16 min de leitura

WordPress e LGPD: Como Adequar Seu Site à Lei

Guia completo para adequar seu site WordPress à LGPD. Cookies, formulários, WooCommerce, Google Analytics, política de privacidade e penalidades.

A LGPD (Lei Geral de Proteção de Dados) entrou em vigor em 2020 e desde agosto de 2021 as multas podem ser aplicadas. Mesmo assim, a grande maioria dos sites WordPress no Brasil ainda não está em conformidade. Formulários sem consentimento, cookies rastreando visitantes sem aviso, políticas de privacidade genéricas copiadas de outros sites e nenhum mecanismo para que o visitante solicite a exclusão dos seus dados.

Se o seu site WordPress coleta qualquer tipo de dado pessoal (nome, e-mail, telefone, IP, cookies), ele precisa estar adequado à LGPD. Neste guia, vamos cobrir todos os pontos de adequação: o que a lei exige, quais dados o WordPress coleta, como configurar cookie consent, como criar políticas de privacidade, ferramentas de exportação e exclusão de dados, e as penalidades para quem não se adequar.

O Que é a LGPD

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) regula como empresas e organizações coletam, armazenam, tratam e compartilham dados pessoais no Brasil. Ela se aplica a qualquer pessoa física ou jurídica que trate dados pessoais, independentemente do porte da empresa.

Pontos fundamentais

  • Dados pessoais: Qualquer informação que identifique ou permita identificar uma pessoa. Nome, CPF, e-mail, telefone, endereço IP, cookies de rastreamento
  • Dados sensíveis: Dados sobre saúde, religião, opinião política, vida sexual, dados genéticos e biométricos. Exigem proteção ainda mais rigorosa
  • Consentimento: O titular dos dados deve dar consentimento livre, informado e inequívoco para a coleta e uso dos seus dados
  • Finalidade: Os dados só podem ser usados para a finalidade informada no momento da coleta
  • Necessidade: Somente os dados estritamente necessários devem ser coletados

Quem precisa se adequar

Toda pessoa física ou jurídica que tenha um site coletando dados pessoais. Isso inclui:

  • Sites institucionais com formulário de contato
  • Lojas virtuais (WooCommerce, e-commerce)
  • Blogs com comentários habilitados
  • Sites com Google Analytics
  • Sites com pixels de remarketing (Facebook, Google Ads)
  • Qualquer site que use cookies

Na prática, praticamente todo site WordPress precisa de adequação.

Onde o WordPress Coleta Dados Pessoais

Muitos donos de sites não percebem quantos dados o WordPress coleta automaticamente. Vamos mapear todos os pontos:

Formulários de contato

Todo formulário coleta pelo menos nome e e-mail. Muitos pedem telefone, empresa, CPF/CNPJ. Cada envio armazena dados pessoais que precisam de consentimento.

Comentários

O sistema de comentários do WordPress coleta nome, e-mail, site e endereço IP do comentarista. Esses dados são armazenados no banco de dados indefinidamente, a menos que você configure um prazo de retenção.

WooCommerce

Uma loja WooCommerce coleta uma quantidade significativa de dados:

  • Nome completo e endereço de entrega
  • CPF/CNPJ
  • E-mail e telefone
  • Histórico de pedidos e produtos visualizados
  • Dados de pagamento (processados pelo gateway, mas registrados no pedido)
  • IP e dados de sessão

Google Analytics

O Google Analytics coleta dados de navegação, localização aproximada, dispositivo, sistema operacional, páginas visitadas, tempo de permanência e fonte de tráfego. Embora não colete nome ou e-mail diretamente, o endereço IP e os cookies de rastreamento são considerados dados pessoais pela LGPD.

Pixels de remarketing

Facebook Pixel, Google Ads tag, LinkedIn Insight Tag e outros pixels de rastreamento coletam dados de comportamento para fins publicitários. Esses dados são compartilhados com terceiros (Meta, Google, LinkedIn), o que exige consentimento explícito.

Cookies de plugins

Plugins de cache, de teste A/B, de chat ao vivo, de pop-ups e muitos outros criam cookies no navegador do visitante. Cada cookie que identifica ou rastreia o visitante precisa de consentimento.

WordPress por padrão

O próprio WordPress cria cookies para:

  • Login de administradores e usuários
  • Comentários (para lembrar nome e e-mail)
  • Sessões de WooCommerce

O banner de cookies é a primeira adequação visível que os visitantes percebem. Ele informa quais cookies o site usa e permite que o visitante aceite, recuse ou personalize suas preferências.

O que o banner precisa ter

  1. Informação clara: Explicar de forma simples que o site usa cookies e para quais finalidades
  2. Opção de recusar: O visitante precisa poder recusar cookies não essenciais. Um banner com apenas "Aceitar" não é suficiente
  3. Granularidade: Idealmente, o visitante deve poder escolher quais categorias aceitar (essenciais, analytics, marketing)
  4. Link para política: O banner deve conter link para a política de cookies/privacidade
  5. Registro do consentimento: O sistema deve registrar que o consentimento foi dado (data, hora, opções escolhidas)

Plugins recomendados

CookieYes

  • Banner personalizável com opções de aceitar, recusar e personalizar
  • Categorização automática de cookies
  • Registro de consentimentos
  • Bloqueio automático de scripts antes do consentimento
  • Versão gratuita funcional para a maioria dos sites
  • Em conformidade com LGPD e GDPR

Complianz

  • Scanner automático de cookies do site
  • Geração de política de cookies
  • Integração com Google Consent Mode
  • Bloqueio de scripts de terceiros antes do consentimento
  • Versão gratuita e versão Pro (a partir de 45 euros/ano)

JEVENT Cookie Consent

  • Solução brasileira com interface em português
  • Focada na LGPD especificamente
  • Suporte local em português

Configuração correta

O ponto mais importante na configuração do banner de cookies é o bloqueio prévio de scripts . Isso significa que scripts como Google Analytics, Facebook Pixel e outros rastreadores devem ser bloqueados ANTES do visitante dar consentimento. Carregar os scripts e depois mostrar o banner é uma violação da LGPD.

Os plugins CookieYes e Complianz oferecem esse bloqueio automático. Configure cada script em sua categoria correta (analytics, marketing, funcional) para que o bloqueio funcione.

Política de Privacidade

A política de privacidade é obrigatória por lei. O WordPress até cria uma página modelo em Configurações > Privacidade , mas esse modelo é genérico e insuficiente.

O que a política precisa conter

  1. Identificação do controlador: Nome da empresa, CNPJ, endereço, e-mail de contato para questões de privacidade
  2. Dados coletados: Lista completa de todos os dados pessoais coletados pelo site
  3. Finalidade: Para que cada dado é utilizado
  4. Base legal: Qual a base legal para o tratamento (consentimento, legítimo interesse, execução de contrato)
  5. Compartilhamento: Com quem os dados são compartilhados (Google, Facebook, gateway de pagamento, hospedagem)
  6. Retenção: Por quanto tempo os dados são armazenados
  7. Direitos do titular: Como o visitante pode exercer seus direitos (acesso, correção, exclusão, portabilidade)
  8. Segurança: Quais medidas de segurança protegem os dados
  9. Cookies: Quais cookies são usados e para que servem
  10. Transferência internacional: Se os dados são transferidos para servidores fora do Brasil (Google, Amazon, etc.)
  11. Contato do DPO: Dados de contato do Encarregado de Proteção de Dados (DPO)

Erros comuns em políticas de privacidade

  • Copiar a política de outro site sem adaptar
  • Não listar todos os plugins e serviços que coletam dados
  • Não informar sobre cookies de terceiros
  • Não incluir mecanismo para exercício de direitos
  • Usar linguagem jurídica incompreensível (a LGPD exige linguagem clara e acessível)

Termos de Uso

Embora não sejam exigidos pela LGPD especificamente, os termos de uso complementam a política de privacidade e protegem a empresa juridicamente. Eles devem cobrir:

  • Regras de uso do site
  • Propriedade intelectual do conteúdo
  • Limitação de responsabilidade
  • Regras para comentários e envio de conteúdo
  • Para WooCommerce: políticas de devolução, troca e reembolso
  • Foro de eleição (jurisdição)

Exportação e Exclusão de Dados (Direitos do Titular)

A LGPD garante ao titular o direito de solicitar:

  1. Acesso aos dados: Saber quais dados a empresa tem sobre ele
  2. Correção: Corrigir dados incorretos
  3. Exclusão: Solicitar que seus dados sejam apagados
  4. Portabilidade: Receber seus dados em formato estruturado

Ferramentas nativas do WordPress

O WordPress tem ferramentas nativas para atender a essas solicitações desde a versão 4.9.6:

Exportar dados pessoais:

  1. Acesse Ferramentas > Exportar dados pessoais
  2. Insira o e-mail do solicitante
  3. O WordPress envia um e-mail de confirmação
  4. Após confirmação, gera um arquivo ZIP com todos os dados

Apagar dados pessoais:

  1. Acesse Ferramentas > Apagar dados pessoais
  2. Insira o e-mail do solicitante
  3. O WordPress envia um e-mail de confirmação
  4. Após confirmação, apaga os dados associados ao e-mail

Limitações

As ferramentas nativas do WordPress cobrem dados de comentários e usuários registrados, mas não cobrem automaticamente dados de plugins como WooCommerce, formulários de contato ou CRMs. Para esses, você precisa verificar cada plugin individualmente.

O WooCommerce adiciona suas próprias opções de exportação e exclusão que incluem pedidos, endereços e dados de conta.

WooCommerce e LGPD

Lojas virtuais coletam mais dados pessoais que qualquer outro tipo de site WordPress. O WooCommerce precisa de atenção especial:

Checkout

  • Adicione checkbox de consentimento no checkout: "Li e concordo com a Política de Privacidade"
  • Esse checkbox deve ser obrigatório para completar a compra
  • O WooCommerce tem essa opção em WooCommerce > Configurações > Contas e Privacidade

Retenção de dados

Configure por quanto tempo os dados de pedidos são mantidos:

  • Contas inativas: Defina um prazo para exclusão automática
  • Pedidos cancelados: Quanto tempo manter antes de anonimizar
  • Pedidos concluídos: Considere requisitos fiscais (5 anos para documentos fiscais)

Em WooCommerce > Configurações > Contas e Privacidade , você pode definir esses prazos.

Dados de pagamento

Os dados de cartão de crédito nunca devem ser armazenados no WordPress. Gateways como PagSeguro, Mercado Pago e Stripe processam os pagamentos em seus próprios servidores. Verifique se o seu gateway está configurado para não salvar dados sensíveis de pagamento no seu banco de dados.

Google Analytics e LGPD

O Google Analytics é um dos pontos mais críticos de adequação:

O que precisa ser feito

  1. Consentimento antes do carregamento: O script do GA só deve carregar depois que o visitante aceitar cookies de analytics
  2. IP anonimizado: Configure a anonimização de IP no GA4 (é padrão no GA4, mas verifique)
  3. Retenção de dados: Configure o prazo de retenção de dados no Google Analytics (o padrão são 14 meses)
  4. Google Consent Mode: Configure o Consent Mode para que o GA respeite a escolha do visitante sobre cookies

O Google Consent Mode v2 permite que o Google Analytics e Google Ads ajustem seu comportamento com base no consentimento do visitante. Quando o visitante recusa cookies, o GA ainda pode coletar dados agregados (sem identificação individual). Plugins como CookieYes e Complianz suportam o Consent Mode v2 nativamente.

Formulários de Contato e LGPD

Todo formulário de contato precisa de:

  1. Checkbox de consentimento: Obrigatório antes do envio
  2. Texto claro: Informar para que os dados serão usados
  3. Link para política: Incluir link para a política de privacidade
  4. Dados mínimos: Pedir apenas o que é necessário

Exemplo de texto de consentimento

"Ao enviar este formulário, concordo com a coleta e uso dos meus dados pessoais conforme descrito na Política de Privacidade, exclusivamente para responder a esta solicitação."

Registro de consentimentos

Salve os envios com timestamp e IP como prova de consentimento. Para Contact Form 7, use o plugin Flamingo. WPForms e Gravity Forms salvam os envios automaticamente.

Comentários e LGPD

O sistema de comentários do WordPress coleta nome, e-mail, site e IP. Para adequar:

  1. Adicione checkbox de consentimento: Em Configurações > Discussão , marque "Mostrar a caixa de consentimento de cookies para comentários"
  2. Defina prazo de retenção: Considere apagar ou anonimizar comentários antigos
  3. Modere comentários: Ative a moderação para evitar que dados pessoais de terceiros sejam publicados sem consentimento

Hospedagem e Localização dos Dados

A LGPD não proíbe que dados sejam armazenados em servidores fora do Brasil, mas exige que o país de destino tenha nível adequado de proteção de dados, ou que existam garantias específicas.

O que isso significa na prática

  • Servidores no Brasil: Simplifica a conformidade. Hospedagens como Locaweb, KingHost e VPS em datacenters brasileiros mantêm os dados no país
  • Servidores nos EUA/Europa: Permitido, desde que informado na política de privacidade e que existam garantias adequadas (como os Standard Contractual Clauses do GDPR para servidores europeus)
  • CDNs (Cloudflare, etc.): Podem armazenar cópias em cache em servidores ao redor do mundo. Informe na política de privacidade

A HOSTWP utiliza infraestrutura com servidores no Brasil, o que simplifica a conformidade com a LGPD para nossos clientes.

Penalidades por Não Conformidade

A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar as seguintes sanções:

  1. Advertência: Com prazo para adotar medidas corretivas
  2. Multa simples: Até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração
  3. Multa diária: Para forçar a correção
  4. Publicização da infração: Divulgação pública da violação
  5. Bloqueio dos dados: Suspensão do uso dos dados pessoais
  6. Eliminação dos dados: Obrigação de apagar os dados coletados em desconformidade

Casos reais no Brasil

A ANPD já aplicou sanções a empresas de diversos portes. Microempresas e empresas de pequeno porte podem receber tratamento diferenciado, mas não estão isentas. A adequação é obrigatória para todos.

Não arrisque multas. A HOSTWP faz auditoria completa de conformidade com a LGPD no seu site WordPress e implementa todas as adequações necessárias. Fale com a gente no WhatsApp .

Checklist de Adequação LGPD para WordPress

Use esta lista para verificar a conformidade do seu site:

  • [ ] Banner de cookies com opção de aceitar e recusar
  • [ ] Scripts de rastreamento bloqueados antes do consentimento
  • [ ] Política de privacidade completa e atualizada
  • [ ] Termos de uso publicados
  • [ ] Checkbox de consentimento em todos os formulários
  • [ ] Checkbox de consentimento no checkout do WooCommerce
  • [ ] Retenção de dados configurada no WooCommerce
  • [ ] Google Analytics com Consent Mode configurado
  • [ ] Ferramenta de exportação de dados pessoais funcionando
  • [ ] Ferramenta de exclusão de dados pessoais funcionando
  • [ ] SSL/HTTPS ativo em todo o site
  • [ ] Comentários com checkbox de consentimento
  • [ ] DPO (Encarregado) definido e informado na política
  • [ ] Registro de atividades de tratamento documentado
  • [ ] Localização dos servidores informada na política

Como a HOSTWP Ajuda na Adequação

A HOSTWP oferece um serviço completo de adequação LGPD para sites WordPress:

  1. Auditoria de dados: Mapeamos todos os pontos de coleta de dados do seu site
  2. Implementação técnica: Configuramos banner de cookies, bloqueio de scripts, checkboxes de consentimento
  3. Documentação: Criamos política de privacidade e termos de uso personalizados para o seu negócio
  4. Ferramentas de direitos: Configuramos as ferramentas de exportação e exclusão de dados
  5. Monitoramento: Acompanhamos mudanças na lei e atualizamos as configurações quando necessário

Gerenciamos mais de 143 sites WordPress e a adequação LGPD faz parte do nosso processo de onboarding para todos os clientes.

Fale com a HOSTWP no WhatsApp e agende uma auditoria de conformidade LGPD para o seu site WordPress.

Leia Também

lgpd-wordpress adequacao-lgpd protecao-dados cookies-lgpd politica-privacidade

Artigos relacionados