Gerar Política de Privacidade
POLÍTICA DE PRIVACIDADE
Indique a pessoa física ou jurídica responsável pelas decisões sobre o tratamento de dados pessoais (controlador, LGPD art. 5º, VI).
doravante referidos individualmente como "Parte" e, em conjunto, como "Partes", estabelecem a presente Política de Privacidade (doravante "Política"):
Liste as categorias de dados pessoais tratadas, observando a minimização (LGPD art. 6º, III).
Dados pessoais sensíveis (origem racial, saúde, biometria etc.) têm tratamento restrito e exigem consentimento específico ou hipótese do art. 11 da LGPD.
Indique a coleta automática (registros de acesso, IP, dispositivo), também protegida pela LGPD e pelo Marco Civil da Internet.
As finalidades devem ser específicas, explícitas e informadas ao titular (LGPD art. 6º, I).
Todo tratamento exige base legal entre as hipóteses do art. 7º (e art. 11 para dados sensíveis) da LGPD.
O titular tem direito a informações e à revisão de decisões automatizadas que afetem seus interesses (LGPD art. 20).
Indique o uso de cookies; o detalhamento pode constar de Política de Cookies específica.
Indique com quem e em quais condições os dados podem ser compartilhados (operadores, parceiros, autoridades).
A transferência internacional segue as hipóteses dos arts. 33 a 36 da LGPD (adequação, cláusulas-padrão, consentimento específico).
A LGPD (art. 18) assegura acesso, confirmação, correção, eliminação, portabilidade, informação sobre compartilhamento e revogação do consentimento.
O controlador deve adotar medidas de segurança (arts. 46-47) e comunicar incidentes relevantes à ANPD e aos titulares (art. 48).
Os dados devem ser mantidos apenas pelo tempo necessário às finalidades ou a obrigações legais, com posterior eliminação (arts. 15-16).
O tratamento de dados de crianças exige consentimento específico de um dos pais ou responsável, no melhor interesse do menor (LGPD art. 14).
Informe o canal de contato do Encarregado (DPO) e a possibilidade de o titular peticionar à ANPD (arts. 41 e 18, §1º).
Conteúdo da página
Política de Privacidade: Guia Completo para Conformidade com a LGPD
1. O Que é a Política de Privacidade
A Política de Privacidade é o documento que explica aos usuários e clientes como uma organização coleta, usa, armazena, compartilha e protege seus dados pessoais. É um instrumento de transparência obrigatório pela Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018), que exige que o controlador de dados forneça ao titular as informações sobre o tratamento de forma clara, adequada e ostensiva (art. 9º da LGPD).
Diferente do que muita gente imagina, a Política de Privacidade não é apenas um documento jurídico burocrático: ela é a base do relacionamento de confiança entre o negócio e seus usuários. Uma política clara, honesta e acessível demonstra respeito pelos direitos dos titulares e constrói credibilidade — especialmente em tempos em que vazamentos de dados e uso indevido de informações pessoais dominam o noticiário. O modelo padrão de Política de Privacidade disponível online no DiretoDoc.com permite criar um documento personalizado e em conformidade com a LGPD em poucos minutos, disponível para baixar em WORD ou PDF.
A Política de Privacidade é o documento central do ecossistema de conformidade com a LGPD, e se relaciona diretamente com outros instrumentos: a Política de Cookies (que detalha as tecnologias de rastreamento), os Termos de Uso (que regulam o uso do serviço) e o Contrato de Tratamento de Dados (DPA) (que regula fornecedores que acessam dados dos usuários da empresa).
2. Quando a Política de Privacidade é Obrigatória
A LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada no Brasil, independentemente do tamanho da empresa — desde uma microempresa com site de contato até uma multinacional com banco de dados de milhões de usuários. A Política de Privacidade é obrigatória sempre que houver tratamento de dados pessoais, incluindo:
- Qualquer site com formulário que coleta nome, e-mail, telefone ou CPF do visitante
- E-commerces e marketplaces que processam dados de clientes para compras e entrega
- Plataformas e aplicativos com cadastro de usuários
- Sites que utilizam cookies de rastreamento (Google Analytics, Meta Pixel) que coletam o IP
- Empresas que coletam dados de funcionários, candidatos e colaboradores
- Prestadores de serviços que acessam dados dos clientes de seus contratantes (operadores)
A ausência de Política de Privacidade — ou a presença de uma política incompleta, desatualizada ou em linguagem inacessível — pode resultar em autuação pela ANPD com multas de até 2% do faturamento no Brasil, limitadas a R$ 50 milhões por infração. Pequenas e microempresas têm tratamento diferenciado pela ANPD, mas não são isentas das obrigações fundamentais de transparência.
3. Conteúdo Mínimo Obrigatório Pela LGPD (Art. 9º)
O art. 9º da LGPD estabelece que o titular tem direito a obter do controlador, em relação aos dados tratados, as seguintes informações — que devem estar na Política de Privacidade:
- Finalidade específica do tratamento: para que exatamente os dados são coletados. "Melhorar a experiência do usuário" não é finalidade específica — "enviar comunicações de marketing sobre nossos produtos por e-mail" sim.
- Forma e duração do tratamento: como os dados são processados e por quanto tempo são retidos antes da exclusão ou anonimização.
- Identificação do controlador: quem é o responsável pelo tratamento — nome completo da empresa, CNPJ e dados de contato.
- Informações de contato do DPO: o nome e canal de contato do Encarregado de Proteção de Dados (DPO), quando nomeado.
- Compartilhamento de dados: com quem os dados podem ser compartilhados — parceiros comerciais, fornecedores, outras empresas do grupo, autoridades públicas.
- Responsabilidades dos agentes: quem são os controladores e operadores envolvidos no tratamento.
- Direitos dos titulares: como exercer os direitos previstos no art. 18 da LGPD.
4. Tipos de Dados Pessoais: O Que Sua Empresa Coleta
O primeiro passo para elaborar uma Política de Privacidade eficaz é mapear todos os dados pessoais que a empresa efetivamente coleta. A LGPD distingue duas categorias:
- Dados pessoais comuns: qualquer informação que identifique ou torne identificável uma pessoa natural. Exemplos: nome, e-mail, telefone, CPF, endereço, IP, foto, data de nascimento, dados de pagamento (parcialmente).
- Dados pessoais sensíveis (art. 5º, II LGPD): dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico. Exigem tratamento mais restrito e base legal específica (art. 11 LGPD).
O mapeamento de dados (data mapping) deve cobrir: quais dados são coletados, de quem, por qual canal (formulário, app, atendimento presencial, câmeras), para qual finalidade, com qual base legal, por quanto tempo são retidos, com quem são compartilhados. Esse inventário é a base tanto da Política de Privacidade quanto do RIPD (Relatório de Impacto à Proteção de Dados).
5. Bases Legais do Tratamento: Por Que Você Pode Usar os Dados
Todo tratamento de dados pessoais deve ter uma base legal — uma das dez hipóteses autorizativas do art. 7º da LGPD. A Política de Privacidade deve informar qual base legal justifica cada finalidade de tratamento:
- Consentimento (inciso I): o titular autoriza expressamente. Deve ser livre, informado, específico e inequívoco. O titular pode revogar a qualquer momento. É a base usada para marketing por e-mail, personalização e cookies de rastreamento.
- Execução de contrato (inciso V): necessário para executar o serviço contratado pelo próprio titular. É usado para processar pedidos no e-commerce, emitir notas fiscais, entregar produtos.
- Cumprimento de obrigação legal (inciso II): quando a lei exige que a empresa mantenha determinados dados. Exemplos: guardar notas fiscais por 5 anos (legislação fiscal), cumprir obrigações trabalhistas.
- Legítimo interesse (inciso IX): quando o interesse do controlador ou de terceiros justifica o tratamento sem prejudicar os direitos do titular. Exige análise de proporcionalidade e documentação. Exemplos: prevenção de fraudes, segurança do sistema.
- Proteção ao crédito (inciso X): para análise de risco de crédito e consulta a órgãos de proteção ao crédito.
6. Compartilhamento de Dados: Com Quem e Para Quê
A Política de Privacidade deve descrever com quem os dados pessoais dos usuários podem ser compartilhados e por qual motivo. As categorias mais comuns de destinatários incluem:
- Fornecedores e parceiros de negócios: empresas de entrega (logística), processadores de pagamento (adquirentes), plataformas de e-mail marketing, sistemas de CRM. Esses são operadores de dados — devem ter DPA assinado com a empresa.
- Autoridades públicas: Receita Federal, Ministério do Trabalho, Banco Central, quando exigido por lei ou em resposta a ordens judiciais. A divulgação a autoridades públicas é uma das exceções ao consentimento.
- Empresas do grupo econômico: quando há compartilhamento de dados entre empresas controladas pela mesma holding, o usuário deve ser informado sobre quais empresas do grupo podem acessar seus dados e para quê.
- Adquirentes em processos de M&A: em fusões e aquisições, dados dos usuários podem ser transferidos ao adquirente. A política deve prever essa possibilidade e as condições.
Para cada categoria de destinatário, a política deve indicar: quem são (categoria, não necessariamente nome), qual é a finalidade do compartilhamento, e qual é a base legal que justifica o compartilhamento. O compartilhamento de dados com operadores exige formalizacao por meio de um DPA (Contrato de Tratamento de Dados Pessoais).
7. Direitos dos Titulares: O Que Sua Política Deve Garantir
O art. 18 da LGPD lista os direitos dos titulares de dados pessoais — e a Política de Privacidade deve explicar como esses direitos podem ser exercidos:
- Confirmação de tratamento: o titular pode perguntar se a empresa trata seus dados.
- Acesso aos dados: direito de receber cópia dos dados tratados, em formato legível.
- Correção: atualizar dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: para dados tratados sem base legal adequada.
- Portabilidade: transferir os dados para outro fornecedor de serviço (direito em regulamentação pela ANPD).
- Eliminação de dados tratados com consentimento: se o titular retirar o consentimento, os dados devem ser eliminados (salvo exceções legais).
- Não ser submetido a decisões automatizadas: direito de ser informado sobre decisões automatizadas (algoritmos, scoring de crédito) e de solicitar revisão humana.
A política deve indicar o canal de contato para exercício dos direitos (e-mail, formulário no site), o prazo de resposta (a LGPD não fixa prazo específico, mas a praxe é de 15 dias úteis) e os documentos necessários para verificar a identidade do solicitante.
8. Retenção e Eliminação de Dados: Por Quanto Tempo Guardar
A LGPD (art. 16) limita o tratamento de dados pessoais ao tempo necessário para atingir as finalidades declaradas. Após esse período, os dados devem ser eliminados ou anonimizados (a menos que haja obrigação legal de retenção). A Política de Privacidade deve indicar o período de retenção para cada categoria de dado:
- Dados de cadastro de clientes: pelo período de vigência do contrato + prazo prescricional (geralmente 5 anos após o encerramento)
- Dados de transações financeiras: até 10 anos (obrigação fiscal, prazo do Código Tributário Nacional)
- Registros de conexão (logs de acesso): 6 meses a 1 ano, conforme o Marco Civil da Internet
- Dados de marketing (opt-in para e-mail): pelo período de consentimento + mais 6 meses para resolução de disputas
- Currículos de candidatos não aprovados: geralmente 6 meses a 1 ano (boa prática de RH)
- Dados de crianças e adolescentes: regras específicas da LGPD — excluir imediatamente após a finalidade
9. Transferências Internacionais de Dados
Quando os dados pessoais dos usuários são processados em servidores fora do Brasil — o que ocorre com praticamente qualquer empresa que use Google Cloud, AWS, Azure, Salesforce ou HubSpot —, isso constitui uma transferência internacional de dados sujeita ao art. 33 da LGPD. A Política de Privacidade deve informar sobre essas transferências e as garantias adotadas.
As hipóteses de transferência internacional autorizada incluem: países com nível adequado de proteção reconhecido pela ANPD; cláusulas contratuais padrão aprovadas pela ANPD; normas corporativas globais (binding corporate rules); consentimento específico do titular para a transferência; e execução de contrato necessário para o titular. A ANPD ainda não publicou a lista de países com nível adequado, mas o GDPR europeu é geralmente aceito como padrão elevado de proteção.
10. Segurança da Informação: O Que Declarar na Política
A LGPD (art. 46) obriga o controlador a adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A Política de Privacidade deve informar, de forma geral, as medidas de segurança adotadas:
- Criptografia de dados em trânsito (TLS/HTTPS) e em repouso (AES-256)
- Controle de acesso baseado em funções (RBAC) — apenas quem precisa acessa os dados
- Autenticação multifator (MFA) para sistemas que contêm dados pessoais
- Backups regulares com testes de restauração
- Política de senhas e gestão de vulnerabilidades
- Treinamentos periódicos da equipe sobre proteção de dados
A Política também deve descrever o procedimento de notificação em caso de incidente de segurança: se ocorrer um vazamento de dados, a ANPD e os titulares afetados devem ser notificados no prazo de 72 horas após o conhecimento do incidente (art. 48 LGPD).
11. Atualização da Política de Privacidade
A Política de Privacidade não é um documento estático — ela precisa ser revisada e atualizada sempre que houver mudanças relevantes nos processos de tratamento de dados, nas ferramentas utilizadas, na legislação aplicável ou nas finalidades da empresa. As situações que tipicamente requerem atualização: lançamento de nova funcionalidade que coleta dados adicionais; adição de novo parceiro ou fornecedor que acessa dados; mudança na base legal de determinado tratamento; publicação de nova norma ou resolução da ANPD; e resultado de auditoria interna de privacidade.
A política deve indicar a data da última revisão ("Última atualização: [data]") e descrever como os usuários serão notificados sobre alterações relevantes (e-mail, aviso no site, popup de aceite). Para alterações que aumentam o escopo do tratamento ou mudam a base legal de dados já coletados com consentimento, pode ser necessário renovar o consentimento dos usuários existentes.
12. Como Criar Sua Política de Privacidade no DiretoDoc.com
O template de Política de Privacidade do DiretoDoc.com é um modelo completo e atualizado com base na LGPD, nas resoluções da ANPD e nas melhores práticas internacionais de privacidade. O documento inclui: identificação do controlador, tipos de dados coletados, finalidades e bases legais, compartilhamento com terceiros, transferências internacionais, direitos dos titulares, medidas de segurança, cookies (ou referência à Política de Cookies separada), retenção de dados e informações de contato do DPO.
Para criar a Política de Privacidade online, preencha os dados da empresa e selecione as categorias de dados que você trata. O gerador personaliza o documento e disponibiliza para baixar em WORD ou PDF. Para plataformas SaaS que operam entre empresas, o template pode ser adaptado para cobrir também o tratamento de dados pessoais dos funcionários e clientes dos seus clientes corporativos. Para uma estratégia completa de conformidade com a LGPD, use a Política de Privacidade em conjunto com o Contrato de Confidencialidade (NDA) — que protege informações estratégicas durante negociações — e com o DPA — que regula operadores que acessam dados dos seus usuários. Com esses três instrumentos, sua empresa tem a base jurídica necessária para operar com conformidade na era dos dados.
13. Privacidade desde a Concepção (Privacy by Design)
O princípio de Privacy by Design — privacidade desde a concepção — é um dos pilares da LGPD (art. 46, § 2º) e significa que a proteção de dados deve ser incorporada ao desenvolvimento de produtos e sistemas desde o início, não adicionada como um patch posterior. Na prática, privacy by design implica:
- Minimização de dados: coletar apenas os dados estritamente necessários para a finalidade declarada. Se o endereço de entrega não é necessário para o cadastro inicial, não peça.
- Pseudoanonimização desde o início: sempre que possível, substituir identificadores diretos (CPF, nome) por pseudônimos nos sistemas de processamento — guardando o mapeamento separadamente com acesso restrito.
- Consentimento no design: o formulário de cadastro deve solicitar consentimentos separados para finalidades separadas — não um único "aceito os Termos e a Política de Privacidade" que agrupa tudo.
- Controles de acesso: o sistema deve ser desenvolvido com roles de usuário que limitam o acesso a dados pessoais apenas a quem efetivamente precisa.
- Retenção automática: implementar processos automatizados de exclusão de dados após o prazo de retenção, sem depender de processos manuais sujeitos a erro humano.
14. LGPD e Inteligência Artificial: Decisões Automatizadas
Com a crescente adoção de algoritmos de machine learning e inteligência artificial em processos de negócio — scoring de crédito, recomendação de produtos, contratação automatizada, personalização de conteúdo —, o art. 20 da LGPD ganha crescente relevância. Ele garante ao titular o direito de:
- Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses
- Conhecer os critérios e procedimentos utilizados na decisão automatizada, quando solicitado
- Obter explicação adequada sobre os fatores que levaram à decisão
A Política de Privacidade deve mencionar se a empresa usa decisões automatizadas que afetam o titular, para quais finalidades, e como o titular pode solicitar revisão. A falta dessa informação pode gerar questionamentos da ANPD — especialmente em setores como crédito, saúde, educação e emprego, onde decisões automatizadas têm impacto direto nos direitos dos titulares.
15. Como Criar Sua Política de Privacidade no DiretoDoc.com
O gerador de Política de Privacidade do DiretoDoc.com produz um documento completo, em conformidade com a LGPD e as orientações da ANPD, para qualquer tipo de empresa — desde pequenos negócios com site simples até plataformas digitais complexas que operam entre empresas. O modelo padrão cobre todos os elementos obrigatórios do art. 9º da LGPD e pode ser personalizado para refletir as especificidades do seu tratamento de dados.
Para criar a Política de Privacidade online, preencha os dados da empresa, selecione as categorias de dados pessoais tratados, as finalidades e as bases legais aplicáveis. O sistema gera o documento para baixar em WORD ou PDF em minutos. Para uma estratégia completa de conformidade, combine a Política de Privacidade com a Política de Cookies, os Termos de Uso e o Contrato de Tratamento de Dados (DPA) com os seus fornecedores e parceiros que acessam dados dos usuários. Com esse kit de documentos, sua empresa demonstra à ANPD — e aos seus usuários — um compromisso genuíno com a proteção de dados pessoais.