A LGPD e os sites empresariais: o que muita empresa ainda ignora
A Lei Geral de Proteção de Dados (LGPD) — Lei 13.709/2018 — está em vigor desde setembro de 2020, e a Autoridade Nacional de Proteção de Dados (ANPD) tem aplicado sanções progressivamente desde 2023. Mesmo assim, uma parcela significativa das empresas brasileiras ainda opera com sites que coletam dados pessoais sem o devido consentimento, sem política de privacidade adequada, e sem mecanismos de controle que a lei exige.
O risco não é apenas de multa — que pode chegar a 2% do faturamento da empresa, limitado a R$50 milhões por infração. É de reputação, de confiança do consumidor, e de responsabilidade civil em casos de vazamento ou uso inadequado de dados. Para empresas B2B que lidam com dados de contato de prospects e clientes, o risco é especialmente relevante.
A boa notícia: adequar o site à LGPD não precisa ser um processo traumático nem prejudicar a experiência do usuário. Com as escolhas técnicas certas, você pode estar em conformidade e manter uma experiência fluida e profissional. A Trilion implementa conformidade com LGPD em todos os sites que desenvolve — e neste artigo compartilhamos o que você precisa saber e fazer.
O que a LGPD exige especificamente dos sites brasileiros
A LGPD regula o tratamento de dados pessoais — qualquer informação que identifique ou possa identificar uma pessoa natural. Em um site empresarial, os principais pontos de coleta de dados pessoais são: formulários de contato e lead generation, análise de comportamento via cookies e ferramentas de analytics, cadastros de newsletter, área de membros ou cliente, e o próprio processo de hospedagem (logs de acesso com endereço IP).
Para cada ponto de coleta, a LGPD exige que exista uma base legal para o tratamento dos dados. As bases legais mais relevantes para sites são: consentimento (o titular expressamente autoriza o uso dos seus dados para uma finalidade específica) e legítimo interesse (o tratamento é necessário para atender aos interesses legítimos do controlador sem prejudicar os interesses do titular). Há outras bases legais, mas para a maioria dos casos de marketing e analytics em sites, o consentimento é a mais segura e aplicável.
Política de privacidade: o documento obrigatório que ninguém lê mas que precisa existir
Toda empresa que coleta dados pessoais via site é obrigada a ter uma política de privacidade clara, acessível e completa. Esse documento deve cobrir: quais dados são coletados, para qual finalidade, por quanto tempo são armazenados, com quais terceiros são compartilhados (incluindo ferramentas como Google Analytics, HubSpot, RD Station, Meta Pixel), quais são os direitos do titular, e como o titular pode exercer esses direitos (solicitar exclusão, correção, portabilidade, etc.).
A política de privacidade deve ser linkada de forma visível — no rodapé do site, nos formulários e no banner de cookies. Não precisa estar em linguagem jurídica impenetrável — na verdade, a LGPD incentiva explicitamente linguagem clara e acessível. Uma política bem escrita em linguagem simples é mais eficaz e mais alinhada ao espírito da lei do que um documento cheio de legalês.
O que incluir na política de privacidade do site
A política deve identificar: quem é o controlador dos dados (a empresa, com CNPJ e dados de contato do DPO/encarregado se houver), quais categorias de dados são coletadas (nome, e-mail, telefone, dados de navegação, endereço IP, etc.), as finalidades do tratamento (envio de propostas, newsletter, análise de comportamento, retargeting publicitário), os terceiros que recebem dados (Google, Meta, ferramentas de CRM, etc.), a base legal para cada tipo de tratamento, e os canais para exercício de direitos pelo titular.
Banner de cookies: como fazer do jeito certo
O banner de cookies é o elemento mais visível da adequação à LGPD no site — e frequentemente o mais mal implementado. Existem dois extremos ruins: o banner que simplesmente avisa 'usamos cookies' sem dar opção real de recusa (não é conformidade, é teatro), e o banner tão invasivo e complexo que arruína a primeira experiência do usuário no site.
Um banner de cookies correto deve: aparecer na primeira visita do usuário antes de qualquer processamento de dados não essencial, oferecer opção real de aceitar ou recusar cookies não essenciais, ser claro sobre quais categorias de cookies existem (essenciais, analytics, marketing, preferências), armazenar a preferência do usuário para não repetir o pedido a cada visita, e permitir que o usuário revise e altere suas preferências posteriormente.
Categorias de cookies e o que cada uma implica
Cookies essenciais: Necessários para o funcionamento básico do site (sessão, carrinho de compras, segurança). Não precisam de consentimento, mas devem ser declarados na política de privacidade.
Cookies de analytics: Usados por ferramentas como Google Analytics para medir comportamento dos usuários. Precisam de consentimento. O Google Analytics 4 tem modos de operação que permitem funcionamento básico sem consentimento (modo de modelagem), mas para dados completos e precisos, o consentimento é necessário.
Cookies de marketing/publicidade: Usados por Meta Pixel, Google Ads, LinkedIn Insight Tag para rastreamento de conversão e retargeting. Precisam de consentimento explícito. São os que mais impactam campanhas de mídia paga se não configurados corretamente.
Cookies de preferências: Armazenam preferências do usuário (idioma, tema escuro/claro, etc.). Geralmente precisam de consentimento, embora o impacto de não coletá-los seja menor.
Formulários com consentimento: o detalhe que muita empresa esquece
Todo formulário que coleta dados pessoais — seja de contato, newsletter, diagnóstico gratuito ou cadastro — deve incluir um mecanismo de consentimento para usos que vão além do atendimento imediato da solicitação. Se alguém preenche um formulário de 'entre em contato', o uso desses dados para enviar newsletters, incluir em CRM para follow-up de longo prazo ou usar para retargeting publicitário precisa de consentimento específico.
A implementação prática: inclua uma checkbox não pré-marcada com texto claro sobre para qual finalidade os dados serão usados. Exemplo: 'Autorizo a [Empresa] a usar meus dados para enviar conteúdos e comunicações relevantes sobre seus serviços. Consulte nossa Política de Privacidade.' A checkbox deve ser opcional se o propósito principal do formulário puder ser atendido sem ela — ou seja, se alguém não quer receber newsletter, você ainda pode responder ao pedido de contato dele.
Registro de consentimento
A LGPD exige que você consiga comprovar que o consentimento foi obtido — quando, para qual finalidade, em qual versão da política de privacidade vigente. Isso significa que seu sistema de CRM ou ferramenta de automação de marketing deve registrar a data do consentimento, a fonte (qual formulário), e a versão da política de privacidade vigente naquele momento. Ferramentas como HubSpot, RD Station e ActiveCampaign têm funcionalidades nativas para isso, mas precisam ser configuradas corretamente.
Como coletar dados de analytics sem violar a LGPD
O Google Analytics 4 é a ferramenta de analytics mais usada no mundo e, ao mesmo tempo, uma das principais fontes de risco de conformidade com a LGPD. Isso porque, por padrão, o GA4 coleta dados de identificação do usuário (incluindo endereços IP) e os envia para servidores nos Estados Unidos — o que levanta questões de transferência internacional de dados.
Configurações de GA4 compatíveis com a LGPD
Para operar o Google Analytics 4 de forma mais compatível com a LGPD, as configurações recomendadas incluem: ativar a anonimização de IP (disponível nas configurações do GA4 e que impede o armazenamento do IP completo), implementar o Google Consent Mode v2 para que o GA4 opere em modo de modelagem quando o consentimento não for dado, configurar a retenção de dados para o mínimo necessário (14 meses é o padrão, pode ser reduzido), e desativar a personalização de anúncios nas configurações da propriedade GA4 se você não usa esse recurso.
Alternativas ao Google Analytics para quem quer mais controle
Para empresas com preocupações mais rigorosas com privacidade, existem alternativas ao GA4 que são hospedadas em servidores próprios ou europeus e têm arquitetura mais favorável à conformidade com leis de privacidade: Matomo (pode ser hospedado em servidor próprio, sem envio de dados a terceiros), Plausible (analytics de privacidade focada, sem cookies, sem coleta de dados pessoais), e Fathom (similar ao Plausible, hospedagem na UE). Essas ferramentas oferecem menos funcionalidades que o GA4, mas podem operar sem banner de cookies ou com conformidade muito mais simples.
'A LGPD não é o inimigo da análise de dados — é uma oportunidade de construir uma relação mais transparente e confiável com seus usuários. Empresas que tratam dados com respeito e transparência constroem mais confiança e, ironicamente, conseguem dados mais qualificados dos usuários que optam por consentir.' — Equipe de Compliance Digital da Trilion
Implementação prática: o checklist de conformidade LGPD para sites
A Trilion usa o seguinte checklist em todos os projetos de desenvolvimento e auditoria de sites:
- Política de privacidade: Criada, acessível em link no rodapé, atualizada e refletindo os dados reais coletados pelo site.
- Banner de cookies: Implementado com opt-in real para cookies não essenciais, categorização de cookies, armazenamento de preferência e link para política de privacidade.
- Formulários: Todos os formulários têm checkbox de consentimento para finalidades além do atendimento imediato, com link para política de privacidade.
- Google Analytics / outras ferramentas de analytics: Configurado com Consent Mode v2, anonimização de IP, e ativação apenas após consentimento ou em modo de modelagem.
- Meta Pixel / Google Ads / LinkedIn: Configurados para só disparar após consentimento de cookies de marketing.
- Registro de consentimento: Sistema de CRM configurado para registrar data, fonte e versão da política para cada consentimento obtido.
- Canal de exercício de direitos: E-mail ou formulário específico para solicitações de titulares (acesso, exclusão, correção, portabilidade).
- DPO identificado: Encarregado de Proteção de Dados identificado na política de privacidade (obrigatório para controladores de médio e grande porte).
A conformidade como diferencial — não como obrigação
Empresas que tratam a LGPD como checkbox de compliance perdem a oportunidade de usar a conformidade como diferencial. Uma comunicação clara sobre como você usa dados pessoais, um processo transparente de consentimento e um site que demonstra respeito à privacidade do usuário constroem confiança — especialmente em contextos B2B, onde a empresa compradora está preocupada com a segurança dos seus próprios dados ao contratar fornecedores.
'A pergunta certa não é apenas 'o que a LGPD obriga meu site a ter?', mas 'como posso usar a conformidade para demonstrar que minha empresa trata informações com seriedade e profissionalismo?'. Esse posicionamento transforma um custo em diferencial competitivo.' — Trilion
Se você quer que seu site seja adequado à LGPD sem comprometer a experiência do usuário ou o desempenho das suas campanhas de marketing, a Trilion pode conduzir uma auditoria de conformidade e implementar as adequações necessárias com a expertise técnica e jurídica que o tema exige.
Quer saber se o seu site está em conformidade com a LGPD? Solicite uma auditoria de conformidade digital com a Trilion e identifique os pontos de risco antes que se tornem um problema.
