A Política de Privacidade é o documento público que materializa o princípio da transparência (Art. 6º, VI, da LGPD). É o que o titular consulta antes de decidir se confia seus dados à empresa — e é o primeiro lugar onde a ANPD olha em uma fiscalização. Um documento mal estruturado, copiado de outra empresa ou desatualizado é red flag imediato.
O que a LGPD exige da Política de Privacidade?
O Art. 9º da LGPD diz que o titular tem direito ao "acesso facilitado às informações sobre o tratamento", incluindo finalidade, forma e duração do tratamento, identificação do controlador, informações de contato e dos demais agentes, responsabilidades, direitos do titular e como exercê-los. Tudo isso pertence à Política de Privacidade.
Estrutura mínima recomendada (12 seções)
1. Identificação do controlador
Razão social, CNPJ, endereço, e-mail e telefone de contato. Para grupos econômicos, esclarecer qual entidade do grupo é o controlador.
2. Identificação do Encarregado (DPO)
Nome ou função do DPO e canal de contato (e-mail dedicado é o mais comum, ex.: dpo@empresa.com.br).
3. Quais dados pessoais são coletados
Liste por categoria — cadastrais (nome, CPF, e-mail), navegacionais (IP, cookies), transacionais (compras, pagamentos), comunicacionais (e-mails, mensagens), etc. Seja completo sem listar campo por campo.
4. Como os dados são coletados
Diretamente do titular (formulário, cadastro), automaticamente (cookies, logs), ou de terceiros (parceiros, fontes públicas). Especifique.
5. Finalidades do tratamento
Para cada finalidade, declare a base legal aplicável. Exemplos:
- "Criação e gestão da sua conta — execução de contrato (Art. 7º, V)";
- "Envio de newsletter — consentimento (Art. 7º, I)";
- "Prevenção de fraude — legítimo interesse (Art. 7º, IX)";
- "Emissão de nota fiscal — cumprimento de obrigação legal (Art. 7º, II)".
6. Compartilhamento com terceiros
Liste categorias de terceiros: gateways de pagamento, ferramentas de e-mail, hospedagem em nuvem, parceiros comerciais. Não precisa nominar cada fornecedor, mas precisa indicar finalidades e garantir contrato adequado.
7. Transferência internacional
Se algum dado vai para servidor fora do Brasil (AWS US, Mailchimp, etc.), declare e cite a base legal do Art. 33 — consentimento específico, decisão de adequação da ANPD, garantias contratuais, cláusulas-padrão.
8. Tempo de retenção
Quanto tempo cada categoria de dado é mantida e quais são os critérios para definir esse prazo (obrigação fiscal de 5 anos, prazo prescricional, etc.).
9. Direitos do titular e como exercê-los
Liste os 9 direitos do Art. 18 e explique o canal de atendimento (formulário, e-mail). Informe o prazo de resposta (15 dias).
10. Segurança da informação
Descreva, em alto nível, as medidas técnicas e organizacionais adotadas: criptografia, backup, controle de acesso, treinamento, políticas internas. Não detalhe demais (não é cartilha técnica) — mas mostre que existe programa.
11. Cookies
Se o site usa cookies, descreva tipos, finalidades e como gerenciar. Pode haver Política de Cookies separada para esse tópico — comum em sites maiores.
12. Histórico de versões
Indique a versão atual, a data de publicação e mantenha histórico das versões anteriores acessível. Boa prática: comunicar mudanças relevantes aos titulares por e-mail ou banner.
Erros comuns que viram problema
- Copy-paste de outra empresa: texto genérico não corresponde ao tratamento real. Em fiscalização, descobre-se a inconsistência;
- Linguagem jurídica impenetrável: o Art. 6º, VI, exige "transparência" — linguagem clara, acessível;
- Não mencionar o DPO: descumprimento direto do Art. 41, §1º;
- Não atualizar após mudanças: nova ferramenta? Novo fornecedor? Atualize a política;
- Não ter histórico de versões: impossível provar o que estava vigente em determinada data sem versionamento;
- Misturar política de privacidade com termos de uso: são documentos com objetivos diferentes. Mantenha separados.
Onde publicar a Política?
- Link no rodapé do site, em todas as páginas;
- Link nos formulários de cadastro/contato (checkbox de aceite);
- Link no rodapé dos e-mails transacionais;
- Acessível sem login (não esconder em área restrita).
Linguagem dupla: jurídico + simplificada
Uma tendência crescente é apresentar duas versões: a Política completa (jurídica) e um resumo executivo (FAQ ou bullets curtos). A ANPD vê com bons olhos — facilita o entendimento sem comprometer a profundidade.
Frequência de revisão
Recomendamos:
- Anualmente, no mínimo;
- Sempre que houver mudança significativa no tratamento (nova finalidade, novo fornecedor relevante, mudança de base legal);
- Após decisão importante da ANPD ou alteração legislativa.
Como o mhslgpd ajuda
Nossa plataforma traz templates de Política de Privacidade adaptáveis por setor, com versionamento automático e publicação em URL pública (ex.: mhslgpd.com.br/empresa/p/politica-de-privacidade). Cada publicação cria uma nova versão imutável — ideal para comprovação em auditoria.
Conclusão
Política de Privacidade não é detalhe — é fachada. Quem mostra clareza e completude transmite confiança e reduz risco regulatório. Reveja a sua hoje, compare com a estrutura acima e identifique lacunas. O texto que protege é o texto que reflete sua operação real.