Política de privacidade LGPD: modelo e passo a passo

A política de privacidade LGPD costuma entrar na lista de pendências quando a empresa está prestes a publicar o site, lançar um app, ou ativar um novo formulário. A reação mais comum é correr para um gerador, copiar o texto de outra empresa, trocar o nome no topo, e considerar o assunto resolvido. O problema é que isso quase nunca reflete a operação real do negócio.

Na prática, a política não existe para "cumprir tabela". Ela existe para explicar com clareza quais dados sua empresa coleta, para quê, com quem compartilha, por quanto tempo mantém, e como a pessoa pode exercer os próprios direitos. Quando esse texto não conversa com o fluxo real de dados, ele vira um verniz de conformidade.

Foi o que aconteceu com Renata, dona de uma pequena loja de cosméticos que vendia pelo Instagram, WhatsApp e um site institucional simples. Ela publicou uma política genérica achando que bastava citar cookies, e-mail e "melhorar a experiência". Só depois percebeu que o texto não falava de pedidos via WhatsApp, plataforma de disparo de e-mail, checkout terceirizado, nem do canal para pedidos de exclusão.

Neste guia, você vai ver o que é uma política de privacidade LGPD, quando ela é necessária, o que deve constar no documento, um passo a passo para montar a sua, e um modelo de base para adaptar sem juridiquês.

Dica: Se você ainda está organizando o básico da adequação, vale revisar primeiro o que é a LGPD e o guia de como se adequar à LGPD.

O que é uma política de privacidade LGPD

Uma política de privacidade LGPD é o documento que explica, em linguagem acessível, como a sua empresa trata dados pessoais. Em vez de ser uma cláusula vaga no rodapé, ela deveria funcionar como um resumo honesto da operação: quais dados entram, por quais canais, para quais finalidades, com quais parceiros, e quais direitos a pessoa pode exercer depois.

Esse ponto importa porque a LGPD, no art. 9º, garante ao titular acesso facilitado a informações como finalidade específica do tratamento, forma e duração, identificação do controlador, contato, compartilhamento de dados e responsabilidades dos agentes envolvidos. Em português claro: a lei não quer um texto bonito. Ela quer transparência útil.

Também vale fazer uma distinção importante. Política de privacidade não é a mesma coisa que termo de consentimento. A política informa como a empresa trata dados. Já o consentimento é uma das possíveis bases legais para alguns tratamentos específicos. Da mesma forma, política de privacidade também não é igual a banner de cookies, nem a termos de uso.

Quando a empresa mistura tudo em um único bloco genérico, o leitor não entende o que está aceitando, o que está só lendo, e o que fazer se quiser pedir acesso, correção ou eliminação. O documento deixa de ajudar, e começa a esconder.

Se você quer um critério rápido para avaliar sua política atual, use esta pergunta: uma pessoa comum consegue ler o texto e entender o que sua empresa realmente faz com os dados dela? Se a resposta for não, a política precisa ser revista.

Toda empresa precisa ter política de privacidade?

Na maioria dos casos, sim. Se a sua empresa coleta ou trata dados pessoais em site, app, formulário, checkout, WhatsApp, CRM, analytics, newsletter, ou atendimento comercial, ela precisa informar isso de forma clara. O erro mais comum é imaginar que só existe "tratamento de dados" quando há um cadastro grande com CPF, RG e dezenas de campos.

Um site com formulário de contato já coleta nome, e-mail e mensagem. Uma landing page com pixel ou analytics já trata dados relacionados à navegação. Um comércio que fecha pedidos por WhatsApp já lida com nome, telefone, endereço e histórico de compra. Mesmo uma operação pequena, com processo simplificado, continua tendo dever de transparência.

A Resolução CD/ANPD nº 2/2022 trouxe simplificações para agentes de tratamento de pequeno porte em alguns pontos. Mas isso não significa licença para operar sem política ou sem canal para comunicação com titulares. A lógica continua a mesma: se você trata dados, precisa informar esse tratamento de forma proporcional e compreensível.

Em outras palavras, política de privacidade para pequenas empresas não é uma versão "mais solta" da LGPD. É uma explicação proporcional ao que o negócio realmente coleta, usa, compartilha e precisa responder.

Pense em uma escola pequena que usa formulário no site para agendar visitas, mantém lista de transmissão no WhatsApp e armazena leads em planilha. Ela pode não ter time jurídico nem DPO interno. Ainda assim, precisa explicar quais dados coleta, por que coleta, com quem compartilha e como o titular pode falar com a empresa.

Em outras palavras, a pergunta menos útil é "minha empresa é pequena demais para isso?". A pergunta certa é "em quais momentos eu recebo, armazeno, compartilho ou uso dados pessoais?". É essa resposta que define o escopo real da política.

Qual a diferença entre política de privacidade, aviso, termos e cookies

Essa confusão aparece o tempo todo. Em fóruns, vídeos e buscas, muita gente trata aviso de privacidade LGPD, termos de uso e política de privacidade, banner de cookies LGPD e termo de consentimento como se fossem a mesma coisa. Não é.

Na prática, a política de privacidade é a visão mais ampla. Ela precisa conversar com os demais documentos, mas não deve ser confundida com eles.

Isso ajuda a responder uma dúvida comum: banner de cookies não substitui política de privacidade. O banner trata um pedaço da conversa. A política precisa mostrar o quadro maior, inclusive canais fora da navegação no site.

Outro ponto importante é que algumas empresas chamam de "aviso de privacidade" o documento principal, especialmente em contextos de recrutamento, fornecedores, ou uso interno. O nome pode variar. O que não pode variar é a clareza do conteúdo.

Se o seu negócio tem um site institucional, formulário de orçamento, cadastro de newsletter, atendimento por WhatsApp e CRM, o ideal é que a política principal deixe isso claro e, quando fizer sentido, seja complementada por avisos específicos em pontos de coleta mais sensíveis.

O que deve constar na política de privacidade LGPD

Se você quer saber o que deve constar na política de privacidade, o melhor caminho é transformar o juridiquês em checklist operacional. O guia de elaboração do governo federal ajuda bastante nessa organização.

1. Quem é a empresa responsável pelo tratamento

A política precisa identificar o controlador, ou seja, quem toma as decisões sobre o tratamento dos dados. Isso inclui nome empresarial, CNPJ quando fizer sentido, e um canal de contato real.

2. Quais dados são coletados

Liste as categorias de dados em linguagem simples. Exemplo:

• nome;
• e-mail;
• telefone;
• CPF, quando necessário;
• endereço;
• dados de navegação;
• dados enviados em formulários;
• histórico de compra ou atendimento.

Não esconda coleta importante em frases genéricas como "informações fornecidas pelo usuário".

3. Para quais finalidades esses dados são usados

Esta é a parte mais crítica. A política deve explicar por que cada grupo de dados é tratado. Exemplos melhores do que "para melhorar sua experiência":

• responder pedidos enviados pelo formulário;
• emitir nota fiscal e processar pagamentos;
• enviar materiais, novidades ou ofertas, quando aplicável;
• analisar desempenho do site;
• prestar suporte ao cliente;
• cumprir obrigações legais e regulatórias.

4. Bases legais em nível compreensível

Você não precisa transformar a política em aula de pós-graduação, mas também não deve fingir que todo tratamento depende de consentimento. Quando fizer sentido, explique em alto nível se o tratamento ocorre por execução de contrato, obrigação legal, consentimento, legítimo interesse ou outra hipótese prevista na lei.

5. Compartilhamento com terceiros

Se a empresa usa processador de pagamento, plataforma de e-mail, analytics, CRM, hospedagem, ferramenta de suporte, laboratório parceiro, ou outro operador, isso precisa aparecer de forma honesta. O leitor não precisa ver uma lista caótica de siglas. Precisa entender com quem os dados podem ser compartilhados e por quê.

6. Prazo ou critério de retenção

A política deve informar por quanto tempo os dados serão mantidos ou quais critérios definem esse prazo. Se houver retenção por obrigação legal, vale dizer isso com clareza.

7. Direitos do titular

A pessoa precisa saber que pode pedir confirmação do tratamento, acesso, correção, anonimização em hipóteses cabíveis, eliminação, portabilidade, informação sobre compartilhamento e revisão do que a lei permitir. A página de direitos do titular pode aprofundar isso quando o leitor quiser entender melhor.

8. Canal de contato e exercício de direitos

Não basta falar "entre em contato". Diga qual é o canal: e-mail, formulário, portal do titular ou outro meio realmente monitorado. Uma política sem canal útil perde muito valor na prática.

9. Informação sobre cookies e tecnologias similares

Se o site usa cookies, pixels, analytics ou integrações semelhantes, isso precisa ser explicado. Mas sem transformar a política inteira em um texto só sobre cookies.

10. Atualizações da política

Vale explicar que o documento pode ser atualizado e como o usuário saberá disso. Mesmo uma PME precisa revisar a política quando muda ferramenta, canal, fornecedor ou tipo de coleta.

Importante: Se a sua equipe não consegue preencher esse checklist com confiança, o problema provavelmente não está na redação. Está no fato de que o fluxo de dados ainda não foi mapeado. Nesse caso, o melhor passo antes da escrita é organizar um mapeamento de dados.

Passo a passo para criar a política da sua empresa

Se você chegou aqui procurando como fazer política de privacidade LGPD, este é o processo mais seguro para uma pequena empresa que quer começar sem complicação desnecessária.

Passo 1. Mapeie todos os pontos de coleta

Antes de escrever uma linha, liste onde a empresa recebe dados:

• site;
• formulário de contato;
• landing pages;
• checkout;
• aplicativo;
• WhatsApp;
• Instagram;
• atendimento comercial;
• planilhas internas;
• CRM;
• ferramentas de analytics;
• newsletter.

Esse inventário muda o jogo. Ele mostra se a política atual esquece canais importantes e ajuda a evitar texto de outro negócio que não tem nada a ver com a sua operação.

Passo 2. Liste quais dados entram e por quê

Para cada ponto de coleta, responda:

1. quais dados entram;
2. qual a finalidade;
3. qual área usa essas informações;
4. qual base legal faz mais sentido;
5. se existe retenção mínima ou obrigação legal.

Um SaaS pequeno pode coletar nome, e-mail e empresa no trial, dados de pagamento no upgrade, e métricas de uso dentro da plataforma. Uma clínica pode coletar dados cadastrais no agendamento, histórico no prontuário, e telefone para confirmação. A política tem que refletir essas diferenças.

Passo 3. Identifique ferramentas, operadores e compartilhamentos

Aqui muita empresa escorrega. O texto cita "seus dados podem ser compartilhados com parceiros" e para por aí. Isso diz pouco.

Revise quais ferramentas participam do tratamento:

• plataforma de e-mail;
• gateway de pagamento;
• ERP;
• CRM;
• analytics;
• hospedagem;
• suporte;
• aplicativos integrados.

Não é necessário transformar a política em inventário técnico completo. Mas você precisa ser honesto sobre as categorias de terceiros envolvidos e a finalidade desse compartilhamento.

Passo 4. Redija o texto em linguagem humana

Com o fluxo mapeado, a escrita fica muito mais simples. O objetivo não é parecer sofisticado. É ser claro.

Prefira frases como:

• "Coletamos seu nome e e-mail para responder ao seu pedido de contato."
• "Usamos seu endereço para entregar o pedido e cumprir obrigações fiscais."
• "Podemos compartilhar dados com provedores de pagamento e hospedagem quando isso for necessário para operar o serviço."

Evite frases como:

• "poderemos tratar dados para fins correlatos à consecução de atividades institucionais";
• "dados eventualmente informados poderão ser utilizados para aprimoramentos diversos";
• "ao prosseguir, o usuário desde já declara ciência plena de todos os tratamentos".

Bruno, fundador de uma ferramenta de reservas para restaurantes, percebeu isso na prática. Ele usou um gerador para publicar rápido a política do produto. O texto falava de conta de usuário e área logada, mas o negócio vendia também pelo WhatsApp, mantinha leads em CRM e usava ferramenta de automação de e-mail. O resultado era um documento aparentemente completo, mas desconectado do que o time realmente fazia todos os dias.

Passo 5. Publique, vincule aos pontos certos e mantenha versão

Depois de escrever, publique a política em local fácil de encontrar no site, app ou ambiente de coleta. Também vale linkar o documento onde o dado é solicitado, especialmente em formulários e fluxos de cadastro.

Crie uma rotina simples de revisão:

• sempre que entrar uma nova ferramenta;
• sempre que surgir um novo formulário;
• sempre que mudar a forma de marketing;
• sempre que houver novo compartilhamento;
• sempre que o time mudar a retenção ou o canal de direitos.

Se você quer acelerar essa parte sem depender de documentos soltos, usar templates de documentos LGPD e um checklist de adequação ajuda a organizar tanto o texto quanto a revisão futura.

Modelo de política de privacidade LGPD

Abaixo está um modelo de política de privacidade LGPD para servir como base. Ele não substitui a adaptação ao seu caso, mas já organiza a estrutura correta. Se você prefere partir de modelos já mantidos e atualizados conforme a operação muda, em vez de um texto solto, vale conhecer os planos do DataSafu.

POLÍTICA DE PRIVACIDADE

1. Quem somos
A [nome da empresa], inscrita no CNPJ [número], é responsável pelo tratamento dos dados pessoais descritos nesta política. Para assuntos relacionados à privacidade, fale com [canal de contato].

2. Quais dados coletamos
Podemos coletar dados como nome, e-mail, telefone, endereço, CPF, informações enviadas em formulários, dados de navegação no site, e outras informações necessárias para prestar nossos serviços.

3. Para que usamos os dados
Utilizamos os dados para:
- responder solicitações enviadas por formulários ou canais de atendimento;
- processar pedidos, pagamentos e entregas;
- cumprir obrigações legais e regulatórias;
- enviar comunicações, materiais ou ofertas quando aplicável;
- melhorar a navegação e a operação dos nossos canais digitais.

4. Com quem compartilhamos os dados
Os dados podem ser compartilhados com prestadores de serviço e parceiros necessários para a operação do negócio, como plataformas de hospedagem, pagamento, e-mail, analytics, suporte e gestão.

5. Por quanto tempo mantemos os dados
Os dados serão armazenados pelo período necessário para cumprir as finalidades descritas nesta política, respeitando prazos legais e regulatórios aplicáveis.

6. Direitos do titular
Você pode solicitar confirmação do tratamento, acesso, correção, eliminação em hipóteses cabíveis, informação sobre compartilhamento e demais direitos previstos na LGPD por meio de [canal].

7. Segurança e atualização desta política
Adotamos medidas proporcionais para proteger os dados pessoais e podemos atualizar esta política sempre que houver mudanças em nossos processos, canais ou exigências legais.

8. Contato
Em caso de dúvida sobre esta política ou sobre o tratamento dos seus dados, entre em contato por [e-mail, formulário ou canal dedicado].

Use esse modelo como estrutura, não como texto final. Antes de publicar, revise três pontos:

1. os dados listados correspondem ao que sua empresa realmente coleta;
2. as finalidades estão específicas o suficiente;
3. os canais e parceiros mencionados refletem a operação real.

Se uma linha do modelo não existe no seu negócio, remova. Se falta um canal importante, acrescente. O risco da política genérica está justamente em falar demais sobre o que você não faz, e de menos sobre o que você faz todo dia.

Erros comuns ao publicar uma política genérica

Ter documento não é o mesmo que ter transparência. Estes são os erros mais comuns que enfraquecem a política logo na largada.

1. Copiar a política de outra empresa

O concorrente pode ter e-commerce, app, clube de assinatura e analytics avançado. Você pode ter só um site institucional com formulário. Ou o contrário. Copiar sem revisar cria lacunas e excessos.

2. Esconder ferramentas de terceiros

Quando a empresa usa CRM, automação, analytics, pagamento, hospedagem e suporte, mas a política finge que tudo acontece dentro de casa, o documento perde credibilidade.

3. Usar finalidades vagas

Frases como "melhorar a experiência" ou "fins administrativos" podem até ficar bonitas. Mas explicam pouco sobre o uso real do dado.

4. Tratar cookies como se fossem a política inteira

Banner de cookies é parte da conversa. Não é a conversa toda. Se o site também coleta leads, fecha pedidos, atende via WhatsApp ou envia newsletter, a política precisa cobrir isso.

5. Esquecer o canal para direitos do titular

O usuário lê a política, mas não sabe onde pedir acesso, correção ou eliminação. Isso transforma transparência em beco sem saída.

6. Publicar e nunca mais revisar

Entrou nova ferramenta? Mudou o CRM? Criou formulário novo? Passou a captar lead por campanha? A política antiga pode já não refletir mais a operação.

Marcelo, web designer que atende pequenos clientes locais, esbarrou nisso quando revisou sites entregues antes da LGPD ganhar força prática no mercado. Muitos tinham uma política copiada de template antigo, sem mencionar formulários atualizados, pixel de mídia, integrações de agenda e botão de WhatsApp. O documento estava lá. A aderência ao negócio, não.

Como revisar e atualizar a política sem deixar o texto envelhecer

Política de privacidade não é PDF de gaveta. Ela precisa acompanhar mudanças reais do negócio.

Revise a política quando acontecer pelo menos um destes eventos:

• entrada de nova ferramenta de analytics, CRM ou automação;
• criação de novo formulário ou nova landing page;
• mudança no checkout, nos meios de pagamento ou nos parceiros;
• adoção de novo canal, como WhatsApp, app ou chatbot;
• coleta de novos dados sensíveis ou novos públicos;
• mudança no fluxo de atendimento a direitos do titular.

Uma rotina simples já resolve muita coisa. Defina alguém responsável por revisar o documento a cada mudança relevante e registre a data da última atualização. Se o seu negócio já recebe pedidos de titulares com frequência, vale organizar esse fluxo junto com os direitos dos seus clientes sobre os dados para não depender de respostas improvisadas.

FAQ sobre política de privacidade LGPD

Toda empresa precisa ter política de privacidade?

Se a empresa trata dados pessoais em site, app, formulário, WhatsApp, CRM, analytics ou atendimento comercial, ela precisa informar isso com transparência. Na prática, isso cobre a grande maioria das PMEs.

Posso copiar uma política pronta da internet?

Pode usar como referência estrutural, mas copiar e publicar sem adaptação é um risco. O texto pode citar ferramentas que você não usa, omitir canais que você usa, e deixar finalidades vagas demais.

Banner de cookies substitui a política de privacidade?

Não. O banner trata preferências e tecnologias de navegação. A política precisa cobrir o restante da operação, inclusive formulários, atendimento, compartilhamento e exercício de direitos.

Preciso citar Google Analytics, CRM e WhatsApp na política?

Se esses canais participam do tratamento de dados, a política deve refletir isso em linguagem compreensível. Nem sempre você precisa listar cada ferramenta por nome comercial, mas precisa explicar as categorias de uso e compartilhamento de forma honesta.

Site simples já precisa de política de privacidade?

Se o site tem formulário, pixel, analytics, integração com marketing, comentários ou qualquer coleta de dado pessoal, sim. O problema é que muita empresa chama o site de "simples" e esquece que a coleta continua existindo. Em cenário assim, faz sentido tratar o documento como uma política de privacidade para site, não só como um rodapé genérico.

Política de privacidade e termos de uso são a mesma coisa?

Não. Termos de uso definem regras para uso do site, app ou plataforma. Política de privacidade explica o tratamento de dados pessoais. Os dois documentos se relacionam, mas não se substituem.

Empresa pequena está dispensada porque a ANPD flexibilizou regras?

Não da forma como muita gente imagina. Pequenas empresas podem ter simplificações em alguns pontos, mas continuam devendo transparência e canal para comunicação com titulares.

Política pronta serve para app e site ao mesmo tempo?

Só se o texto refletir os dois fluxos de coleta. Se o app pede permissões, usa SDKs ou coleta dados diferentes do site, a política precisa deixar isso claro.

Conclusão

Se você quiser resumir tudo em uma frase, ela é esta: política de privacidade LGPD boa não é a mais longa nem a mais jurídica, mas a que descreve com clareza o fluxo real de dados da sua empresa.

Vale sair deste artigo com quatro decisões práticas:

1. mapear todos os pontos de coleta;
2. revisar finalidades e compartilhamentos de forma honesta;
3. adaptar um modelo em vez de copiar um texto genérico;
4. criar uma rotina simples de revisão e canal para direitos do titular.

Se a sua empresa ainda trata política de privacidade como rodapé de site, este é um bom momento para organizar a base. Você não deveria descobrir, depois de um pedido de titular ou de um incidente, que sua política não descreve o que a empresa realmente faz com os dados, e com o DataSafu, você não vai mais. Você pode começar sua adequação e centralizar documentos, mapeamento e próximos passos no DataSafu sem depender de planilhas espalhadas.