Se o seu site coleta qualquer dado de quem visita — nome, e-mail, telefone, ou até o comportamento de navegação por meio de cookies — a LGPD (Lei Geral de Proteção de Dados) já vale para o seu negócio. Não importa se a sua empresa tem dois ou duzentos funcionários: a lei se aplica a qualquer organização que trate dados pessoais no Brasil.

A boa notícia é que ficar em dia não exige um departamento jurídico nem uma reforma cara. Exige três coisas no site, feitas direito. Neste guia, vamos ao que importa, sem juridiquês.

Por que isso virou urgente em 2025 e 2026

Nos primeiros anos da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) atuou de forma mais educativa. Isso mudou. Em 2025, a ANPD passou a adotar uma postura menos tolerante: mais notificações, fiscalização mais rígida e punições em casos de reincidência ou de ausência de medidas básicas. A própria ANPD publicou um Guia Orientativo sobre Cookies e Proteção de Dados Pessoais, deixando claro o que ela espera dos sites.

As sanções vão de advertência a multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. Para uma PME, mesmo o piso de uma multa ou o desgaste de uma notificação já pesa. Some a isso a perda de confiança do cliente, e o cálculo fica simples: prevenir custa muito menos.

1. Política de privacidade clara e acessível

A política de privacidade é o documento onde você explica, em linguagem que qualquer pessoa entenda, o que faz com os dados que coleta. Ela precisa estar acessível — normalmente um link no rodapé de todas as páginas — e responder, no mínimo:

  • Quais dados você coleta (nome, e-mail, telefone, dados de navegação).
  • Para que serve cada dado (responder um orçamento, enviar newsletter, melhorar o site).
  • Com quem você compartilha (ferramenta de e-mail marketing, Google Analytics, plataforma de pagamento).
  • Por quanto tempo guarda os dados.
  • Como o titular exerce os direitos dele — pedir acesso, correção ou exclusão dos dados — e um canal de contato para isso.

Fuja de copiar e colar a política de outra empresa. Se o seu texto diz que você compartilha dados com um parceiro que você não usa, ou esquece de citar uma ferramenta que realmente usa, o documento perde valor justamente quando você mais precisa dele.

2. Banner de cookies com consentimento de verdade

Aqui está o erro mais comum — e o que mais aparece nas orientações da ANPD. Muitos sites ainda usam aquele aviso de "ao continuar navegando, você aceita os cookies". Segundo o guia da ANPD, isso não é consentimento válido. Continuar navegando não é uma escolha livre e inequívoca.

O que a ANPD espera de um banner correto:

  • Opções reais e equivalentes: botões para "Aceitar", "Rejeitar" e "Configurar" com o mesmo destaque. Não vale esconder o "Rejeitar" ou deixá-lo em cinza apagado.
  • Consentimento granular: o usuário deve poder aceitar cookies de análise mas recusar os de publicidade, por exemplo.
  • Nada dispara antes do "sim": cookies não essenciais (analytics, remarketing, pixel do Facebook) só podem ser ativados depois do consentimento. Disparar o Google Analytics antes do opt-in é uma das falhas mais citadas.
  • Revogar deve ser fácil: o usuário precisa conseguir mudar de ideia e retirar o consentimento de forma simples e gratuita, a qualquer momento.
  • Link para a política: o banner deve apontar para a política de cookies ou de privacidade, em linguagem clara.

Cookies essenciais x não essenciais

Cookies estritamente necessários para o site funcionar — como manter um item no carrinho ou lembrar que você fez login — não exigem consentimento prévio. Todos os outros (medição de audiência, anúncios personalizados) exigem. Se você usa WordPress, plugins de consentimento já resolvem boa parte disso de forma adequada ao guia da ANPD, mas precisam ser configurados para bloquear os scripts antes do aceite, e não apenas exibir um aviso bonito.

3. Coleta de leads dentro da lei

Aquele formulário de "fale conosco" ou "receba nossa proposta" também está sob a LGPD. Boas práticas para captar leads sem dor de cabeça:

  • Peça só o necessário. Se você precisa de nome e WhatsApp para responder, não exija CPF, endereço e data de nascimento. Quanto menos dado, menor o risco.
  • Deixe claro a finalidade ali mesmo. Uma frase curta perto do botão — "Usaremos seus dados apenas para responder a este contato" — com link para a política, já ajuda muito.
  • Checkbox para marketing deve ser separado e desmarcado. Se vai mandar newsletter ou promoções, isso é uma finalidade diferente de responder o contato. Peça um aceite específico, e nunca deixe a caixa pré-marcada.
  • Guarde com segurança. Leads que ficam parados num e-mail compartilhado ou numa planilha pública são um problema esperando para acontecer. Use ferramentas com acesso controlado.

E para quem é pequeno?

A ANPD reconhece as particularidades de pequenas empresas. A Resolução CD/ANPD nº 2/2022 flexibilizou algumas obrigações para os chamados agentes de tratamento de pequeno porte — por exemplo, prazos mais longos para responder solicitações e regras simplificadas de documentação. Atenção: isso alivia a burocracia, não dispensa o básico. Política de privacidade, consentimento de cookies e coleta responsável de dados continuam sendo obrigatórios para todo mundo.

Um checklist rápido

  • Política de privacidade acessível e que reflete a realidade do seu site.
  • Banner de cookies com "Aceitar", "Rejeitar" e configuração granular.
  • Scripts de rastreamento bloqueados até o consentimento.
  • Formulários pedindo o mínimo necessário e com finalidade clara.
  • Canal de contato para o titular exercer seus direitos.

Colocar o site em conformidade não precisa ser um bicho de sete cabeças, mas precisa ser bem-feito — um banner mal configurado pode dar uma falsa sensação de segurança. Na GoisTec, ajudamos PMEs de Goiânia e região a deixar o site dentro da LGPD de forma prática, do banner de cookies à coleta de leads. Quer uma avaliação rápida do seu site? Fale com a gente no WhatsApp (62) 99838-6151 — sem compromisso.