A politica de privacidade e o documento central da conformidade com a LGPD (Lei n. 13.709/2018). Ela materializa o principio da transparencia (Artigo 6, VI) e e o principal instrumento pelo qual sua empresa informa os titulares de dados sobre como seus dados pessoais sao coletados, utilizados, armazenados e compartilhados. Uma politica de privacidade inadequada nao e apenas uma falha documental — e uma violacao da lei que pode resultar em sancoes administrativas, acoes judiciais e danos reputacionais. Este guia detalha os elementos obrigatorios, os erros comuns e as melhores praticas para criar uma politica de privacidade em conformidade com a LGPD.
Por que a politica de privacidade e obrigatoria
A LGPD nao usa a expressao “politica de privacidade” literalmente, mas os Artigos 6 (principios), 9 (direito a informacao) e 18 (direitos dos titulares) tornam esse documento implicitamente obrigatorio. O Artigo 9 determina que o titular dos dados tem direito ao acesso facilitado as informacoes sobre o tratamento de seus dados, que devem ser disponibilizadas de forma clara, adequada e ostensiva.
Na pratica, a ANPD e os tribunais brasileiros esperam que toda organizacao que trata dados pessoais disponibilize uma politica de privacidade acessivel em seu site. A ausencia desse documento ou sua insuficiencia constitui violacao dos principios de transparencia e livre acesso, sujeitando a empresa as sancoes do Artigo 52.
Para um panorama completo das obrigacoes da LGPD, consulte nosso guia completo da LGPD para empresas brasileiras.
Elementos obrigatorios da politica de privacidade LGPD
Com base nos Artigos 6, 9, 10 e 18 da LGPD, sua politica de privacidade deve conter os seguintes elementos:
1. Identificacao do controlador e do encarregado
Informe o nome completo e os dados de contato do controlador (sua empresa) e do encarregado de protecao de dados (DPO). O Artigo 41 exige a indicacao de um encarregado, e o Artigo 41, paragrafo 1, determina que sua identidade e informacoes de contato sejam divulgadas publicamente, preferencialmente no site do controlador.
2. Dados pessoais coletados
Liste de forma clara e especifica os tipos de dados pessoais que voce coleta. Nao use termos vagos como “informacoes pessoais diversas.” Seja explicito:
- Dados de identificacao: nome, CPF, RG, data de nascimento
- Dados de contato: e-mail, telefone, endereco
- Dados financeiros: dados de cartao de credito, historico de transacoes
- Dados de navegacao: endereco IP, cookies, historico de navegacao, dispositivo
- Dados sensiveis (se aplicavel): dados de saude, biometricos, origem racial ou etnica
3. Finalidades do tratamento
Para cada categoria de dados coletados, descreva a finalidade especifica do tratamento (Artigo 6, I). Exemplos:
- “Dados de contato sao coletados para envio de confirmacoes de pedido e comunicacoes sobre o servico”
- “Dados de navegacao sao coletados para analise de desempenho do site e melhoria da experiencia do usuario”
- “Dados financeiros sao coletados para processamento de pagamentos”
Finalidades genericas como “para melhorar nossos servicos” sao insuficientes.
4. Bases legais utilizadas
Indique a base legal (Artigo 7) que fundamenta cada atividade de tratamento:
- Consentimento (Artigo 7, I) — para marketing, newsletters, cookies nao essenciais
- Execucao de contrato (Artigo 7, V) — para processamento de pedidos, prestacao de servicos
- Obrigacao legal (Artigo 7, II) — para retencao de dados fiscais, compliance trabalhista
- Interesse legitimo (Artigo 7, IX) — para prevencao de fraude, seguranca
5. Compartilhamento com terceiros
Identifique as categorias de terceiros com quem voce compartilha dados pessoais e as finalidades desse compartilhamento:
- Processadores de pagamento
- Provedores de hospedagem e infraestrutura
- Ferramentas de analise e marketing
- Autoridades publicas (quando exigido por lei)
6. Transferencias internacionais
Se voce transfere dados pessoais para fora do Brasil, declare:
- Os paises ou organizacoes para os quais os dados sao transferidos
- O fundamento legal da transferencia (Artigo 33)
- As garantias adotadas para proteger os dados
7. Periodos de retencao
Informe por quanto tempo cada categoria de dados sera retida e os criterios para determinacao desse prazo (Artigo 15). Exemplo: “Dados de transacao sao retidos por 5 anos apos a conclusao do servico, conforme exigencias fiscais.”
8. Direitos dos titulares
Descreva os direitos que os titulares podem exercer nos termos do Artigo 18:
- Confirmacao e acesso
- Correcao
- Anonimizacao, bloqueio ou eliminacao
- Portabilidade
- Eliminacao de dados tratados com base no consentimento
- Informacao sobre compartilhamento
- Revogacao do consentimento
Indique claramente como exercer esses direitos: canal de contato (e-mail, formulario), prazo de resposta e procedimento.
9. Medidas de seguranca
Descreva, em termos gerais, as medidas tecnicas e administrativas adotadas para proteger os dados pessoais (Artigo 46). Nao revele detalhes que possam comprometer a seguranca, mas demonstre que medidas razoaveis estao em vigor: criptografia, controle de acesso, monitoramento, backups.
10. Cookies e tecnologias de rastreamento
Se seu site utiliza cookies, pixels de rastreamento ou tecnologias similares, descreva:
- Os tipos de cookies utilizados (essenciais, analiticos, de marketing)
- As finalidades de cada tipo
- Como o usuario pode gerenciar suas preferencias de cookies
Para gerir o consentimento de cookies de forma conforme, pode utilizar um banner de cookies gratuito e conforme ao RGPD.
Erros comuns na politica de privacidade LGPD
1. Copiar e colar de outro site. Uma politica de privacidade que nao reflete suas praticas reais de tratamento de dados e uma violacao do principio de transparencia. A ANPD espera que sua politica seja especifica para sua organizacao.
2. Usar apenas o consentimento como base legal. Muitas empresas declaram que todos os tratamentos sao baseados em consentimento, quando na verdade utilizam execucao de contrato ou obrigacao legal. Isso cria problemas quando o titular revoga o consentimento para tratamentos que nao dependiam dele.
3. Omitir o encarregado de protecao de dados. A LGPD exige a indicacao de um encarregado (Artigo 41). A omissao dessa informacao na politica de privacidade e uma violacao clara.
4. Nao mencionar transferencias internacionais. Se voce usa servicos como Google Analytics, AWS, Stripe ou Mailchimp, seus dados sao transferidos para fora do Brasil. Essas transferencias devem ser declaradas.
5. Linguagem inacessivel. A LGPD exige que as informacoes sejam disponibilizadas de forma clara e adequada (Artigo 9). Juridiques excessivo viola esse requisito.
6. Nao atualizar regularmente. Suas praticas de tratamento evoluem: novos fornecedores, novas funcionalidades, novos tipos de dados. Sua politica deve acompanhar essas mudancas.
Diferenca entre politica de privacidade e termos de uso
Estes sao documentos distintos com propositos diferentes:
Politica de privacidade: Explica como voce coleta, usa e protege dados pessoais. Fundamentada na LGPD. Obrigatoria para qualquer site que colete dados.
Termos de uso: Estabelecem as regras de utilizacao do site ou servico. Fundamentados no Codigo Civil e no Codigo de Defesa do Consumidor. Definem responsabilidades, restricoes de uso e propriedade intelectual.
Ambos os documentos sao necessarios e devem ser complementares, referenciando-se mutuamente onde aplicavel.
Quatro abordagens para criar sua politica de privacidade
Contratar um advogado especializado
Custo: R$ 5.000 a R$ 15.000. Prazo: 2 a 4 semanas.
Um advogado especializado em protecao de dados analisa seus fluxos de dados, identifica as bases legais aplicaveis e redige uma politica sob medida. Recomendado para empresas com tratamento complexo de dados sensiveis ou transferencias internacionais significativas.
Usar uma ferramenta de IA generica
Custo aparente: R$ 0. Custo real: uma politica que parece completa mas omite elementos obrigatorios.
Ferramentas de IA genericas nao auditam seus fluxos de dados reais e frequentemente produzem politicas que misturam requisitos do GDPR e da LGPD sem a devida adaptacao ao contexto brasileiro.
Copiar um modelo gratuito
Custo: R$ 0. Risco: elevado.
Modelos gratuitos sao genericos e nunca adaptados a sua atividade especifica. A ANPD espera que cada politica reflita as praticas reais da organizacao, nao um texto padrao.
Usar um gerador especializado de documentos legais
Custo: 19,90 € a 49,90 €. Prazo: menos de 10 minutos.
Um gerador especializado faz perguntas sobre sua empresa, seus dados, seus fornecedores e suas praticas, e produz uma politica de privacidade adaptada as exigencias da LGPD. Inclui as bases legais, os direitos dos titulares, as informacoes do encarregado e as mencoes a transferencias internacionais.
Para verificar rapidamente a conformidade do seu site, utilize o nosso scanner de conformidade gratuito. Consulte tambem o nosso guia completo da LGPD e a nossa comparacao LGPD vs RGPD.
Conclusao
A politica de privacidade e mais do que um documento legal — e a expressao concreta do compromisso da sua empresa com a protecao dos dados pessoais dos seus clientes e usuarios. Sob a LGPD, ela deve ser especifica, transparente, acessivel e atualizada. Com a ANPD ativamente fiscalizando e os tribunais brasileiros cada vez mais sensibilizados para questoes de privacidade, investir em uma politica de privacidade adequada e uma das acoes de conformidade com maior retorno. Nao espere uma notificacao ou uma acao judicial para agir — proteja seus clientes e sua empresa agora.