste site
(“mochalabz.com”). Nosso contato é
privacidade@mochalabz.com.2. Dados que coletamos
Liste todos os tipos de dado. Organize em categorias para clareza.
| Critério | Exemplos |
|---|---|
| Identificação | Nome, e-mail, telefone, CPF |
| Navegação | IP, user-agent, cookies, páginas visitadas |
| Comunicação | Mensagens em formulário, e-mail recebido |
| Transacional | Pedidos, histórico de compra, pagamento |
| Perfil / comportamental | Preferências, interesses, recomendações |
3. Finalidade
Para cada categoria, especifique o por quê. Vago (“melhorar nossos serviços”) é ruim. Específico (“enviar newsletter semanal de conteúdo solicitado”) é bom.
4. Base legal
LGPD traz 10 bases legais (art. 7). Use a mais específica para cada finalidade:
| Critério | Quando usar |
|---|---|
| Consentimento (art. 7, I) | Newsletter opt-in, cookies não essenciais |
| Cumprimento de obrigação legal (II) | Nota fiscal, retenção trabalhista |
| Execução de contrato (V) | Processamento de pedido, login |
| Legítimo interesse (IX) | Prevenção de fraude, analytics próprio |
| Proteção ao crédito (X) | Análise de risco em fintech, Serasa |
Dica
5. Compartilhamento com terceiros
Liste serviços que processam seus dados:
Compartilhamos dados pessoais com:
- Google LLC (Google Analytics, Google Ads)
Finalidade: mensuração e publicidade
Transferência internacional: Estados Unidos
Base legal: legítimo interesse
- Stripe Payments Brasil
Finalidade: processamento de pagamento
Transferência internacional: Estados Unidos
Base legal: execução de contrato
- Resend (envio de e-mail transacional)
Finalidade: envio de confirmação, notificações
Transferência internacional: União Europeia
Base legal: execução de contrato
- Vercel Inc. (hospedagem)
Finalidade: infraestrutura do site
Transferência internacional: Estados Unidos
Base legal: execução de contrato6. Transferência internacional
Praticamente todo site usa serviços americanos (Google, AWS, Vercel) ou europeus. Documente. A LGPD permite transferência quando o país tem nível adequado de proteção ou quando há cláusulas contratuais específicas.
7. Segurança
Descreva as medidas sem entrar em detalhe técnico que ajudaria atacantes. Exemplos aceitáveis:
- Criptografia em trânsito (HTTPS/TLS) obrigatória
- Senha armazenada em hash criptográfico
- Controle de acesso por perfis internos
- Backup periódico
- Monitoramento de logs
- Treinamento de equipe em segurança
8. Retenção de dados
Por quanto tempo você guarda os dados. Pode variar por tipo:
- Dados de contato de formulário: 2 anos após último contato
- Dados de pedido: 5 anos (obrigação fiscal)
- Newsletter: até o usuário se descadastrar
- Logs de acesso: 6 meses (Marco Civil da Internet)
- Cookies de analytics: 14 meses (padrão GA4)
9. Direitos do titular
LGPD garante 9 direitos (art. 18):
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos
- Anonimização, bloqueio ou eliminação
- Portabilidade a outro fornecedor
- Eliminação de dados tratados com consentimento
- Informação sobre compartilhamento
- Informação sobre possibilidade de não consentir
- Revogação do consentimento
10. Como exercer direitos
Ofereça canal claro: e-mail dedicado, formulário ou painel de usuário. Prazo legal para atender: 15 dias.
Para exercer qualquer direito, contate:
privacidade@mochalabz.com
Responderemos em até 15 dias corridos. Para validação,
podemos solicitar documento que comprove sua identidade.11. Cookies
Descreva tipos e finalidades. Liste cookies específicos (exportáveis do seu próprio site). Padrão mínimo:
- Essenciais: necessários para o funcionamento (autenticação, carrinho). Não exigem consentimento.
- Funcionalidade: preferências do usuário (idioma, tema). Base legal: legítimo interesse.
- Analíticos: Google Analytics, Mixpanel. Exigem consentimento ou legítimo interesse documentado.
- Marketing: remarketing, pixel de Facebook. Sempre exigem consentimento explícito.
12. Menores de idade
Se o site pode atrair menores, informe tratamento específico (art. 14 LGPD). Para sites que explicitamente não coletam de menores, declare.
13. Encarregado (DPO)
Nome e contato do encarregado. Pode ser pessoa física interna, externa ou terceirizada.
Encarregado de Dados:
Nome: [Nome do DPO]
E-mail: dpo@mochalabz.com
Telefone (opcional): (11) 0000-000014. Mudanças nesta política
Informe como e quando você avisará sobre mudanças.
Podemos atualizar esta política periodicamente. Em
mudanças significativas, notificaremos via e-mail
cadastrado e/ou banner no site pelo menos 30 dias antes
da entrada em vigor da nova versão. Consulte sempre a
data de atualização no final.15. Data de atualização
Última linha da política. Atualize sempre que mudar algo.
Última atualização: 20 de abril de 2026Template completo para adaptar
Versão pronta que você pode usar como ponto de partida. Não copie e cole sem adaptar — cada negócio tem particularidades que precisam aparecer.
# Política de Privacidade
Última atualização: [DATA]
## 1. Quem somos
[NOME DA EMPRESA], CNPJ [00.000.000/0001-00], com sede
em [CIDADE/UF], é o controlador dos dados pessoais
coletados no site [DOMÍNIO.COM]. Para contato:
[EMAIL@DOMINIO.COM].
## 2. Dados que coletamos
Coletamos os seguintes dados:
- **Identificação:** nome, e-mail, [telefone/CPF se
aplicável]
- **Navegação:** IP, tipo de navegador, páginas
visitadas, origem de acesso
- **Comunicação:** mensagens enviadas via formulário
- **Transacional** (se aplicável): histórico de compra,
informações de pagamento
## 3. Finalidades e bases legais
Usamos seus dados para:
- [FINALIDADE 1] — base legal: [BASE]
- [FINALIDADE 2] — base legal: [BASE]
- [FINALIDADE 3] — base legal: [BASE]
## 4. Compartilhamento com terceiros
Compartilhamos dados com provedores que processam em
nosso nome:
- [SERVIÇO 1] — finalidade: [FINALIDADE]
- [SERVIÇO 2] — finalidade: [FINALIDADE]
- [SERVIÇO 3] — finalidade: [FINALIDADE]
## 5. Transferência internacional
[Listar serviços fora do Brasil com país de
destino e base legal para transferência]
## 6. Retenção
Os dados são mantidos:
- Contato comercial: 2 anos após último contato
- Transações: 5 anos (obrigação fiscal)
- Newsletter: até descadastramento
- Logs técnicos: 6 meses
Após o prazo, os dados são eliminados ou anonimizados.
## 7. Segurança
Aplicamos medidas técnicas e organizacionais adequadas:
- Criptografia em trânsito (HTTPS/TLS)
- Hash criptográfico de senhas
- Controle de acesso por perfis
- Backups criptografados
- Treinamento periódico da equipe
Em caso de incidente com risco, notificaremos titulares
e a ANPD conforme art. 48 LGPD.
## 8. Seus direitos
Sob a LGPD, você tem direito a:
1. Confirmação e acesso aos dados
2. Correção de dados incompletos ou incorretos
3. Anonimização, bloqueio ou eliminação
4. Portabilidade
5. Eliminação de dados tratados com consentimento
6. Informação sobre compartilhamento
7. Informação sobre a possibilidade de não consentir
8. Revogação do consentimento
## 9. Como exercer seus direitos
Envie sua solicitação para [EMAIL@DOMINIO.COM].
Responderemos em até 15 dias corridos, podendo solicitar
documentos para confirmar sua identidade.
## 10. Cookies
Usamos cookies em 4 categorias:
- **Essenciais:** necessários para o funcionamento
(autenticação, sessão). Não exigem consentimento.
- **Preferências:** linguagem, tema.
- **Analytics:** Google Analytics 4 (mede uso do site).
- **Marketing:** [listar se aplicável, ex.: Meta Pixel].
Você pode gerenciar cookies no banner de consentimento
e no painel de configurações do seu navegador.
## 11. Menores de idade
Este site não é direcionado a menores de 18 anos. Caso
identifiquemos coleta inadvertida, excluiremos os
dados imediatamente. Responsáveis legais podem contatar
[EMAIL@DOMINIO.COM] em caso de dúvida.
## 12. Encarregado de Dados (DPO)
[NOME DO DPO]
E-mail: dpo@[DOMINIO.COM]
## 13. Alterações nesta política
Podemos atualizar esta política. Mudanças significativas
serão comunicadas via e-mail e banner no site com 30
dias de antecedência. Consulte sempre a data de última
atualização no topo deste documento.
## 14. Contato
Para dúvidas, envie e-mail para [EMAIL@DOMINIO.COM].
---
Data de vigência: [DATA DE PUBLICAÇÃO]Onde publicar a política
- Footer do site: link visível em todas as páginas.
- Formulários: link direto ao lado de “aceito os termos”.
- Confirmação de cadastro: e-mail com link para leitura completa.
- Banner de cookies: link visível no call-out de consentimento.
- Apps mobile: seção “Sobre” ou menu principal.
Erros comuns que geram não conformidade
- Copiar política de concorrente: as suas operações são diferentes. Copiado, você menciona práticas que não faz e omite as que faz.
- Jargão jurídico excessivo: viola o princípio de linguagem clara.
- Sem data de atualização: indica documento abandonado.
- Sem canal para exercer direitos: uma das maiores queixas à ANPD.
- “Podemos compartilhar com parceiros” sem listar: vaga e não conforme. Liste.
- Consentimento como base legal padrão: muitas vezes execução de contrato ou legítimo interesse são corretos.
- Ignorar cookies: tratá-los como se não existissem não os elimina.
- Não mencionar transferência internacional: se usa Google/AWS, você transfere dados.
Política de privacidade vs termos de uso
| Critério | O que regula | Obrigatório por LGPD? |
|---|---|---|
| Política de privacidade | Tratamento de dados pessoais | Sim |
| Termos de uso (Termos e condições) | Regras da relação entre site e usuário | Não, mas recomendado |
| Política de cookies | Tipo específico de tratamento (cookies) | Pode estar dentro da política de privacidade ou separada |
Em sites pequenos, unificar política de privacidade e cookies funciona. Em sites maiores, separar documentos é preferível para clareza e manutenibilidade.
Fluxo de manutenção
Política não é “publiquei e esqueci”. Rotina mínima:
- Trimestralmente: revise seções 5 (terceiros) e 10 (cookies). São as que mais mudam com novas integrações.
- Anualmente: revisão completa. Ajuste base legal se mudou, atualize direitos se houve novo entendimento da ANPD.
- Em mudança material: atualize na hora. Novas ferramentas (novo CRM, novo provedor de analytics) exigem atualização imediata.
- Após incidente: revise medidas de segurança e adapte a política se mudou algo no processo.
ANPD: o que é e quando se envolve
A Autoridade Nacional de Proteção de Dados (ANPD) é a autoridade regulatória brasileira para LGPD. Suas atribuições:
- Fiscalizar e aplicar sanções
- Receber denúncias de titulares
- Publicar orientações e regulamentações
- Mediar entre titulares e controladores
Sanções aplicáveis:
- Advertência (frequente em primeira infração)
- Multa simples (até 2% do faturamento, teto R$ 50M)
- Multa diária
- Publicização da infração
- Bloqueio dos dados pessoais
- Eliminação dos dados
- Suspensão do funcionamento da base de dados
- Suspensão do exercício da atividade
- Proibição parcial ou total do exercício
Vai mais fundo
Além da política: outras obrigações LGPD
Ter política é passo 1, não a conformidade toda. Complementos importantes:
- Registro de operações de tratamento (ROP): documento interno detalhando todas as operações com dados. Não precisa ser público, mas a ANPD pode solicitar.
- DPIA (Relatório de Impacto à Proteção de Dados): obrigatório em operações de alto risco.
- Processo de atendimento ao titular: como você recebe e responde solicitações em até 15 dias.
- Plano de resposta a incidente: em vazamento, notificar em 72 horas.
- Contratos com terceiros: incluir cláusulas de proteção de dados.
- Treinamento de equipe: documenta que você educa quem manuseia dados.
Política em uma frase
Política de privacidade é o documento público que prova sua diligência em proteção de dados — e a primeira coisa que a ANPD e seus usuários verificam. Em 2026, estar sem ela é exposição desnecessária: uma hora adaptando um modelo bom resolve 95% da exigência. O custo de não ter é ordens de magnitude maior que o de ter.
Perguntas frequentes
Todo site brasileiro precisa de política de privacidade?+
Se o site coleta qualquer dado pessoal (e-mail, nome, telefone, IP via analytics, cookies), sim — a LGPD obriga. Mesmo sites aparentemente neutros coletam IP via servidor, cookies via Google Analytics, dados via formulário de contato. Na prática, 99% dos sites brasileiros com audiência precisa. A ausência da política é a primeira coisa que a ANPD vê em fiscalização e pode gerar advertência ou multa.
O que a LGPD exige que esteja na política?+
Quinze itens mínimos: (1) quais dados coleta, (2) finalidade, (3) base legal (consentimento, contrato, obrigação legal, etc.), (4) compartilhamento com terceiros, (5) transferência internacional, (6) segurança aplicada, (7) período de retenção, (8) direitos do titular, (9) canal para exercer direitos, (10) responsável pelo tratamento, (11) dados do encarregado (DPO) se houver, (12) cookies, (13) menores de idade, (14) mudanças na política, (15) data da última atualização.
Preciso de advogado para criar política de privacidade?+
Para MEI e pequenos blogs, um modelo bem adaptado (como o deste artigo) resolve a maioria dos casos. Para startups, SaaS B2B e e-commerce com dados sensíveis, contrate advogado especializado — o custo (R$ 2-8k) vale frente ao risco. Para empresas grandes ou reguladas (saúde, financeiro), obrigatoriamente advogado + DPO. Modelo pronto é ponto de partida, nunca solução final em negócio que fatura.
O que é base legal e por que importa?+
LGPD exige que todo tratamento de dados tenha uma das 10 bases legais previstas em lei (art. 7). Consentimento é a mais conhecida mas não a única nem a melhor — para cumprimento de contrato, execução de obrigação legal, interesse legítimo e outras, você não precisa pedir consentimento. Documentar qual base legal se aplica a cada finalidade é obrigação — em fiscalização, sem documentação você é considerado em não conformidade.
O que acontece se eu não tiver política de privacidade?+
Riscos em escalada. (1) Advertência da ANPD, (2) publicização da infração (dano reputacional), (3) multa simples (até 2% do faturamento, limitada a R$ 50M), (4) multa diária, (5) bloqueio dos dados coletados. Casos reais desde 2023 já aplicaram multas. Além disso, plataformas (Google Ads, Meta, marketplaces) exigem política ativa para aceitar seu site como anunciante ou vendedor.
Preciso contratar um DPO (encarregado de dados)?+
Obrigatório se você é controlador de dados e se enquadra em um de: tratamento de dados sensíveis em larga escala, tratamento de alto risco, órgão público. Para a maioria de pequenas empresas, um “encarregado indicado” (pode ser o próprio dono ou responsável interno) é suficiente. O nome e contato dessa pessoa precisam aparecer publicamente na política — geralmente um e-mail dedicado (dpo@empresa.com).
Quando devo atualizar a política?+
Sempre que houver mudança material: nova forma de coleta de dados, novo fornecedor que processa dados (Google Analytics 4, novo CRM), nova finalidade, transferência internacional, mudança de base legal. Usuários ativos devem ser notificados (e-mail, banner) em mudanças significativas. Fora isso, revise a cada 12 meses mesmo se nada mudou — documenta diligência.
Gerador online de política de privacidade é confiável?+
Para ponto de partida, sim. Geradores como Privacy Policy Generator, Termly e o próprio do MochaLabz produzem template estruturado em LGPD que cobre 80% dos casos comuns. A parte crítica: você precisa adaptar — informar exatamente quais dados coleta, quais ferramentas usa, qual base legal, quem é o encarregado. Gerador entrega estrutura; conteúdo específico é seu.
Artigos relacionados
LGPD para Sites: Checklist Completo de Adequação (2026)
Guia LGPD para sites brasileiros: 30+ itens de checklist, bases legais explicadas, multas reais aplicadas pela ANPD, prioridade de implementação por fase e ferramentas recomendadas.
Banner de Cookies LGPD: Como Implementar Corretamente em 2026
Guia completo: opt-in granular, categorias certas, Google Consent Mode v2, implementação em Next.js e WordPress, registro de consentimento, dark patterns proibidos e ferramentas pagas vs open source.