Quase toda semana alguém me faz a mesma pergunta, e quase sempre com a cara de quem espera ouvir um "não": "Bruno, meu site é só uma página com meu telefone e um formulário de contato. Eu preciso me preocupar com essa tal de LGPD ou isso é coisa de empresa grande?" A dúvida faz sentido. A LGPD virou fama de assunto de advogado, de coisa cara, de algo que só pesa quando você tem um departamento jurídico. Então vou direto ao ponto, sem rodeio e sem te vender medo.
Meu site é pequeno. A LGPD vale mesmo para mim?
Vale, sim, na esmagadora maioria dos casos. A lei não olha o tamanho do seu negócio, ela olha uma coisa só: se você coleta dado de pessoa. E é aqui que quase todo mundo se surpreende, porque você acha que não coleta, mas coleta.
Tem um formulário pedindo nome, e-mail e telefone? Isso é dado pessoal. Usa o Google Analytics para ver quantas pessoas visitam o site? Ele guarda informação sobre quem entrou. Tem o pixel do Facebook ou um botão de WhatsApp que carrega script de terceiro? Mesma história. Até aquele cookie que lembra que o visitante já fechou um aviso conta. Na prática, se o seu site faz qualquer uma dessas coisas, e quase todo site faz, ele se enquadra.
O que muda com o tamanho não é se a lei se aplica, e sim o quanto você precisa investir nela. Um site institucional de uma clínica de bairro não vive sob as mesmas exigências de um banco. Mas o mínimo, e é esse mínimo que vou destrinchar aqui, todo mundo precisa ter.
Na prática, o que precisa estar no meu site?
Vou listar o que eu mesmo confiro quando alguém me chama para olhar um site por essa ótica. É a parte técnica e prática, a que dá para resolver no código e na estrutura. Pensa nisso como uma lista de checagem honesta, não como o texto da lei.
Uma política de privacidade que a pessoa consiga ler
É o documento que explica, em português de gente, o que você coleta, por que coleta, com quem compartilha e por quanto tempo guarda. Não precisa ser um calhamaço jurídico copiado de outro site. Aliás, copiar a política de outra empresa é um tiro no pé, porque ela vai descrever práticas que não são as suas, e aí o documento mente sobre o seu negócio. Ela precisa ser verdadeira e acessível. Se você quer montar esse documento sem virar refém de um gerador genérico, eu detalhei o passo a passo em como criar a política de privacidade do site.
Coletar só o que você realmente usa
Esse é o princípio que mais economiza dor de cabeça e quase ninguém respeita. Olha para o seu formulário de contato agora. Ele pede data de nascimento? CPF? Endereço completo? Para quê? Se você só vai responder a pessoa por e-mail ou WhatsApp, peça o nome e uma forma de contato. Ponto. Cada campo a mais é um dado que você passa a ter que guardar, proteger e justificar se alguém perguntar. Menos campo é menos risco e, de quebra, mais gente preenche e chega até você, porque formulário curto espanta menos.
Saber por que você pode usar cada dado
A lei chama isso de base legal, e o nome assusta mais do que a coisa em si. Significa apenas ter um motivo legítimo para usar aquele dado. Quando alguém preenche seu formulário pedindo um orçamento, o motivo é óbvio: a pessoa quer que você entre em contato, e isso já te ampara. O problema aparece quando você pega aquele mesmo e-mail e começa a disparar promoção semanal sem a pessoa ter pedido. O motivo do contato inicial não cobre mais o que você está fazendo. A regra de bolso é simples: use o dado para aquilo que a pessoa esperava quando te deu o dado.
Aviso de cookies que respeita a escolha
Se o seu site usa Analytics, pixel de anúncio ou qualquer rastreamento, o visitante precisa saber e poder dizer não. É aquele banner que aparece embaixo da tela. Mas cuidado com uma armadilha comum: muito site coloca o banner enfeitando a tela e, ao mesmo tempo, dispara o Analytics antes de a pessoa clicar em qualquer coisa. Isso é teatro, não conformidade. O aviso só faz sentido se ele de fato segurar os scripts de rastreamento até a pessoa aceitar. Cookie estritamente necessário para o site funcionar, como lembrar que você está logado, não precisa de consentimento; cookie de rastreamento precisa.
Um responsável com nome e contato
Quem visitou o seu site tem o direito de pedir para ver, corrigir ou apagar os dados dele. Para isso, precisa saber com quem falar. Não exige criar um cargo pomposo. Um e-mail para assuntos de privacidade, que pode ser o seu mesmo, escrito dentro da política, já resolve para a maioria dos pequenos negócios. O que não pode é a pessoa querer pedir a exclusão dos dados e não ter para onde mandar o pedido.
Segurança mínima, porque dado mal guardado é o pior cenário
De nada adianta uma política linda se o formulário manda os dados sem criptografia ou se o servidor está aberto para qualquer um. O básico inegociável: o site tem que rodar em HTTPS, aquele cadeado; os dados que chegam pelo formulário não podem ficar expostos; e o ambiente precisa estar minimamente protegido contra invasão. Vazamento por descuido técnico é exatamente o tipo de coisa que a lei trata com seriedade, e é também o que mais arranha a confiança do seu cliente. Eu reuni esse lado, que vai além da LGPD e protege o seu negócio como um todo, no guia prático de segurança de sites.
Eu preciso de advogado ou dá para resolver no técnico?
Aqui eu preciso ser honesto, inclusive contra o meu próprio interesse. Tudo o que listei acima é o lado técnico e prático, e é o que eu faço bem. Eu configuro o consentimento de cookies do jeito certo, enxugo o formulário, garanto o HTTPS, organizo a política para refletir o que o site de fato faz e deixo o canal de contato do responsável funcionando. Para a grande maioria dos sites institucionais, de prestadores de serviço e de pequenos comércios, isso resolve a parte que está no meu campo.
Mas eu não sou advogado, e não vou fingir que sou. Tem situação em que o lado jurídico pesa de verdade, e nela eu te mando procurar um especialista. Se o seu negócio trata dado sensível, como saúde, dados de crianças, informação financeira detalhada, orientação religiosa ou política, o terreno muda e o risco sobe. Se você faz tratamento de dados em escala grande, vende mailing, ou se a privacidade é o coração do seu produto, você precisa de assessoria jurídica de verdade, não só de um desenvolvedor caprichoso. Forçar tudo no técnico nesses casos seria te dar uma falsa sensação de segurança, e isso eu não faço.
Quando não vale a pena se preocupar com isso agora?
Vou contra o roteiro de quem quer vender serviço a qualquer custo, porque tem momento em que mexer na LGPD não é a sua prioridade, e eu prefiro te dizer isso de cara.
Se o seu site é uma página estática, só com telefone e endereço, sem formulário, sem Analytics, sem pixel, sem cookie de rastreamento, então você praticamente não coleta dado e o assunto fica bem mais leve. Um aviso simples e um contato dão conta, sem contratar projeto nenhum. Do mesmo jeito, se você está com o caixa apertado e o site ainda nem traz cliente, talvez o seu dinheiro renda mais primeiro fazendo o site converter, e só depois ajustando a parte de privacidade. A LGPD importa, mas ela raramente é a coisa que está quebrando o seu negócio hoje. Prefiro te ajudar a priorizar de verdade do que te empurrar um pacote que você não precisa neste mês.
Por onde começar sem se enrolar?
Se você leu até aqui e bateu aquela dúvida de "será que o meu está em ordem?", o caminho mais barato é começar pela checagem você mesmo. Abra o seu formulário e veja quantos campos dá para cortar. Confirme se o cadeado de HTTPS está lá. Veja se existe uma política de privacidade e se ela descreve o que o seu site realmente faz. Já isso te dá um diagnóstico grosseiro de onde você está.
E se quiser que alguém olhe com calma o lado técnico, sem juridiquês e sem te assustar para vender pacote, é exatamente isso que eu faço quando alguém me chama para cuidar de segurança de sites e adequação à LGPD. O primeiro passo é um diagnóstico gratuito: eu olho o seu site, te falo na lata o que está em ordem, o que dá para resolver no técnico e o que, se for o caso, pede um advogado. Sem compromisso, e com orçamento fechado antes de qualquer coisa começar, para você não levar susto no fim. Se fizer sentido, me chama.