Desde 2021, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) é plenamente aplicável no Brasil. Isso significa que qualquer site ou loja virtual que colete, armazene ou trate dados pessoais de pessoas localizadas no país — mesmo que hospedado no exterior — está sujeito às exigências da lei (art. 3º).
Empresas de todos os portes precisam entender que não se trata apenas de adequação jurídica, mas de credibilidade, segurança e confiança.
A seguir, um guia prático sobre os principais pontos que toda empresa deve observar ao desenvolver seu site, blog, plataforma ou e-commerce.
1. Controlador e Operador: quem responde pelos dados
O controlador é quem define como e por que os dados serão tratados — na maioria dos casos, o próprio dono do site ou loja virtual (art. 5º, VI).
Os operadores são os prestadores de serviço que processam dados conforme instruções do controlador — desenvolvedores, plataformas de e-commerce, gateways de pagamento, ou ferramentas de marketing.
O controlador deve formalizar a relação com cada operador por meio de contrato ou DPA (Data Processing Agreement), deixando claras as responsabilidades e o dever de confidencialidade (art. 39).
2. Coleta de dados: apenas o essencial
A LGPD segue o Princípio da Necessidade (art. 6º, III) — ou seja, é proibido coletar dados “por via das dúvidas”.
Todo campo em um formulário deve ter um motivo legítimo para existir.
| Dado Coletado | Base Legal Comum | Cuidados Obrigatórios |
|---|---|---|
| Nome, e-mail, CPF, telefone | Execução de contrato (art. 7º, V) | Pode ser coletado sem consentimento, se necessário para fechar a compra |
| Endereço de entrega | Execução de contrato | Necessário apenas para logística e emissão de nota fiscal |
| Dados de cartão de crédito | Execução de contrato + PCI-DSS | Jamais armazenar CVV ou número completo do cartão |
| Cookies de marketing | Consentimento (art. 7º, I) | Exigir banner de cookies e opção de rejeitar |
| Data de nascimento | Consentimento ou legítimo interesse | Apenas se estritamente necessário (ex.: restrição de idade) |
3. A Select e a conformidade com a LGPD
Na Select, a privacidade e a segurança de dados são tratadas como prioridade estratégica.
Todos os sites e lojas virtuais que desenvolvemos são criados em conformidade total com a LGPD e projetados para oferecer segurança, transparência e tranquilidade tanto para as empresas quanto para seus clientes.
-
Nossos projetos são seguros e criptografados de ponta a ponta (SSL).
-
Cada cliente recebe uma Política de Privacidade personalizada, alinhada à forma como seu negócio coleta e trata dados.
-
Atuamos com CRM e automação de marketing compatíveis com a LGPD, garantindo que sua empresa tenha sob controle o seu maior ativo: a base de dados de clientes.
-
Oferecemos suporte especializado para empresas que precisam se adequar à LGPD, desde a coleta até a gestão dos dados de usuários.
Na prática, isso significa que além de performance e design, nossos sites e e-commerces já nascem seguros, adequados e juridicamente corretos, prontos para crescer de forma sustentável.
4. Políticas de Privacidade e Transparência
A Política de Privacidade é obrigatória e deve estar visível no site, geralmente no rodapé.
Deve conter:
-
Identificação completa do controlador (CNPJ, razão social, contato)
-
Quais dados são coletados e para que finalidade
-
Com quem são compartilhados (transportadoras, gateways, marketing, etc.)
-
Base legal de cada tratamento
-
Prazo de retenção
-
Direitos do titular e canal de contato
-
Nome e contato do encarregado (DPO)
5. Consentimento e revogação
O consentimento deve ser livre, informado, inequívoco e granular (art. 8º).
Nada de checkboxes pré-marcados.
O usuário precisa poder aceitar ou recusar livremente, e revogar o consentimento com a mesma facilidade, por exemplo, por meio de link “Cancelar inscrição” nos e-mails.
6. Cookies e tecnologias de rastreamento
-
Cookies essenciais (login, carrinho) não precisam de consentimento.
-
Cookies de marketing e analytics exigem consentimento prévio e explícito.
-
O banner de cookies deve permitir granularidade — o usuário escolhe o que aceita.
Ferramentas como Cookiebot, OneTrust ou soluções nacionais (CookieYes, SecCookie) ajudam a manter conformidade e bloquear cookies não essenciais até a aceitação.
7. Direitos dos titulares
A empresa deve disponibilizar um canal gratuito e acessível para que qualquer pessoa possa exercer seus direitos previstos no art. 18 da LGPD:
-
Confirmar se há tratamento de seus dados
-
Solicitar acesso, correção, exclusão ou anonimização
-
Pedir portabilidade
-
Revogar consentimento
O prazo para resposta é de 15 dias (art. 19).
Recomenda-se criar um e-mail exclusivo ou um formulário dedicado.
8. Encarregado de Proteção de Dados (DPO)
Toda empresa deve nomear um encarregado e divulgar seu contato no site (art. 41).
Micro e pequenas empresas têm certa flexibilização pela Resolução CD/ANPD nº 2/2022, mas é altamente recomendável manter um ponto de contato público para transparência e prevenção de riscos.
9. Segurança da informação
Segurança é pilar central da LGPD (art. 46 e 49).
Seu site precisa seguir boas práticas como:
-
Conexão HTTPS obrigatória
-
Criptografia de dados sensíveis
-
Controle de acesso com autenticação forte
-
Backups e registros de logs
-
Testes de vulnerabilidade regulares
-
Tokenização de pagamentos (não armazenar dados de cartão)
10. Relatório de Impacto e Incidentes de Segurança
Em caso de incidente ou vazamento, é necessário notificar a ANPD e os titulares afetados.
Empresas que tratam grande volume de dados ou dados sensíveis podem ser obrigadas a elaborar um Relatório de Impacto à Proteção de Dados (RIPD).
Mesmo que sua empresa seja de pequeno porte, ter um mapeamento interno de riscos é uma prática recomendada — reduz penalidades e demonstra boa-fé em caso de auditoria.
11. Transferência internacional de dados
Serviços hospedados fora do Brasil (como AWS, Google Cloud, Meta, Mailchimp) exigem atenção:
-
Verifique se o país tem decisão de adequação reconhecida pela ANPD.
-
Caso contrário, exija cláusulas contratuais padrão (SCCs) ou Binding Corporate Rules (BCRs) dos fornecedores.
Checklist final para o desenvolvedor e gestor
-
Política de Privacidade clara e acessível
-
Banner de cookies funcional e granular
-
Canal de atendimento aos titulares
-
Contato do DPO publicado
-
Consentimento separado para marketing
-
HTTPS ativo e forçado
-
Não armazenar dados de cartão
-
Registro de consentimentos (data, hora, IP, versão da política)
-
Opção real de exclusão de conta
Conclusão
A LGPD não é apenas uma obrigação legal — é um sinal de maturidade empresarial e respeito ao consumidor.
Negócios que tratam dados com segurança constroem confiança, aumentam taxa de conversão e fortalecem sua marca no digital.
Na Select, acreditamos que crescimento e conformidade caminham juntos.
Por isso, nossos projetos unem estratégia, performance e segurança, garantindo que sua empresa cresça de forma sólida, dentro da lei e com base naquilo que mais importa: a confiança do cliente.
