A Política de Privacidade LGPD é obrigatória para todos os tipos de empresa no Brasil?

A Política de Privacidade é obrigatória para todo controlador que realize tratamento de dados pessoais de titulares localizados no Brasil, independentemente do porte — desde microempreendedores individuais (MEI) que coletam dados de clientes até grandes conglomerados financeiros. O Art. 3° da LGPD adota critério de territorialidade amplo, aplicando-se mesmo a empresas estrangeiras sem estabelecimento físico no Brasil desde que ofereçam produtos ou serviços ao mercado brasileiro. A Resolução ANPD n° 2/2022 prevê tratamento diferenciado para agentes de pequeno porte (faturamento até R$ 4,8 milhões ou até 50 empregados), com flexibilização de algumas obrigações, mas não afasta a necessidade de informar os titulares sobre o tratamento de seus dados conforme o Art. 9° da LGPD. A ANPD tem competência para fiscalizar e autuar qualquer controlador em descumprimento — incluindo MEIs e profissionais liberais — com sanções que vão de advertência à multa de até 2% do faturamento anual, limitada a R$ 50 milhões por infração (Art. 52 LGPD).

Qual é a diferença entre controlador e operador na LGPD e como isso afeta a Política de Privacidade?

O controlador (Art. 5°, VI LGPD) é a pessoa natural ou jurídica que toma as decisões referentes ao tratamento de dados pessoais — determina a finalidade, a base legal, os dados coletados e os terceiros com quem serão compartilhados. O operador (Art. 5°, VII) é quem realiza o tratamento em nome do controlador, seguindo suas instruções — como uma empresa de processamento de pagamentos, um provedor de CRM ou uma plataforma de e-mail marketing. A Política de Privacidade é obrigação do controlador (Art. 9° LGPD) — o operador não precisa publicar política própria sobre os dados que processa em nome de terceiros, mas deve celebrar contrato de processamento de dados (DPA) com o controlador, formalizando as obrigações do Art. 39 da LGPD. Quando uma empresa atua simultaneamente como controladora de seus próprios dados e como operadora de dados de seus clientes-controladores — caso frequente em empresas de SaaS (Software as a Service) e consultorias de TI — a política deve distinguir claramente essas duas capacidades, pois as obrigações e responsabilidades diferem significativamente. A responsabilidade civil pelos danos causados ao titular é solidária entre controlador e operador quando o operador descumpre as obrigações da LGPD ou as instruções do controlador (Art. 42, §1°).

Como obter consentimento válido para o tratamento de dados pessoais conforme a LGPD?

O consentimento válido sob a LGPD (Art. 7°, I e Art. 8°) deve ser livre (não condicionado ao fornecimento de produto ou serviço, salvo quando imprescindível), informado (o titular deve saber exatamente para quais finalidades está consentindo), inequívoco (não admite formas tácitas ou implícitas — caixas pré-marcadas, consentimento por inércia ou termos em 'aceito os termos e condições' genéricos não são válidos) e granular (o consentimento para finalidades distintas deve ser obtido separadamente — o titular deve poder aceitar marketing direto sem aceitar compartilhamento com terceiros). O ônus da prova do consentimento válido cabe ao controlador (Art. 8°, §2°). O titular pode revogar o consentimento a qualquer momento, de forma gratuita e facilitada (Art. 8°, §5°), e o controlador deve realizar o tratamento durante o período de processamento da revogação — exceto quando o tratamento puder ser continuado com fundamento em outra base legal (como execução de contrato já celebrado). O consentimento de crianças e adolescentes menores de 13 anos requer consentimento específico dos pais ou responsáveis legais (Art. 14, §1° LGPD), com verificação razoável da identidade do responsável.

O que deve constar na seção sobre transferência internacional de dados na Política de Privacidade?

A seção de transferência internacional de dados da Política de Privacidade deve informar: os países de destino dos dados (ou, quando isso não for possível, as regiões ou categorias de destinatários); a finalidade de cada transferência; e o mecanismo legal utilizado para garantir proteção adequada conforme o Art. 33 da LGPD. Os mecanismos atualmente aplicáveis incluem: cláusulas contratuais padrão (SCCs) aprovadas ou reconhecidas pela ANPD — ainda pendentes de publicação pela ANPD, que anunciou sua elaboração; normas corporativas globais (Binding Corporate Rules — BCRs) aprovadas pela ANPD; consentimento específico do titular para a transferência; quando necessário para execução de contrato internacional; e proteção adequada do país destino reconhecida pela ANPD (nenhum país foi reconhecido ainda). Na prática, a maioria das empresas brasileiras que utilizam provedores globais como AWS, Google, Microsoft ou Salesforce realiza transferência internacional de dados — a ANPD tem tolerado esse cenário enquanto avança na regulamentação, mas espera-se que requisitos mais rígidos sejam impostos após a publicação das SCCs brasileiras. A política deve mencionar explicitamente essa situação e o mecanismo de proteção adotado.

Quais são as penalidades por descumprimento da LGPD no Brasil?

O Art. 52 da LGPD estabelece as seguintes sanções administrativas que a ANPD pode aplicar após procedimento administrativo sancionador com garantia de contraditório e ampla defesa: advertência com indicação de prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração — a ANPD publicou a Resolução CD/ANPD n° 4/2023 com critérios de dosimetria; multa diária para infrações continuadas; publicização da infração após sua apuração, caso não haja recurso ou este seja improvido; bloqueio dos dados pessoais relacionados à infração até sua regularização; eliminação dos dados pessoais relacionados à infração; suspensão parcial do funcionamento do banco de dados por no máximo 6 meses, prorrogável por mais 6 meses; e suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo 6 meses, prorrogável. Além das sanções administrativas da ANPD, o controlador pode ser responsabilizado civilmente por danos causados aos titulares (Art. 42 LGPD), pelo Ministério Público (ação civil pública), pelos Procons estaduais (infração ao CDC) e por decisões do Sistema Brasileiro de Defesa da Concorrência (CADE) quando o tratamento ilegal afete a concorrência.

Com qual frequência a Política de Privacidade deve ser atualizada?

A Política de Privacidade LGPD deve ser revisada e, se necessário, atualizada sempre que houver: mudanças relevantes nas operações de tratamento de dados — novos produtos, serviços ou funcionalidades que envolvam coleta ou uso de novos dados; alterações nas finalidades do tratamento ou nas bases legais utilizadas; novos compartilhamentos de dados com terceiros; implementação de transferências internacionais de dados; alterações na legislação aplicável ou na regulamentação da ANPD — a ANPD tem publicado resoluções e notas de orientação com frequência desde 2020; decisões relevantes em processos administrativos ou judiciais que alterem a interpretação das obrigações legais; e mudanças no encarregado de proteção de dados ou nos canais de contato. Como boa prática de governança, a política deve ser revisada formalmente pelo menos uma vez por ano, com documentação do processo de revisão (data, responsável, alterações realizadas e justificativa). Quando forem realizadas alterações relevantes, os titulares devem ser notificados por e-mail, banner no site ou outro meio adequado — a ANPD orientou que alterações substanciais que impliquem novo tratamento de dados ou revogação de direitos requerem nova coleta de consentimento quando esta é a base legal aplicável.

Quem deve ser o encarregado de proteção de dados (DPO) e quais são suas atribuições?

O encarregado de proteção de dados (DPO — Data Protection Officer), previsto no Art. 41 da LGPD, é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. O Art. 41, §2° estabelece as atividades do encarregado: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados do controlador sobre as práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. A LGPD não exige formação jurídica específica para o encarregado — pode ser um advogado, um especialista em privacidade certificado (CIPP/BR, CIPM), um profissional de TI com formação em segurança da informação ou qualquer pessoa com competência técnica em proteção de dados. O encarregado pode ser um funcionário do controlador (interno) ou um terceiro contratado (DPO as a service) — ambas as formas são aceitas pela ANPD. A Resolução ANPD n° 2/2022 dispensou agentes de tratamento de pequeno porte da obrigação de indicar encarregado, embora a indicação voluntária seja recomendada para demonstrar comprometimento com a proteção de dados.

Política de Privacidade (LGPD)

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Conforme a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) e o Marco Civil da Internet (Lei 12.965/2014)

1. IDENTIFICAÇÃO DO CONTROLADOR

Controlador dos dados pessoais: [Nome do Controlador], inscrito(a) no CNPJ/CPF sob o n° [CNPJ/CPF do Controlador], com sede em [Endereço do Controlador], operando o site/plataforma [Site do Controlador] (doravante "Controlador").

O Encarregado de Proteção de Dados (DPO), indicado nos termos do Art. 41 da LGPD, é [Nome do DPO], com contato pelo endereço de e-mail [E-mail do DPO]. O DPO é o canal oficial de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

2. DADOS PESSOAIS TRATADOS

O Controlador trata as seguintes categorias de dados pessoais: [Categorias de Dados Coletados].

Tratamento de dados pessoais sensíveis (Art. 5°, II LGPD): [Trata Dados Sensíveis]. Na hipótese de tratamento de dados sensíveis, o Controlador adotará as salvaguardas previstas pelo Art. 11 da LGPD, incluindo consentimento específico e destacado ou outra hipótese legal aplicável.

3. FINALIDADES DO TRATAMENTO E BASES LEGAIS

Os dados pessoais são tratados para as seguintes finalidades, com fundamento nas bases legais correspondentes do Art. 7° da LGPD:

Finalidades: [Finalidades do Tratamento].

Bases legais aplicadas: [Bases Legais].

O tratamento de dados é realizado de acordo com os princípios da finalidade (Art. 6°, I), adequação (Art. 6°, II), necessidade (Art. 6°, III) e transparência (Art. 6°, VI) da LGPD.

4. RETENÇÃO E ELIMINAÇÃO DE DADOS

Os dados pessoais são conservados pelo seguinte prazo: [Prazo de Retenção]. Findo o prazo, os dados serão eliminados ou anonimizados, salvo obrigação legal de conservação (Art. 16 LGPD).

5. COMPARTILHAMENTO E TRANSFERÊNCIA DE DADOS

Os dados pessoais poderão ser compartilhados com: [Terceiros para Compartilhamento]. O compartilhamento com operadores é formalizado por contrato de processamento de dados (DPA) nos termos do Art. 39 da LGPD.

Transferência internacional de dados: [Transferência Internacional]. Quando houver transferência a países estrangeiros, o Controlador adota os mecanismos previstos no Art. 33 da LGPD para garantir proteção adequada aos dados pessoais transferidos.

6. DIREITOS DOS TITULARES

Nos termos do Art. 18 da LGPD, o titular de dados pessoais tem direito a: (I) confirmação da existência de tratamento; (II) acesso aos dados; (III) correção de dados incompletos, inexatos ou desatualizados; (IV) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; (V) portabilidade dos dados; (VI) eliminação dos dados tratados com consentimento; (VII) informação sobre compartilhamento; (VIII) informação sobre a possibilidade de não fornecer consentimento e as consequências; (IX) revogação do consentimento a qualquer tempo, de forma gratuita e facilitada (Art. 8°, §5° LGPD).

Canal para exercício de direitos: [Canal para Direitos dos Titulares]. O Controlador responderá às solicitações em [Prazo de Resposta], conforme orientação da ANPD.

7. SEGURANÇA DA INFORMAÇÃO E INCIDENTES

O Controlador adota medidas técnicas e administrativas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, conforme o Art. 46 da LGPD.

Em caso de incidente de segurança com risco ou dano relevante aos titulares, o Controlador comunicará o fato à ANPD e aos titulares afetados no prazo de 2 dias úteis após a ciência do incidente, com relatório complementar em até 30 dias, conforme a Resolução CD/ANPD n° 2/2022.

8. COOKIES E TECNOLOGIAS DE RASTREAMENTO

O site/plataforma [Site do Controlador] pode utilizar cookies, pixels e outras tecnologias de rastreamento para fins de funcionamento essencial, análise de uso e, quando houver consentimento, fins publicitários. O usuário pode gerenciar as preferências de cookies pelas configurações do navegador ou pelo painel de preferências disponibilizado na plataforma, em conformidade com o Art. 7°, VII do Marco Civil da Internet (Lei 12.965/2014).

9. VIGÊNCIA E ALTERAÇÕES

Esta Política de Privacidade entra em vigor em [Data de Vigência] e será revisada periodicamente. Alterações substanciais serão comunicadas aos titulares por e-mail, banner ou outro meio adequado, com prazo mínimo de 30 dias de antecedência. A versão atualizada será publicada em [Site do Controlador].

[Cidade de Assinatura], [Data de Vigência].

[Nome do Controlador]

CNPJ/CPF: [CNPJ/CPF do Controlador]

Encarregado de Proteção de Dados: [Nome do DPO] — [E-mail do DPO]

Assinatura: _________________________

Controlador dos Dados

________________

Signature

Mantido por Vladislav Sergienko, Fundador·Modelo modificado pela última vez: 2026-06-23·Relatar um erro

O que é Política de Privacidade (LGPD)

A Política de Privacidade (LGPD) é o documento empresarial firmado no Brasil com base na Lei 13.709/2018 (LGPD).

A LGPD define dados pessoais no Art. 5°, I como "informação relacionada a pessoa natural identificada ou identificável", abrangendo nome, CPF, endereço, e-mail, telefone, dados de localização, identificadores online (cookies, endereço IP), dados biométricos e de saúde. Dados pessoais sensíveis, tratados com proteção reforçada pelo Art. 5°, II, incluem origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico — cujo tratamento requer consentimento específico e destacado ou uma das hipóteses taxativas do Art. 11.

O tratamento de dados pessoais compreende toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão e extração (LGPD Art. 5°, X). Qualquer operação que envolva dado pessoal de titular localizado no Brasil — independentemente da sede do controlador — sujeita-se à LGPD conforme o Art. 3°, que adota o critério da territorialidade ampla.

A Autoridade Nacional de Proteção de Dados (ANPD), criada pelo Art. 55-A da LGPD (incluído pela Lei 13.853/2019) e regulamentada pelo Decreto 10.474/2020, é o órgão federal responsável por zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções em caso de descumprimento e promover o conhecimento das normas de proteção de dados. A ANPD publicou a Resolução CD/ANPD n° 2/2022 (regulamento de fiscalização) e a Resolução CD/ANPD n° 4/2023 (norma de simplificação para agentes de pequeno porte). O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), previsto pelo Art. 58-A da LGPD, atua como órgão consultivo.

A Política de Privacidade é exigida expressamente pelo Art. 9° da LGPD, que impõe ao controlador o dever de assegurar ao titular acesso facilitado às informações sobre o tratamento de seus dados, de forma clara, adequada e ostensiva. O Marco Civil da Internet (Lei 12.965/2014), especialmente nos Arts. 7° e 8°, também exige política de privacidade explícita para serviços de internet, complementando a LGPD no ambiente digital. O Código de Defesa do Consumidor (CDC — Lei 8.078/1990) reforça a proteção no contexto de relações de consumo, vedando práticas abusivas no tratamento de dados de consumidores (Art. 39 e Art. 43).

Quando você precisa de Política de Privacidade (LGPD)

A Política de Privacidade LGPD Brasil é necessária para toda empresa, startup, profissional liberal, associação ou entidade que realize qualquer operação de tratamento de dados pessoais de titulares localizados no Brasil — independentemente do porte ou setor de atuação. O Art. 3° da LGPD adota critério extraterritorial: basta que o tratamento ocorra no Brasil, que os dados coletados sejam de pessoas localizadas no território nacional, ou que a atividade econômica tenha como objetivo a oferta de produtos ou serviços ao mercado brasileiro para que a lei se aplique.

A política é obrigatória para sites e aplicativos que coletam cookies, endereços IP, dados cadastrais ou informações de navegação de usuários brasileiros — a Resolução ANPD sobre cookies ainda está em elaboração, mas a ANPD já orientou que a coleta de cookies identificadores constitui tratamento de dados pessoais sujeito às bases legais da LGPD. Empresas de e-commerce precisam de política detalhando o tratamento de dados de cadastro, pagamento (em conformidade com a Lei 12.865/2013 e normas do Banco Central para meios de pagamento), histórico de compras e preferências de consumo.

A Política de Privacidade é indispensável quando a empresa utiliza dados pessoais para fins de marketing direto, criação de perfis (profiling), análise de comportamento do consumidor ou segmentação de públicos — práticas que a ANPD monitora com especial atenção à base legal aplicável e à obrigação de respeitar o direito de oposição do titular (LGPD Art. 18, II). Empresas que tratam dados de crianças e adolescentes (menores de 18 anos) precisam de seção específica na política, pois o Art. 14 da LGPD exige consentimento dos pais ou responsáveis para o tratamento de dados de menores de 13 anos.

Organizações de saúde — hospitais, clínicas, laboratórios, operadoras de planos de saúde reguladas pela ANS (Agência Nacional de Saúde Suplementar) — precisam de política robusta para o tratamento de dados de saúde, classificados como sensíveis pelo Art. 5°, II da LGPD e sujeitos à base legal mais restritiva do Art. 11. Entidades financeiras reguladas pelo Banco Central do Brasil (BACEN), CVM (Comissão de Valores Mobiliários) e SUSEP (Superintendência de Seguros Privados) têm obrigações adicionais de privacidade impostas pela Resolução CMN 4.658/2018 e pela Resolução BACEN 85/2021 (política de segurança cibernética).

A política é necessária sempre que houver transferência internacional de dados pessoais, pois o Art. 33 da LGPD exige que as transferências a países estrangeiros ou organismos internacionais somente ocorram quando o país receptor oferecer proteção adequada reconhecida pela ANPD, mediante cláusulas contratuais específicas aprovadas pela ANPD, ou em outras hipóteses autorizadas. A ANPD ainda não concluiu o processo de reconhecimento de adequação de países terceiros, tornando as cláusulas contratuais padrão (standard contractual clauses — SCCs) o mecanismo mais utilizado atualmente.

O que incluir no seu Política de Privacidade (LGPD)

Uma Política de Privacidade LGPD Brasil válida e eficaz deve conter os seguintes elementos essenciais exigidos pelo Art. 9° da LGPD e pelas boas práticas de governança de dados pessoais.

Identificação do Controlador: Nome completo ou razão social, CNPJ, endereço da sede e dados de contato do encarregado de proteção de dados (Data Protection Officer — DPO), cuja indicação é obrigatória para controladores sob o Art. 41 da LGPD. O encarregado é o canal de comunicação entre o controlador, os titulares de dados e a ANPD. A identidade e os dados de contato do encarregado devem ser divulgados publicamente, preferencialmente no próprio site do controlador.

Tipos de Dados Coletados: Descrição clara das categorias de dados pessoais tratados, distinguindo entre dados pessoais comuns (identificadores, dados de contato, dados de navegação, dados transacionais) e dados pessoais sensíveis (Art. 5°, II LGPD), que exigem consentimento específico e destacado ou outra hipótese do Art. 11. Para cada categoria, a política deve indicar a forma de coleta — direta (fornecida pelo próprio titular), indireta (obtida de terceiros, fontes públicas ou gerada automaticamente) — e o período de retenção conforme o princípio da necessidade (Art. 6°, III).

Finalidades do Tratamento: As finalidades específicas, legítimas e explícitas para as quais cada categoria de dados é tratada, conforme o princípio da finalidade (Art. 6°, I). A LGPD proíbe o tratamento para finalidades não informadas ao titular no momento da coleta (desvio de finalidade), salvo nas exceções legais. As finalidades devem ser redigidas em linguagem clara e não em termos genéricos como "melhorar a experiência do usuário" sem maior detalhamento.

Bases Legais do Tratamento: Para cada finalidade, a política deve indicar expressamente a base legal aplicável dentre as hipóteses do Art. 7° (para dados comuns) ou do Art. 11 (para dados sensíveis). As dez bases legais do Art. 7° incluem: consentimento do titular (I); cumprimento de obrigação legal ou regulatória pelo controlador (II); execução de políticas públicas (III); realização de estudos por órgão de pesquisa (IV); execução de contrato ou procedimentos preliminares (V); exercício regular de direitos (VI); proteção da vida ou incolumidade física (VII); tutela da saúde (VIII); legítimo interesse do controlador ou de terceiro (IX); e proteção do crédito (X). O consentimento deve ser fornecido de forma livre, informada e inequívoca, podendo ser revogado a qualquer tempo pelo titular (Art. 8°, §5°).

Direitos dos Titulares: Descrição completa dos direitos garantidos pelo Art. 18 da LGPD: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; portabilidade dos dados a outro fornecedor (quando regulamentada pela ANPD); eliminação dos dados tratados com consentimento; informação sobre compartilhamento; informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa; e revogação do consentimento. A política deve informar os canais e prazos para exercício desses direitos — a ANPD recomenda o prazo de 15 dias para resposta às solicitações dos titulares.

Compartilhamento de Dados: Identificação das categorias de terceiros com os quais os dados são compartilhados — operadores contratados (Art. 39 LGPD), parceiros comerciais, autoridades regulatórias, provedores de serviços de nuvem — e a finalidade de cada compartilhamento. Quando dados são compartilhados com operadores, o controlador deve celebrar contrato de processamento de dados (DPA — Data Processing Agreement) que imponha ao operador obrigações equivalentes às previstas na LGPD (Art. 39). A política deve mencionar qualquer transferência internacional de dados e os mecanismos utilizados para garantir proteção adequada (Art. 33 LGPD).

Segurança e Incidentes: Descrição das medidas técnicas e administrativas adotadas para proteger os dados pessoais contra acessos não autorizados, situações acidentais ou ilícitas, destruição, perda, alteração, comunicação ou difusão (Art. 46 LGPD). A política deve informar o procedimento para comunicação de incidentes de segurança — o controlador deve comunicar à ANPD e aos titulares afetados a ocorrência de incidente que possa acarretar risco ou dano relevante, no prazo definido pela Resolução ANPD n° 2/2022 (2 dias úteis após a ciência, podendo ser complementado em até 30 dias).

Cookies e Tecnologias de Rastreamento: Política específica sobre o uso de cookies, web beacons, pixels e outras tecnologias de rastreamento, informando as categorias (essenciais, funcionais, analíticos, publicitários), a base legal aplicável a cada categoria e os mecanismos de gestão de preferências disponibilizados ao usuário — em conformidade com o Marco Civil da Internet (Lei 12.965/2014 Art. 7°, VII) e com as orientações da ANPD sobre coleta de dados de navegação.

Forms-legal.com disponibiliza este modelo de Política de Privacidade LGPD como ponto de partida para adequação à Lei 13.709/2018. Toda política deve ser revisada por advogado especialista em proteção de dados e privacidade, inscrito na OAB, e pelo encarregado de proteção de dados da organização, para garantir aderência ao contexto específico das operações de tratamento realizadas e às regulamentações setoriais aplicáveis. A plataforma forms-legal.com disponibiliza este modelo com campos editáveis para preencher e baixar gratuitamente em formato PDF ou Word.

Como preencher seu Política de Privacidade (LGPD)

Para preencher corretamente a Política de Privacidade LGPD Brasil, siga as etapas abaixo com atenção aos dados da sua organização e às operações de tratamento realizadas.

Identificação: informe a razão social completa, CNPJ e endereço da sede do controlador. Nomeie o encarregado de proteção de dados (DPO) com nome completo e e-mail de contato — se sua empresa for de pequeno porte (nos termos da Resolução ANPD n° 2/2022 — faturamento anual até R$ 4,8 milhões ou até 50 empregados), a indicação do encarregado é facultativa, mas recomendável. Indique o canal oficial para solicitações dos titulares (e-mail, formulário online ou endereço postal).

Mapeamento de dados: antes de preencher as seções sobre tipos de dados e finalidades, realize o mapeamento (data mapping) das operações de tratamento da sua organização — liste cada fluxo de dados, a categoria do dado, a finalidade, a base legal, o prazo de retenção e os terceiros envolvidos. O mapeamento é a base para uma política precisa e completa.

Finalidades e bases legais: para cada finalidade de tratamento, selecione a base legal adequada do Art. 7° da LGPD. Evite a dependência excessiva do consentimento — para tratamentos necessários à execução de contrato, ao cumprimento de obrigação legal ou ao legítimo interesse, use as bases legais correspondentes, reservando o consentimento para finalidades opcionais como marketing direto e uso de cookies não essenciais.

Retenção de dados: defina prazos de retenção específicos para cada categoria de dado — fundamente-os no princípio da necessidade (Art. 6°, III LGPD) e nos prazos legais e regulatórios aplicáveis (ex.: 5 anos para documentos contábeis sob o Código Civil Art. 1.194; 5 anos para registros fiscais conforme o CTN Art. 174; 5 anos para registros de acesso a aplicações de internet sob o Marco Civil Art. 15). Após o término do prazo, os dados devem ser eliminados ou anonimizados.

Data de vigência e revisão: inclua a data de publicação da política e o compromisso de revisão periódica (recomenda-se anualmente ou sempre que houver alterações relevantes nas operações de tratamento). Informe como os titulares serão notificados sobre alterações substanciais na política.

Requisitos legais para Política de Privacidade (LGPD)

A Política de Privacidade LGPD Brasil deve atender às seguintes exigências legais e regulatórias para estar em conformidade com o ordenamento jurídico brasileiro.

LGPD (Lei 13.709/2018): Art. 9° exige transparência sobre o tratamento de dados pessoais; Art. 18 obriga o controlador a facilitar o exercício dos direitos dos titulares; Art. 41 impõe a indicação do encarregado de proteção de dados; Art. 46 determina a adoção de medidas de segurança adequadas; Art. 48 obriga a comunicação de incidentes de segurança à ANPD e aos titulares.

Resolução CD/ANPD n° 2/2022: regulamenta o processo de fiscalização pela ANPD e o procedimento para comunicação de incidentes de segurança — o controlador tem 2 dias úteis após a ciência do incidente para notificação preliminar e até 30 dias para relatório completo. A resolução também estabelece os critérios para dosimetria das sanções administrativas previstas no Art. 52 da LGPD.

Sanções administrativas (LGPD Art. 52): a ANPD pode aplicar advertência, multa simples de até 2% do faturamento no Brasil (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio ou eliminação dos dados pessoais relacionados à infração e suspensão temporária ou proibição parcial ou total das atividades de tratamento.

Marco Civil da Internet (Lei 12.965/2014): Arts. 7° e 8° garantem ao usuário de internet o direito à inviolabilidade e ao sigilo das comunicações privadas, à não fornecimento de dados pessoais a terceiros sem consentimento expresso e à informações claras sobre a política de privacidade — requisitos complementares à LGPD para serviços online.

Código de Defesa do Consumidor (Lei 8.078/1990): Art. 43 regula os bancos de dados de consumidores — informações de consumidores devem ser objetivas, claras, verdadeiras e em linguagem de fácil compreensão, não podendo conter informações negativas por período superior a 5 anos. O Art. 39 veda práticas abusivas no tratamento de dados em relações de consumo.

Resolução BACEN n° 85/2021: exige que instituições financeiras e demais instituições autorizadas pelo Banco Central disponham de política de segurança cibernética que contemple o tratamento de dados pessoais, incluindo procedimentos para resposta a incidentes e comunicação à ANPD — complementar à LGPD para o setor financeiro.

Erros comuns a evitar no seu Política de Privacidade (LGPD)

Os erros mais frequentes na elaboração de Políticas de Privacidade LGPD Brasil que levam a não conformidade e risco de sanções pela ANPD são os seguintes.

Languagem genérica e vaga: políticas que utilizam expressões como "podemos usar seus dados para fins comerciais" ou "compartilhamos com parceiros de confiança" sem especificar as finalidades concretas, as categorias de dados e os terceiros envolvidos violam o princípio da transparência do Art. 6°, VI da LGPD. A ANPD já autuou controladores por falta de clareza nas informações prestadas aos titulares.

Base legal incorreta ou única: usar o consentimento como única base legal para todos os tratamentos é o erro mais comum — o consentimento não é a base legal mais robusta quando existem bases mais adequadas (obrigação legal, execução de contrato, legítimo interesse). Além disso, o consentimento sob o Art. 7°, I da LGPD deve ser específico, informado e inequívoco — caixas pré-marcadas e termos genéricos não configuram consentimento válido.

Ausência de canal para exercício de direitos: não disponibilizar um canal funcional e eficaz para que os titulares exerçam os direitos do Art. 18 é violação direta da LGPD. O canal deve ser acessível, com prazo de resposta definido e processo claro para atendimento das solicitações.

Falta de seção sobre transferência internacional: empresas que utilizam provedores de nuvem estrangeiros (AWS, Google Cloud, Microsoft Azure, com servidores fora do Brasil) ou que compartilham dados com matrizes no exterior realizam transferência internacional de dados e devem informar isso na política e indicar o mecanismo de proteção utilizado (Art. 33 LGPD).

Política desatualizada: política elaborada antes da vigência das sanções da LGPD (agosto de 2021) ou que não reflete as operações de tratamento atuais da organização — por exemplo, não menciona aplicativos móveis lançados após a data de publicação, ou não contempla tratamentos realizados por inteligência artificial — cria exposição regulatória significativa. A política deve ser revisada sempre que houver mudança relevante nas operações de tratamento ou na legislação aplicável.

Citar esta página

Faça referência a este modelo gratuito num artigo, plano de aula ou nota de pesquisa:

APA

Forms Legal. (2026). Política de Privacidade (LGPD) (Brasil) [Legal document template]. Forms Legal. https://forms-legal.com/pt/brasil/business/policies/politica-privacidade-lgpd-brasil

MLA

"Política de Privacidade (LGPD) (Brasil)." Forms Legal, 2026, https://forms-legal.com/pt/brasil/business/policies/politica-privacidade-lgpd-brasil.

BibTeX

@misc{formslegal-politica-privacidade-lgpd-brasil,
  author       = {{Forms Legal}},
  title        = {Política de Privacidade (LGPD) (Brasil)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/pt/brasil/business/policies/politica-privacidade-lgpd-brasil}},
  note         = {Free legal document template}
}

Perguntas Frequentes

Modelo com referências legais — Modelo modificado pela última vez em junho de 2026

Este modelo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico. As leis variam de acordo com a jurisdição e mudam ao longo do tempo. Consulte um advogado qualificado para aconselhamento específico para a sua situação.Aviso legal completo

Encontrou um erro? Avise-nos

Documentos Relacionados

Também pode encontrar estes documentos úteis:

Termo de Consentimento LGPD

Termo de Consentimento para tratamento de dados pessoais conforme LGPD Art. 7°, I e Art. 8°, obtendo manifestação livre, informada e inequívoca do titular para finalidades específicas, com possibilidade de revogação a qualquer momento nos termos da Lei 13.709/2018.

Termos de Uso

Termos de Uso para site ou aplicativo no Brasil, conforme o Marco Civil da Internet (Lei 12.965/2014) e o Código de Defesa do Consumidor (CDC — Lei 8.078/1990), estabelecendo as condições de acesso, responsabilidades, propriedade intelectual, limitação de responsabilidade e foro competente.

Acordo de Confidencialidade Brasil (NDA)

Acordo de Confidencialidade (NDA) para o Brasil — regido pelos Arts. 421–422 do Código Civil (liberdade contratual e boa-fé), Art. 195 da Lei 9.279/1996 (proteção de segredos comerciais) e LGPD Lei 13.709/2018 (dados pessoais), estabelecendo obrigações de sigilo entre partes que compartilham informações empresariais proprietárias.