A LGPD não é uma preocupação futura para quem vende produtos digitais. É o ambiente operacional presente para qualquer negócio que coleta um endereço de email, processa um pagamento ou veicula um anúncio de retargeting para pessoas no Brasil — independentemente de onde o vendedor está incorporado.
Infoprodutores e creators frequentemente assumem que lei de proteção de dados se aplica apenas a grandes empresas. A LGPD não faz essa distinção. O que ela oferece, via regulamentação da ANPD, é um regime simplificado para operadores menores — que reduz o ônus administrativo sem eliminar a obrigação.
Este checklist cobre o mínimo jurídico antes do primeiro lead entrar em qualquer funil que atinja o Brasil.
A quem a LGPD se aplica
A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) se aplica a qualquer tratamento de dados pessoais:
- Realizado em território nacional
- Que tenha por objetivo a oferta de bens ou serviços a pessoas no Brasil
- Envolvendo dados coletados de pessoas no Brasil
A localização do operador é irrelevante. Um creator americano vendendo curso para compradores brasileiros, um SaaS europeu com usuários brasileiros, uma marca asiática rodando anúncios para consumidores brasileiros — todos estão sujeitos à LGPD para os dados que coletam nessas interações.
Dado pessoal pela LGPD inclui nomes, endereços de email, CPFs, endereços IP, identificadores de dispositivo, histórico de compras e dados comportamentais de pixels de rastreamento. Qualquer funil — do clique no anúncio ao email de confirmação de compra — trata dados pessoais.
Mapeamento de dados: do clique no anúncio ao cliente
Antes de redigir uma política de privacidade, mapeie o que realmente flui pela operação:
| Etapa | Dados coletados | Operador | Base legal necessária |
|---|---|---|---|
| Anúncio | IP, ID de dispositivo, comportamental | Meta/Google | Legítimo interesse ou consentimento |
| Lead magnet | Nome, email | Plataforma de email (Kit, Mailchimp) | Consentimento (opt-in) |
| Checkout | Nome, CPF, dados de pagamento | Gateway de pagamento | Execução de contrato |
| Pós-compra | Histórico de compra, logs de acesso | Plataforma de curso | Execução de contrato |
| Remarketing | Email, comportamental | Plataforma de anúncio | Consentimento ou legítimo interesse |
Todo operador que toca dados em nome do vendedor (plataformas de email, gateways, CRMs, ferramentas de analytics) precisa ter um contrato de processamento de dados em vigor. Muitas plataformas incluem DPAs padrão nos próprios termos — mas verificar isso, e documentar a verificação, é responsabilidade do controlador.
Bases legais: a base certa para cada finalidade
A LGPD exige uma base legal específica para cada finalidade de tratamento. As duas mais relevantes para infoprodutores:
Consentimento (art. 7º, I)
- Exige: opt-in expresso, livre, informado e inequívoco
- A finalidade deve ser indicada no momento da coleta
- Caixas pré-marcadas, consentimento agrupado ou silêncio não qualificam
- O consentimento deve ser revogável a qualquer momento — e o processo de revogação deve ser simples
- Melhor para: opt-ins de newsletter, comunicações de marketing, consentimento de retargeting
Legítimo interesse (art. 7º, IX)
- Aplicável quando: há relação comercial pré-existente; o tratamento é proporcional; o titular esperaria razoavelmente a comunicação
- Exige avaliação de impacto documentada do teste de balanceamento
- Não pode ser usado para listas frias ou bases compradas
- Melhor para: acompanhamento pós-compra, comunicações com clientes existentes
Execução de contrato (art. 7º, V) cobre o tratamento necessário para entregar o produto ou serviço adquirido — gestão de acesso, geração de nota fiscal, comunicações de suporte.
Usar a base errada — ou não ter base documentada — é uma lacuna de conformidade que a ANPD examina em processos administrativos.
Política de privacidade que aguenta auditoria
Uma política de privacidade adequada à LGPD precisa, no mínimo:
- Identificar o controlador — quem é responsável pelos dados — com informações de contato
- Identificar o Encarregado (DPO) com canal de comunicação acessível
- Listar as categorias de dados coletados e a finalidade de cada um
- Indicar a base legal para cada finalidade de tratamento
- Especificar os prazos de retenção — ou os critérios usados para determiná-los
- Informar o compartilhamento de dados: todo operador e terceiro que recebe dados, e por quê
- Tratar as transferências internacionais de dados se os dados saem do Brasil — e as salvaguardas aplicadas
- Explicar os direitos dos titulares (acesso, correção, exclusão, portabilidade, oposição) e como exercê-los
- Indicar a data da última atualização
DPO: quando indicar e o regime simplificado
A LGPD exige que controladores e operadores indiquem um Encarregado de Dados (DPO). A Resolução CD/ANPD nº 2/2022 estabeleceu regime simplificado para:
- Microempresas
- Empresas de pequeno porte
- Startups conforme o Marco Legal das Startups (LC nº 182/2021)
Pelo regime simplificado, operadores menores podem simplificar certas obrigações, inclusive a forma de indicação do DPO. A resolução não elimina a obrigação — permite flexibilidade na forma de estruturar e divulgar o papel.
Mesmo no regime simplificado: manter ponto de contato nomeado para comunicações sobre dados pessoais, garantir que esse contato seja acessível e documentar respostas a solicitações de titulares.
O prazo de comunicação de incidente pela Resolução ANPD 15/2024
Quando ocorre um incidente de segurança que pode gerar risco ou dano relevante aos titulares — vazamento, acesso não autorizado, exposição de dados —, a Resolução CD/ANPD nº 15/2024 exige notificação à ANPD e aos titulares afetados no prazo nela definido, contado da ciência do incidente pelo agente de tratamento.
A notificação deve conter:
- Natureza e categorias dos dados afetados
- Informações sobre os titulares envolvidos
- Medidas técnicas e de segurança que estavam em vigor e foram comprometidas
- Riscos relacionados aos titulares
- Ações corretivas e de mitigação tomadas ou planejadas
A implicação prática: um vazamento não é um problema de comunicação a ser gerenciado depois. É um evento regulado com prazo fixo. Um plano de resposta a incidentes — mesmo simples — precisa existir antes de qualquer incidente.
Checklist de implementação em 30 dias
Para um infoprodutor iniciando a conformidade do zero:
Semana 1 — Mapear
- Listar cada dado coletado (email, nome, CPF, comportamental, pagamento)
- Identificar cada operador que toca dados (plataforma de email, gateway, CRM, analytics)
- Mapear a base legal para cada finalidade de tratamento
Semana 2 — Documentar
- Redigir ou atualizar a política de privacidade conforme a LGPD
- Verificar que contratos de processamento de dados existem com todos os operadores
- Revisar formulários de opt-in — confirmar linguagem de consentimento expresso e indicação de finalidade
Semana 3 — Estruturar
- Indicar Encarregado ou ponto de contato (regime simplificado se aplicável)
- Redigir plano básico de resposta a incidentes (detecção → contenção → avaliação → notificação → documentação)
- Documentar bases legais formalmente num registro de tratamento
Semana 4 — Operacionalizar
- Adicionar mecanismo de exercício de direitos dos titulares ao site (formulário de acesso, correção, exclusão)
- Definir política de retenção e implementar fluxo de exclusão de contatos inativos
- Orientar qualquer pessoa com acesso a dados de clientes sobre obrigações básicas da LGPD
Atuamos na estruturação de conformidade LGPD para infoprodutores e empresas digitais. Nossa prática cobre LGPD e privacidade e contratos digitais. Ver também: Monetização de creator: as estruturas jurídicas.
FAQ
Sim. A LGPD (Lei nº 13.709/2018) se aplica a qualquer pessoa, física ou jurídica, que trate dados pessoais no Brasil — independentemente do porte. Microempresas e startups têm regime simplificado pela Resolução CD/ANPD nº 2/2022, mas não estão isentas. O risco regulatório é menor para operações de baixo volume sem dados sensíveis, mas o risco contratual e reputacional permanece: plataformas de pagamento e marcas parceiras pedem comprovação de conformidade.
Duas opções principais. Consentimento (LGPD art. 7º, I): opt-in expresso, claro e inequívoco com finalidade específica indicada no formulário. Legítimo interesse (art. 7º, IX): para envios proporcionais e esperados em relações comerciais pré-existentes. Listas compradas ou cedidas por terceiros sem consentimento criam exposição regulatória significativa. A política de privacidade deve indicar a base utilizada e o direito de revogação a qualquer momento.
Comunicar à ANPD e aos titulares afetados, conforme LGPD art. 48 e Resolução CD/ANPD nº 15/2024, sempre que houver risco ou dano relevante — no prazo definido pela resolução, contado da ciência do incidente pelo agente de tratamento. A notificação deve descrever a natureza dos dados, os titulares envolvidos, as medidas técnicas e de segurança adotadas, os riscos e as ações corretivas. Internamente: ativar o plano de resposta, preservar evidências e envolver o jurídico desde o início.
A LGPD exige indicação de Encarregado por controladores e operadores. A Resolução CD/ANPD nº 2/2022 estabeleceu regime simplificado para microempresa, EPP e startup, permitindo simplificação de algumas obrigações, inclusive da forma de indicação. Mesmo no regime simplificado, manter um ponto de contato identificado para comunicações sobre dados pessoais é recomendado.
A LGPD (art. 52) prevê desde advertência até multa de 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração. A ANPD considera, na dosimetria, a boa-fé do infrator, medidas de mitigação e histórico de conformidade. Boa-fé isolada não exclui responsabilidade — atenua a sanção. Empresas em fase de conformidade documentada são tratadas favoravelmente em processos administrativos.
