A LGPD (Lei Geral de Proteção de Dados) está em vigor desde 2020 no Brasil, mas em 2026 a fiscalização da ANPD (Autoridade Nacional de Proteção de Dados) está mais ativa do que nunca. Multas têm sido aplicadas, processos têm sido abertos e empresas que ignoraram a lei estão pagando caro.

Se sua empresa tem site, e-commerce ou qualquer sistema que coleta dados de visitantes, você precisa estar em conformidade. E não, "não saber" não é desculpa.

O que a LGPD exige, em português claro

A LGPD regula como empresas coletam, armazenam, usam e compartilham dados pessoais de cidadãos brasileiros. Dado pessoal é qualquer informação que identifica uma pessoa: nome, e-mail, telefone, CPF, endereço, IP, foto, comportamento de navegação.

Os principais princípios:

  • Finalidade: você só pode coletar dados para uma finalidade específica e declarada
  • Consentimento: o usuário precisa concordar com o uso dos dados
  • Transparência: ele precisa saber o que você coleta e por quê
  • Direito de acesso: ele pode pedir para ver tudo que você tem dele
  • Direito de exclusão: ele pode pedir para você apagar tudo
  • Segurança: você precisa proteger os dados contra vazamentos

O que sites e sistemas precisam ter

1. Política de Privacidade

Documento detalhado explicando:

  • Quais dados você coleta
  • Para que finalidade
  • Por quanto tempo armazena
  • Com quem compartilha
  • Como o usuário pode exercer direitos

Acessível por link no rodapé de todas as páginas.

2. Termos de Uso

Regras de como o usuário pode usar seu site/serviço. Não substitui política de privacidade — são documentos diferentes.

3. Aviso de Cookies (Cookie Banner)

Antes de instalar cookies não-essenciais, o site precisa pedir permissão. Banner deve permitir:

  • Aceitar todos
  • Rejeitar todos (sem isso, é obrigatório aceitar)
  • Personalizar (analítico, marketing, funcional)

Cookies essenciais (que fazem o site funcionar) podem ser instalados sem consentimento.

4. Formulários com consentimento explícito

Em qualquer formulário (cadastro, contato, newsletter), o usuário precisa marcar uma caixa específica concordando com o uso dos dados. Caixa não pode estar pré-marcada.

5. Canal para exercer direitos

Usuário precisa de uma forma fácil de:

  • Solicitar acesso aos seus dados
  • Pedir correção
  • Pedir exclusão
  • Revogar consentimento

Pode ser um formulário, um e-mail dedicado (dpo@empresa.com.br) ou área logada.

6. DPO (Data Protection Officer)

Empresas de certo porte precisam ter um Encarregado de Proteção de Dados (DPO). Pode ser interno ou terceirizado. Para microempresas, em geral não é obrigatório, mas alguém precisa ser responsável.

7. Registro de Atividades de Tratamento

Documento interno listando todos os processos onde sua empresa lida com dados pessoais. Não é público, mas ANPD pode pedir.

Cookies: o ponto mais visível

Cookies se dividem em:

  • Essenciais: necessários para o site funcionar (login, carrinho, segurança). Não precisam de consentimento.
  • Analíticos: Google Analytics, Hotjar (medem comportamento). Precisam de consentimento.
  • Marketing: Facebook Pixel, Google Ads (rastreiam para ads). Precisam de consentimento.
  • Funcionais: preferências do usuário (idioma, tema). Geralmente precisam de consentimento.

O banner deve carregar antes de qualquer script de analytics ou marketing. Se você dispara Google Analytics e depois pede consentimento, está em desconformidade.

Multas e consequências

A LGPD prevê:

  • Advertência
  • Multa simples: até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração
  • Multa diária: pode ser aplicada continuamente
  • Publicização da infração: ANPD divulga o nome da empresa
  • Bloqueio dos dados pessoais: você não pode mais usá-los
  • Eliminação dos dados

Em 2026, várias empresas já foram multadas. Vazamentos de dados, falta de canal para exercer direitos, e cookies sem consentimento estão entre as causas mais comuns.

Riscos além das multas

  • Danos à reputação: vazamento ou multa vira notícia
  • Ação coletiva de consumidores: cada usuário pode pedir indenização
  • Quebra de contrato com clientes B2B: empresas grandes exigem fornecedores em conformidade
  • Bloqueio em integrações: gateways de pagamento e APIs cobram conformidade

Checklist prático para seu site

  • [ ] Página de Política de Privacidade
  • [ ] Página de Termos de Uso
  • [ ] Banner de cookies com aceitar/rejeitar/personalizar
  • [ ] Scripts de analytics/marketing carregam só após consentimento
  • [ ] Formulários com caixa de consentimento (não pré-marcada)
  • [ ] Canal para usuário exercer direitos
  • [ ] HTTPS em todas as páginas
  • [ ] Senha forte para admins, com 2FA
  • [ ] Backup criptografado
  • [ ] Acesso a dados pessoais limitado a quem precisa
  • [ ] Logs de quem acessou o quê
  • [ ] Plano de resposta a incidentes (vazamento)
  • [ ] Contrato com fornecedores que processam dados em seu nome (cláusulas LGPD)

Mitos sobre LGPD

"Minha empresa é pequena, não preciso me preocupar"

Falso. LGPD se aplica a qualquer empresa que processa dados de brasileiros, do MEI à multinacional. ANPD já multou empresas pequenas.

"Tenho um site simples, só uns formulários"

Se coleta nome e e-mail, está sujeito à LGPD.

"Uso WordPress, não preciso fazer nada"

WordPress não está em conformidade automaticamente. Você precisa configurar consentimento de cookies, adicionar política de privacidade, e configurar seus próprios processos.

"Não vendo dados, então estou seguro"

LGPD não regula só venda de dados. Coletar, armazenar, compartilhar com fornecedores (Google Analytics, Mailchimp, etc.) tudo precisa de conformidade.

Como adequar seu site

Solução 1: ferramentas pagas

  • OneTrust, Cookiebot, Iubenda: geram cookie banner, política de privacidade, gerenciam consentimentos
  • Custo: R$ 30 a R$ 500/mês

Solução 2: implementação custom

  • Desenvolvedor implementa banner próprio, scripts de consentimento, e formulários de exercício de direitos
  • Custo único + manutenção

Solução 3: assessoria jurídica

  • Advogado especializado em LGPD revisa seus processos e gera documentos
  • Custo: R$ 3.000 a R$ 30.000 dependendo do porte

A combinação ideal é jurídico + técnico atuando juntos.

Conclusão

LGPD não é mais "preocupação futura". Em 2026, está plenamente em vigor com fiscalização ativa e multas reais. Empresas que tratam isso a sério ganham confiança de clientes e evitam riscos sérios. Empresas que ignoram pagam caro mais cedo ou mais tarde.

Se seu site ainda não tem cookie banner adequado, política de privacidade clara, ou canal para usuário exercer direitos, resolva isso esta semana. Os custos de conformidade são pequenos comparados aos custos de não conformidade.

LGPD é lei. Trate como tal.