Imagine a seguinte cena: você abre um site, preenche um formulário com seu nome, e-mail e telefone, e em nenhum lugar encontra informação sobre o que será feito com esses dados. Parece arriscado, não parece? Pois é exatamente assim que milhares de empresas brasileiras ainda operam — e a LGPD tem algo a dizer sobre isso.
A política de privacidade não é mais aquele texto decorativo que ninguém lê no rodapé do site. Desde que a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor, ela se tornou uma obrigação legal com consequências reais para quem não cumpre. E o pior: a maioria das políticas de privacidade que existem por aí não protege ninguém — nem o titular dos dados, nem a própria empresa.
Neste guia, você vai aprender a criar uma política de privacidade LGPD que funciona de verdade: clara, completa, atualizada e que realmente blinda seu negócio.
- Toda empresa que coleta dados pessoais — mesmo apenas nome e e-mail — precisa ter uma política de privacidade acessível ao público.
- A LGPD exige transparência: sua política deve informar quais dados coleta, por quê, com quem compartilha e quais são os direitos do titular.
- Copiar a política de outro site é um dos erros mais comuns — e pode gerar multas de até R$50 milhões por infração.
- O documento deve ser escrito em linguagem clara e acessível, não em juridiquês impenetrável.
O que é uma política de privacidade e por que ela é obrigatória?
Uma política de privacidade é um documento público que explica como uma empresa coleta, usa, armazena, compartilha e protege os dados pessoais dos seus usuários, clientes ou visitantes. Pense nela como um "contrato de transparência" entre você e as pessoas que confiam seus dados à sua empresa.
No Brasil, a obrigatoriedade vem de duas legislações principais:
- LGPD (Lei 13.709/2018): Exige que o controlador de dados informe ao titular, de forma clara e acessível, como seus dados são tratados. Os artigos 6º (princípio da transparência), 9º (direito à informação) e 18 (direitos do titular) são a base dessa obrigação.
- Marco Civil da Internet (Lei 12.965/2014): Já exigia, antes da LGPD, que provedores de aplicações de internet informassem em termos de uso e políticas de privacidade sobre a coleta, uso, armazenamento e tratamento de dados pessoais (art. 7º, incisos VII a X).
Na prática, se sua empresa tem um site, um aplicativo, uma loja online, um sistema SaaS ou até mesmo uma planilha com dados de clientes — você precisa de uma política de privacidade.
Atenção: A ausência de política de privacidade, por si só, já caracteriza violação ao princípio da transparência da LGPD. A ANPD pode aplicar sanções mesmo que nenhum incidente de segurança tenha ocorrido — basta a falta de informação adequada ao titular.
As 9 seções essenciais de uma política de privacidade LGPD
Uma política de privacidade eficaz não é uma lista genérica de jargões jurídicos. Ela precisa cobrir, no mínimo, os seguintes pontos — cada um com informações específicas sobre a sua empresa:
1. Identificação do controlador e do DPO
Comece informando quem é o responsável pelo tratamento dos dados. Inclua razão social, CNPJ, endereço e, obrigatoriamente, os dados de contato do Encarregado de Proteção de Dados (DPO). A LGPD exige que o titular consiga se comunicar facilmente com quem cuida dos seus dados.
2. Dados pessoais coletados
Liste explicitamente quais dados você coleta. Não basta dizer "coletamos dados pessoais". Seja específico: nome, CPF, e-mail, telefone, endereço IP, dados de navegação, cookies, geolocalização, dados de pagamento, etc. Separe por categoria se necessário (dados cadastrais, dados de uso, dados sensíveis).
3. Finalidade do tratamento
Para cada tipo de dado coletado, explique por que você precisa dele. Exemplos: "Coletamos seu e-mail para enviar atualizações sobre seu pedido" ou "Utilizamos dados de navegação para melhorar a experiência no site". A finalidade precisa ser legítima, específica e informada ao titular (art. 6º, I da LGPD).
4. Base legal para o tratamento
A LGPD estabelece 10 bases legais no art. 7º (e o art. 11 para dados sensíveis). Sua política deve indicar qual base legal justifica cada tratamento. As mais comuns são: consentimento, execução de contrato, cumprimento de obrigação legal, legítimo interesse e proteção ao crédito.
5. Compartilhamento de dados
Se você compartilha dados com terceiros — parceiros comerciais, processadores de pagamento, ferramentas de analytics, plataformas de e-mail marketing — informe quem são, por que compartilha e quais dados são compartilhados. Transferências internacionais de dados também devem ser mencionadas.
6. Armazenamento e segurança
Explique onde os dados são armazenados (servidores no Brasil, na nuvem, em data centers no exterior), por quanto tempo são mantidos (período de retenção) e quais medidas de segurança técnica e administrativa sua empresa adota para protegê-los (criptografia, controle de acesso, backups, etc.).
7. Direitos do titular
A LGPD garante ao titular uma série de direitos (art. 18). Sua política deve listar todos eles e explicar como o titular pode exercê-los:
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários
- Portabilidade dos dados
- Eliminação dos dados tratados com consentimento
- Informação sobre compartilhamento
- Revogação do consentimento
8. Uso de cookies e tecnologias de rastreamento
Descreva quais cookies e tecnologias de rastreamento seu site utiliza (cookies próprios, de terceiros, de analytics, de marketing), para que servem, quanto tempo ficam ativos e como o usuário pode gerenciá-los ou recusá-los. Muitas empresas criam uma seção separada ("Política de Cookies") vinculada à política principal.
9. Atualizações e contato
Informe como o titular será notificado sobre mudanças na política (e-mail, aviso no site) e forneça um canal de contato claro para dúvidas, solicitações e reclamações. Esse canal normalmente é o e-mail do DPO.
Gerencie contratos e termos com o Nexo
Crie políticas de privacidade, termos de uso e contratos com preenchimento automático. Tudo organizado e pronto para assinar digitalmente.
Testar o Nexo de graçaOs 5 erros fatais em políticas de privacidade
Criar uma política de privacidade não é difícil. O problema é que a maioria das empresas comete erros que transformam o documento em uma bomba-relógio. Veja os mais perigosos:
Erro 1: Copiar e colar de outro site
Esse é, de longe, o erro mais comum. Empresas copiam a política de um concorrente ou de um gerador automático e colam no site sem nenhuma adaptação. O resultado? Uma política que menciona dados que você não coleta, omite dados que você coleta e cita bases legais que não se aplicam ao seu negócio. Além de não proteger a empresa, pode ser usada como prova contra ela em caso de fiscalização.
Erro 2: Linguagem vaga e genérica
Frases como "podemos coletar dados pessoais para melhorar nossos serviços" não dizem nada. A LGPD exige especificidade. Dizer que "pode" coletar dados é diferente de dizer que coleta. E "melhorar nossos serviços" não é uma finalidade específica. A ANPD pode considerar esse tipo de linguagem como violação ao princípio da transparência.
Erro 3: Não atualizar o documento
Sua empresa lançou uma nova funcionalidade que coleta geolocalização? Contratou um novo processador de pagamento? Mudou de ferramenta de e-mail marketing? Cada uma dessas mudanças exige atualização da política de privacidade. Um documento desatualizado é tão ruim quanto não ter um.
Erro 4: Esconder o documento
De nada adianta ter uma política impecável se ela está enterrada em uma página que ninguém encontra. A LGPD exige que a informação seja fornecida de forma "clara, adequada e ostensiva". Na prática, isso significa link visível no rodapé de todas as páginas, durante o cadastro e em qualquer formulário de coleta de dados.
Erro 5: Não incluir mecanismo de exercício de direitos
Listar os direitos do titular é necessário, mas não suficiente. Você precisa informar como o titular pode exercê-los: um e-mail de contato, um formulário específico, um canal no SAC. Sem isso, a política está incompleta.
Boa vs. má política de privacidade: comparação prática
A diferença entre uma política de privacidade que protege e uma que expõe sua empresa está nos detalhes. Veja a comparação:
| Elemento | Boa Política | Má Política |
|---|---|---|
| Dados coletados | Lista exata: nome, CPF, e-mail, IP | "Dados pessoais diversos" |
| Finalidade | Específica por dado coletado | "Melhorar nossos serviços" |
| Base legal | Indica art. 7º aplicável | Não menciona base legal |
| Compartilhamento | Nomeia parceiros e motivos | "Parceiros selecionados" |
| Retenção | Prazo definido por categoria | "Pelo tempo necessário" |
| Direitos do titular | Lista + canal de solicitação | Cita a lei sem orientar |
| Linguagem | Clara, direta, acessível | Juridiquês impenetrável |
| Atualização | Data visível + histórico | Sem data, nunca atualizada |
Como escrever em linguagem clara (sem perder a validade jurídica)
Existe um mito de que documentos jurídicos precisam ser incompreensíveis para terem validade. Isso é falso — e, no caso da política de privacidade, é contraproducente.
A LGPD exige que a informação seja fornecida de forma "clara, adequada e ostensiva" (art. 6º, VI). Uma política que ninguém entende viola esse princípio. Veja como equilibrar clareza e precisão jurídica:
- Use frases curtas: Em vez de "A empresa procederá ao tratamento dos dados pessoais do titular com fundamento na base legal prevista no artigo 7º, inciso V...", escreva "Usamos seus dados com base no legítimo interesse (art. 7º, V da LGPD) para...".
- Evite duplas negativas: "Não deixaremos de informá-lo" é confuso. Escreva "Vamos informar você".
- Defina termos técnicos: Na primeira vez que usar "controlador", "operador", "tratamento" ou "dados sensíveis", explique brevemente o que significam.
- Use exemplos: "Coletamos dados de navegação (por exemplo: páginas visitadas, tempo de permanência, cliques)".
- Organize visualmente: Use títulos, subtítulos, listas e parágrafos curtos. Ninguém vai ler um bloco de texto de 3.000 palavras sem formatação.
Referência internacional: O GDPR europeu adota o mesmo princípio de linguagem clara. A autoridade irlandesa (DPC) já multou empresas por terem políticas de privacidade "excessivamente complexas e pouco transparentes". A tendência global é a mesma: simplicidade = conformidade.
Requisitos específicos por tipo de negócio
Embora a estrutura básica seja a mesma, diferentes tipos de negócio têm particularidades que devem constar na política de privacidade:
E-commerce
- Dados de pagamento: como são processados (gateway de pagamento), se são armazenados, padrão PCI DSS
- Dados de entrega: endereço, compartilhamento com transportadoras
- Cookies de remarketing e pixels de conversão (Facebook Pixel, Google Ads)
- Programa de fidelidade: dados adicionais coletados
- Avaliações e reviews: se nomes são publicados
SaaS (Software as a Service)
- Dados de uso da plataforma (logs, funcionalidades acessadas, métricas de uso)
- Dados inseridos pelo próprio usuário na plataforma (o SaaS pode ser operador, não controlador)
- Integrações com terceiros (APIs, webhooks)
- Localização dos servidores e subprocessadores
- Política de retenção pós-cancelamento
Aplicativos mobile
- Permissões de dispositivo: câmera, microfone, localização, contatos, notificações push
- Identificadores de dispositivo (IDFA, GAID)
- SDKs de terceiros integrados (analytics, crash reporting, publicidade)
- Coleta de dados em segundo plano
- Requisitos da App Store e Google Play (que também exigem política de privacidade)
Empresas penalizadas por políticas inadequadas: casos reais
A ANPD já está atuando. E não são apenas grandes empresas na mira. Veja exemplos de penalidades relacionadas à falta de transparência e políticas inadequadas:
- Telekall Infoservice (2023): Primeira multa da ANPD. A microempresa foi multada em R$14.400 por ausência de base legal para tratamento de dados e falta de nomeação de encarregado. A empresa sequer tinha política de privacidade publicada.
- INSS (2023): A ANPD aplicou advertência ao próprio governo por falta de comunicação adequada sobre incidente de segurança. A ausência de transparência foi o ponto central.
- Secretaria de Saúde do Estado de Santa Catarina (2024): Sancionada por não informar adequadamente os titulares sobre o tratamento de dados de saúde — dados sensíveis que exigem cuidado redobrado na política de privacidade.
Lembre-se: As multas da ANPD podem chegar a 2% do faturamento bruto, limitadas a R$50 milhões por infração. Mas o dano reputacional muitas vezes é ainda pior: clientes perdem confiança, parceiros comerciais recuam e a imagem da empresa é manchada publicamente.
Passo a passo para criar sua política de privacidade LGPD
Agora que você entende o que é necessário, veja o processo prático para criar sua política de privacidade:
- Mapeie todos os dados pessoais que sua empresa coleta Antes de escrever qualquer coisa, faça um inventário completo: formulários no site, cadastros, cookies, integrações com terceiros, dados de funcionários, dados de fornecedores. Tudo que envolve dados pessoais deve ser mapeado.
- Identifique a finalidade e a base legal de cada tratamento Para cada dado coletado, pergunte: por que coletamos? E qual é a base legal? Nem tudo precisa de consentimento — muitos tratamentos se encaixam em execução de contrato, obrigação legal ou legítimo interesse.
- Liste todos os terceiros com quem compartilha dados Processadores de pagamento, ferramentas de e-mail, plataformas de analytics, servidores de hospedagem. Documente cada um e o motivo do compartilhamento.
- Defina prazos de retenção Por quanto tempo cada categoria de dados será armazenada? A LGPD exige que dados não sejam mantidos por mais tempo do que o necessário. Crie uma tabela de retenção por tipo de dado.
- Redija o documento em linguagem clara Use as 9 seções essenciais como estrutura. Escreva de forma que qualquer pessoa consiga entender. Inclua exemplos quando possível.
- Crie um canal de exercício de direitos Configure um e-mail específico (ex: privacidade@suaempresa.com.br) ou um formulário para que titulares possam exercer seus direitos. Documente o processo interno de resposta.
- Publique de forma visível e acessível Link no rodapé de todas as páginas, no processo de cadastro e em formulários de coleta de dados. A política precisa ser encontrada antes de o titular fornecer seus dados.
- Estabeleça uma rotina de revisão Programe revisões semestrais ou sempre que houver mudança nos processos de coleta, novos parceiros ou alterações legislativas.
Consentimento de cookies: o que a LGPD exige
O tema dos cookies merece atenção especial porque envolve coleta de dados que muitas empresas nem percebem que estão fazendo.
Cada vez que alguém acessa seu site, cookies são instalados no navegador. Alguns são essenciais (como manter o usuário logado), mas outros coletam dados de comportamento para fins de marketing, analytics e personalização. A LGPD exige que o titular seja informado e, para cookies não essenciais, dê seu consentimento prévio.
Na prática, isso significa:
- Banner de cookies: Apresentar um aviso na primeira visita explicando que o site usa cookies, com opção de aceitar, recusar ou configurar por categoria.
- Cookies não essenciais bloqueados: Cookies de analytics e marketing não devem ser carregados antes do consentimento do usuário.
- Registro do consentimento: Manter prova de que o usuário consentiu, incluindo data, hora e o que foi aceito.
- Opção de revogação: O usuário deve poder mudar suas preferências a qualquer momento.
Dica prática: Existem ferramentas gratuitas e pagas de gestão de cookies (como Cookiebot, OneTrust e CookieYes) que automatizam o banner, o bloqueio de cookies e o registro de consentimento. É um investimento que vale a pena, especialmente para sites com muito tráfego.
Quando atualizar sua política de privacidade
Uma política de privacidade não é um documento estático. Ela precisa acompanhar a evolução do seu negócio e da legislação. Atualize sempre que:
- Passar a coletar novos tipos de dados pessoais
- Mudar a finalidade do tratamento de dados existentes
- Contratar novos fornecedores que processam dados pessoais
- Alterar a localização dos servidores ou o país de armazenamento
- Houver mudança na legislação (a LGPD é regulamentada progressivamente pela ANPD)
- Lançar novas funcionalidades que envolvam dados pessoais
- Mudar o encarregado de dados (DPO)
Na prática, faça uma revisão obrigatória a cada 6 meses, mesmo que nenhuma mudança significativa tenha ocorrido. Isso demonstra diligência em caso de fiscalização.
Você também deve se certificar de que seus contratos com clientes e fornecedores estejam alinhados com a política de privacidade. Se você usa uma ferramenta como o Nexo para gerar contratos, pode incluir cláusulas de proteção de dados diretamente nos modelos, garantindo consistência entre os documentos.
Dicas práticas para uma política de privacidade eficaz
Depois de criar sua política, estas práticas ajudam a mantê-la eficiente e relevante:
Versione suas políticas
Mantenha um histórico de versões com data de cada alteração. Isso facilita auditorias e demonstra boa-fé perante a ANPD.
Teste a legibilidade
Peça para alguém que não é da área jurídica ler sua política. Se não entender, reescreva. Clareza é obrigação legal.
Integre com contratos
Referencie a política de privacidade nos seus contratos de prestação de serviço. Isso cria um ecossistema documental coerente.
Treine sua equipe
Todos que lidam com dados pessoais devem conhecer a política. Treinamento regular reduz riscos de violação interna.
Perguntas Frequentes
Organize todos os seus documentos jurídicos
Com o Nexo, você cria contratos, termos e políticas com preenchimento automático. Tudo pronto para assinar digitalmente.
Começar grátis