Checklist prático para conformidade com LGPD e GDPR em 2025. Verifique se seu site tem tudo que é exigido — do banner de cookies à política de privacidade e direitos dos usuários.
O GDPR (Regulamento Geral de Proteção de Dados da UE) e a LGPD (Lei Geral de Proteção de Dados do Brasil) são as principais leis de proteção de dados que afetam sites brasileiros em 2025. O cumprimento nunca foi tão fiscalizado: a ANPD e autoridades europeias aplicaram bilhões em multas no ano passado. Aqui está um checklist prático para verificar a conformidade do seu site.
Seu banner de cookies precisa solicitar consentimento explícito, informado e granular. Um botão 'Aceitar tudo' pré-marcado não é válido. Os usuários devem poder aceitar ou rejeitar cada categoria de cookies (analítica, marketing, preferências) separadamente, e deve ser tão fácil retirar o consentimento quanto dá-lo.
Você deve ter uma política de privacidade clara e acessível que explique: quais dados coleta, por que os coleta (base legal), por quanto tempo os retém, com quem os compartilha e como os usuários podem exercer seus direitos. Deve estar redigida em linguagem simples — não em jargão jurídico.
Para cada tipo de dado que você processa, precisa ter uma base legal válida: consentimento, execução de contrato, obrigação legal, interesses legítimos, etc. Sob a LGPD, há 10 hipóteses de tratamento. Documente tudo no seu Registro de Atividades de Tratamento.
Você deve dar aos usuários uma forma de exercer seus direitos: acessar seus dados, corrigi-los, excluí-los (direito ao esquecimento), portá-los e se opor ao tratamento. Sob a LGPD, você deve responder dentro de 15 dias. Disponibilize um formulário ou e-mail dedicado.
Todos os dados transmitidos entre os usuários e seu site devem ser criptografados via HTTPS. Conteúdo misto (recursos HTTP em páginas HTTPS) também é um problema. Isso é tanto um requisito de segurança da LGPD/GDPR quanto um padrão básico da web.
Caixas de seleção pré-marcadas para e-mails de marketing ou cookies não essenciais são expressamente proibidas. O consentimento deve ser uma ação afirmativa — o usuário precisa optar ativamente.
Se sofrer uma violação de dados, deve notificar a ANPD em prazo razoável e informar os titulares afetados sem demora. Sob o GDPR, o prazo é de 72 horas. Documente o procedimento antes que ocorra um incidente.
Muitos sites instalam cookies dos quais não estão cientes — de fontes externas, scripts de análise, widgets de suporte e botões de redes sociais. Realize uma varredura de cookies para descobrir todos que seu site instala e classificá-los corretamente no banner de consentimento.
Scanlei escaneia seu site em busca de cookies, rastreadores, política de privacidade, HTTPS e muito mais. Obtenha um relatório gratuito de conformidade com LGPD/GDPR em 60 segundos.
Escaneie seu site grátisMeta Pixel, Google Analytics, LinkedIn Insight Tag e rastreadores similares coletam dados pessoais. Sob a LGPD/GDPR, carregá-los antes de obter consentimento é uma violação. Certifique-se de que seu gerenciador de tags respeita as categorias de consentimento.
Se você usa serviços de terceiros que tratam dados pessoais em seu nome (e-mail, análise, hospedagem, CRM), precisa ter um Contrato de Tratamento de Dados (DPA) com cada um. A maioria dos grandes provedores oferece DPAs padrão mediante solicitação.
Transferir dados pessoais para fora do Brasil exige mecanismos de proteção adequados conforme a LGPD. Para transferências para fora da UE, o GDPR exige Cláusulas Contratuais Padrão ou decisões de adequação. Usar serviços norte-americanos sem as salvaguardas adequadas é uma violação comum.
Formulários devem solicitar apenas os dados estritamente necessários. Se você coleta e-mail para um boletim, não exija também o telefone. Cada campo deve ter uma finalidade justificada — princípio da necessidade da LGPD.
Se está começando do zero, priorize: banner de consentimento de cookies, HTTPS em todo o site e política de privacidade completa. São as violações mais frequentes nos autos de infração e as mais rápidas de corrigir.