Política de privacidade é a primeira falha documental que a maioria dos negócios digitais enfrenta. Ou não tem, ou tem uma copiada de concorrente em 2018 que nunca foi revisada. Os dois cenários são não conformes com a LGPD, e os dois criam exposição que aparece exatamente nos piores momentos — quando o gateway de pagamento audita, quando a diligência do investidor chega na seção de dados, quando o parceiro de marca pede comprovação de conformidade.

Este artigo cobre o que a LGPD efetivamente exige, o que os templates genéricos da internet deixam passar, e como dimensionar o documento para a operação.

O que a LGPD exige

A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) não exige literalmente "política de privacidade" pelo nome. O que exige é que o titular tenha acesso facilitado, claro e adequado a informações específicas sobre como seus dados estão sendo tratados.

O art. 9º lista os elementos:

  • Finalidade específica do tratamento
  • Forma e duração do tratamento
  • Identificação do controlador
  • Informações de contato do controlador e, quando aplicável, do Encarregado pelo Tratamento de Dados Pessoais (DPO)
  • Informações sobre compartilhamento e finalidades
  • Responsabilidades dos agentes que realizarão o tratamento
  • Direitos do titular (art. 18)

Na prática, esse conjunto é entregue via política de privacidade publicada no site e acessível a partir de qualquer ponto de coleta (formulário de cadastro, checkout, página de contato).

Site sem política de privacidade, ou com política que omite qualquer desses elementos, está em desconformidade. A exposição tem três dimensões:

  • Regulatória — a ANPD tem competência para aplicar sanções sob LGPD art. 52, que vão de advertência a multa
  • Contratual — gateways de pagamento, plataformas de anúncio, parceiros de marca e clientes B2B exigem cada vez mais comprovação de conformidade
  • Reputacional — falhas de privacidade atraem atenção negativa e erodem confiança

O que os templates genéricos deixam passar

A maioria dos templates copiados da internet tem três problemas estruturais:

Problema 1 — declarar o que a operação não faz

Templates frequentemente incluem trechos como "podemos compartilhar dados com empresas afiliadas" ou "podemos usar seus dados para pesquisa de produto". Se a operação, de fato, não compartilha dados com afiliadas e não faz pesquisa de produto, declarar que pode cria pegada de divulgação desnecessária. Menos problemático que o próximo, mas má prática.

Problema 2 — omitir o que a operação efetivamente faz

Bem mais perigoso. Stack típica de infoprodutor envolve:

  • Plataforma de email (Kit, Mailchimp, ActiveCampaign) tratando nomes, emails, comportamento
  • Gateway de pagamento (Stripe, Pagar.me, MercadoPago) tratando nomes, CPFs, dados de pagamento
  • Plataforma de curso (Hotmart, Kajabi, Eduzz) tratando logs de acesso, dados de conclusão
  • Analytics (Google Analytics, Meta Pixel) tratando IPs, dados comportamentais
  • Suporte (WhatsApp Business, intercom) tratando histórico de conversa

Cada um desses é um operador recebendo dados em nome do controlador. Cada um exige Contrato de Tratamento de Dados (DPA) e cada um deve ser divulgado na política de privacidade com a finalidade do compartilhamento. Templates raramente listam qualquer um especificamente.

Problema 3 — linguagem boilerplate sobre retenção

Templates frequentemente dizem "retemos dados pelo tempo necessário" sem especificar. A LGPD exige prazo de retenção definido por finalidade do tratamento. Para um infoprodutor:

  • Dados fiscais: retenção pelos prazos da legislação tributária e contábil brasileira (multianual)
  • Dados de cliente ativo: retenção enquanto o relacionamento é ativo
  • Dados de marketing: retenção enquanto o consentimento é válido; eliminados na revogação
  • Dados de analytics: retenção baseada na finalidade; considerar anonimização após período definido

Listar o prazo de retenção por tipo de dado torna a política concreta e defensável.

Como uma política funcional de privacidade se estrutura

Política que sobrevive à análise tem a seguinte estrutura:

  1. Identificação — nome completo do controlador, CNPJ (ou CPF para operação individual), endereço, email oficial de contato, contato do Encarregado (ou declaração de regime simplificado se aplicável)
  2. Quais dados são coletados — itemizado por ponto de coleta (formulário, checkout, tracking de navegador etc.)
  3. Como os dados são usados — por finalidade, com a base legal correspondente (art. 7º ou art. 11 da LGPD)
  4. Quem recebe os dados — lista de operadores com a finalidade de cada compartilhamento, jurisdição e salvaguardas aplicáveis para transferências internacionais
  5. Retenção — por tipo de dado, com referência à regra que justifica o prazo
  6. Direitos do titular — direitos do art. 18 com instruções práticas sobre como exercer cada um
  7. Cookies e rastreadores — lista de rastreadores com categoria (essencial, analytics, marketing) e o mecanismo de consentimento
  8. Segurança — descrição geral das medidas técnicas e organizacionais, sem expor especificidades que criem vulnerabilidade
  9. Atualizações — como mudanças na política são comunicadas e a data da versão
  10. Data de vigência e histórico de versões — importa para continuidade probatória

Quando atualizar

A política deve ser revisada:

  • Quando um novo operador é adicionado à stack (nova plataforma de email, nova ferramenta de analytics)
  • Quando uma nova finalidade de tratamento é adicionada (ex.: programa de indicação com novos fluxos de dados)
  • Quando a operação se expande geograficamente (transferências de dados cross-border)
  • Em cadência definida (anual é razoável para operações estáveis)

Atualizações devem preservar histórico de versões. Se surgir questão sobre como os dados estavam sendo tratados em momento específico, a versão anterior da política em vigor naquele momento é parte da resposta.

Higiene documental

Política de privacidade não é peça de marketing. É documento legal com consequências operacionais. Duas práticas reduzem risco:

Refletir prática real. A regra mais importante. Política que promete mais privacidade do que a operação efetivamente entrega cria exposição em toda auditoria, todo incidente, toda diligência. Política que combina com prática real — mesmo que a prática seja data-intensive — é defensável.

Revisão por quem leu a LGPD. Revisão jurídica genérica, sem atenção LGPD-específica, perde os elementos do art. 9º, as bases legais dos arts. 7º e 11, e as regras de transferência internacional do Capítulo V. Revisão LGPD-específica pega lacunas estruturais que revisão genérica não pega.

Política de privacidade é um dos poucos documentos legais que opera continuamente, na frente de todo visitante, todo cliente, todo regulador, todo auditor. Tratá-la como documento operacional sério — não como afterthought de copy-paste — paga-se na primeira vez que importa.

FAQ

Meu site não coleta nada além de email para newsletter. Preciso de política de privacidade?

Sim. Email é dado pessoal pela LGPD (art. 5º, I). Coletar para newsletter envolve definir finalidade, base legal, prazo de retenção, formas de revogação — todas informações que o art. 9º exige sejam disponibilizadas ao titular. A política não precisa ser longa: precisa cobrir os elementos do art. 9º com clareza. Site simples = política simples; mas obrigatória.

Quais elementos a política de privacidade precisa cobrir?

Pelo art. 9º da LGPD, no mínimo: finalidade específica do tratamento; forma e duração; identificação do controlador; informações de contato do controlador (e do Encarregado, quando aplicável); responsabilidades dos agentes que realizarão o tratamento; direitos do titular (art. 18); compartilhamentos com terceiros e suas finalidades; transferências internacionais e suas garantias. Política que omite qualquer desses elementos está em desconformidade. Templates genéricos da internet frequentemente cobrem só uma fração.

Posso usar política de privacidade gerada por ChatGPT?

Como ponto de partida, sim — desde que revisada e ajustada à operação real. Política gerada por IA tende a ser genérica: declara compartilhamentos que não acontecem, omite tratamentos que acontecem, e não reflete a stack tecnológica concreta (gateway de pagamento, plataforma de email, analytics, pixel de remarketing). O risco maior não é o documento gerado, mas o gap entre o documento e a realidade — esse gap é o que vira problema regulatório ou contratual.

Quanto tempo posso reter os dados depois que o cliente cancela?

Pela LGPD (art. 15), o tratamento se encerra com o fim da finalidade — mas há exceções importantes (art. 16): cumprimento de obrigação legal ou regulatória, estudos por órgão de pesquisa, transferência a terceiro com base legal, uso exclusivo do controlador (anonimização). Para infoprodutor: dados fiscais (notas, comprovantes) precisam ser retidos pelos prazos do Código Tributário e da legislação contábil; dados não-essenciais devem ser eliminados ou anonimizados. A política precisa indicar prazos por tipo de dado.

Tive vazamento. Atualizo a política depois?

A política de privacidade descreve práticas e responsabilidades — não precisa ser "atualizada por causa do incidente". O que precisa acontecer no incidente é separado: comunicação ao titular afetado, comunicação à ANPD conforme Resolução CD/ANPD nº 15/2024 (quando há risco ou dano relevante), preservação de evidências, ativação do plano de resposta. Posteriormente, se o incidente revelar lacuna na política (ex.: prática real divergente do documento), corrigir o documento como medida de melhoria — não como reação.

// ÁREA DE PRÁTICA
LGPD & PrivacidadeAdequação à LGPD, bases legais e interface com a ANPD.Contratos DigitaisContratos autorais para infoprodutos, creators e licenciamento.
Autora

Managing Partner e fundadora da Hosaki Advogados. Atuação em propriedade intelectual, direito digital e creator economy. Mais de 10 anos na interseção entre tecnologia e direito.