Ter um site não é só design e conversão, mas também responsabilidade sobre dados pessoais: nomes, e-mails, IPs, cookies, dados de pagamento, chats e formulários. Este checklist foca em controles práticos que toda landing page, site institucional, e-commerce ou blog deve ter para reduzir riscos e estar alinhado com a LGPD e as orientações da ANPD.
Sumário
Checklist prático (aplicável a sites / CMS / landing pages)
1) Mapeie onde seus dados aparecem no site
Liste todos os pontos que coletam ou geram dados: formulários de contato, newsletter, checkout, comentários, upload de arquivos, widgets de chat, logs do servidor, plugins, pixels e bancos de dados. Para cada ponto, indique que dados são coletados, finalidade e retenção. (Use o modelo de registro/ROPA da ANPD para isso).
2) Cookies & consentimento granular (banner)
Implemente um banner que permita aceitação granular (essenciais / performance / marketing / terceiros). Informe claramente finalidades e como revogar. A ANPD publicou guia orientativo com boas práticas para cookies — siga as recomendações de granularidade e transparência.
3) Scripts de terceiros: inventário e justificativa
Fontes comuns: Google Analytics, pixel do Facebook, map/embed do Google Maps, fontes externas, chatbots, widgets de vídeo. Para cada um: (a) por que precisa; (b) qual base legal (consentimento ou legítimo interesse, com teste de balanceamento); (c) se houver transferência internacional, documente-a. Bloqueie carregamento de scripts não essenciais até o consentimento.
4) Formulários e campos ocultos
Revise forms: não peça dados desnecessários; marque campos obrigatórios; não use campos escondidos que gravem dados sem aviso. Garanta double opt-in para newsletters quando possível; registre timestamp e IP do consentimento.
5) Política de Privacidade, Política de Cookies e FAQ
Crie páginas claras: (i) política de privacidade com finalidades e bases legais; (ii) política de cookies detalhada; (iii) FAQ para titulares (como solicitar acesso/exclusão). Use marcação estruturada (FAQPage, PrivacyPolicy schema) para SEO/AEO/SGE e para SGE interpretar sua página como fonte confiável.
6) Registro das operações (ROPA) adaptado ao site
Mantenha um ROPA/registro simplificado para agências/PMEs com as operações do site: coleta de leads, autenticação, pagamento, backups, logs. A ANPD publicou modelos simplificados para agentes de pequeno porte — use-os como baseline.
7) Contratos com provedores (DPA)
Exija Acordo de Processamento de Dados (Data Processing Agreement) de provedores: hosting, CDN, gateway de pagamento, provedores de e-mail, ferramentas de CRM e automação. Documente responsabilidades e controles de segurança.
8) Segurança técnica no stack web
Checklist rápido: HTTPS obrigatório (TLS atualizado), HSTS, CSP (Content Security Policy), WAF/CDN, autenticação forte no painel (MFA), atualizações do CMS/plugins, privilégios mínimos de banco de dados, backups criptografados e testes de restauração.
9) Logs, retenção e anonimização
Defina política de logs (acesso, erros, atividade de admins). Remova/anonimize dados pessoais em logs quando possível e defina prazos de retenção compatíveis com finalidades.
10) Backups e exportação
Backups devem ter criptografia, controle de acesso e política de retenção alinhada ao ROPA. Tenha um procedimento documentado para exportação/eliminação de dados a pedido do titular.
1) Atendimento a titulares (UX + SLA)
No site, ofereça: formulário específico para pedidos de dados, e-mail do encarregado, e um endpoint/FAQ com prazos (ex.: resposta inicial em 15 dias). Automatize receipts para rastrear pedidos.
12) Avaliação de alto risco (profiling/remarketing)
Se usar perfilação (lookalike audiences, scoring, decisões automatizadas), faça Avaliação de Impacto (DPIA/AVPR) e documente medidas mitigadoras. Coloque avisos claros ao titular sobre o uso de decisões automatizadas.
13) Transferências internacionais e servidores
Se seus provedores processam dados fora do Brasil, documente a transferência e a base legal/garantias (cláusulas contratuais, certificações do provedor). Veja orientações específicas dependendo do provedor.
4) Testes e manutenção contínua
Implemente checklist de deploy que inclua checagem de privacidade: consentimento bloqueando scripts, política de cookies atualizada, tags do analytics verificadas, e backups ok.
15) Evidências e auditoria
Guarde evidências: screenshots do banner, logs de consentimento, DPAs assinados, cópias das políticas com data, resultados de pentests e relatórios de restauração de backup.
FAQ LGPD para SITES
Preciso do banner de cookies mesmo que só use Google Analytics?
Sim — cookies que permitam identificação indireta (client id, user id) são considerados dados pessoais para fins de LGPD. Ofereça opção granular e bloqueie scripts até o consentimento.
Posso usar “interesse legítimo” para remarketing?
É possível, mas exige teste de balanceamento e documentação. Para práticas de tracking/remarketing, o caminho mais seguro costuma ser o consentimento explícito.
Como provar que um lead consente?
egistre: e-mail, timestamp, IP (se justificável), página de origem e versão da política de privacidade. Mantenha esses registros por tempo compatível com contestação ou auditoria.
Meu plugin de WordPress guarda dados extras — e agora?
Revise: (a) quais dados o plugin guarda; (b) se é processador ou subprocessador; (c) se há opção de desativar coleta. Substitua por alternativa que cumpre as exigências ou documente mitigação.
Tenho que armazenar logs de acesso?
Sim, para segurança e investigação, mas anonimize quando possível e limite o tempo de retenção conforme finalidade.
E-commerce: posso armazenar cartão de crédito?
Nunca armazene o número completo do cartão se não for PCI-DSS e necessário. Use provedores de pagamento (tokenização) e documente a DPA com o gateway.
A conformidade com a LGPD para sites é um processo prático e contínuo, não um evento único. Comece pelo mapeamento de todos os pontos que coletam dados no seu site, implemente um banner de cookies com consentimento granular e formalize acordos com provedores essenciais como hosting, CDN e gateways de pagamento.
Registre todas as operações, mantenha evidências e automatize canais para atender solicitações dos titulares com prazos definidos. Garanta controles técnicos básicos, como HTTPS, atualizações regulares do CMS e backups criptografados, e realize avaliações de risco sempre que houver perfilação ou decisões automatizadas. Trate a privacidade como parte da experiência do usuário: uma implementação bem feita aumenta a confiança, melhora a reputação da marca e reduz riscos legais e operacionais.
No ByteC Studio, acreditamos que sua energia deve estar no seu cliente, não no seu site. Descubra como nossa plataforma WaaS gerenciada pode profissionalizar sua imagem e devolver seu foco. Fale com um especialista.
Acompanhe conteúdos sobre SEO, desenvolvimento web e Website as a Service no LinkedIn da ByteC Studio.
Seguir no LinkedIn
