LGPD para sites WordPress: o que sua empresa precisa fazer em 2026

LGPD para sites WordPress: o que sua empresa precisa fazer em 2026

A Lei Geral de Proteção de Dados (Lei 13.709/18) está em vigor desde 2020 e fiscalizada ativamente desde 2021 pela ANPD (Autoridade Nacional de Proteção de Dados). Em 2026, multas já são realidade, e a estrutura mínima de adequação se tornou padrão de mercado — quem não tem está em desvantagem competitiva e em risco regulatório.

Para sites WordPress, a boa notícia é que adequação completa é alcançável com algumas configurações, plugins e documentos. Este guia descreve, de forma prática e sem juridiquês, o que sua empresa precisa fazer hoje para estar em conformidade.

Disclaimer importante: este post é orientação técnica e prática, não consultoria jurídica. Para dúvidas legais específicas (ex.: contratos de fornecedor, casos de incidente), consulte um advogado especialista em LGPD.

O básico da LGPD em uma página

A LGPD se aplica a qualquer tratamento de dados pessoais de pessoa natural no Brasil, independentemente do tamanho da empresa. “Tratamento” inclui coletar, armazenar, usar, transferir ou eliminar.

Dados pessoais são informações que identificam uma pessoa: nome, email, CPF, telefone, IP, cookies de rastreamento, geolocalização, fotos, dados de comportamento de navegação.

Bases legais (motivos pelos quais você pode tratar): consentimento, execução de contrato, obrigação legal, legítimo interesse, e mais. Toda coleta precisa de uma base — não pode ser arbitrária.

Titular é a pessoa cujos dados estão sendo tratados. Tem direitos: acesso, correção, exclusão, portabilidade, revogação.

Controlador é quem decide como tratar (geralmente a empresa dona do site).
Operador é quem trata em nome do controlador (fornecedor terceirizado, hospedagem, ferramenta de marketing).

O que um site WordPress típico coleta (mesmo sem você perceber)

Você pode achar que “meu site não coleta nada”, mas provavelmente ele coleta:

  • IPs de todo visitante (registrados em logs do servidor)
  • Cookies do WordPress (sessão, comentários)
  • Cookies do Google Analytics ou Tag Manager
  • Cookies de pixel do Facebook
  • Email + nome em formulários de contato
  • Email + endereço + CPF se tem WooCommerce
  • Comentários com nome e email

Cada um desses dados ativa obrigações da LGPD.

Os 8 passos práticos de adequação WordPress

Passo 1: Mapear os dados que seu site trata

Antes de adequar, saiba o que coleta. Lista mínima:

  • Formulário de contato — coleta nome, email, telefone?
  • Newsletter — coleta email?
  • Comentários — coleta nome, email, IP?
  • WooCommerce — coleta dados de pagamento, endereço, CPF?
  • Analytics — usa cookies, registra IP, comportamento?
  • Pixel de redes sociais — Facebook, LinkedIn, TikTok?
  • Plugins de chat ao vivo — registram conversas?

Esse mapeamento vira o Registro de Operações de Tratamento de Dados exigido pela LGPD.

Passo 2: Publicar Política de Privacidade

Documento obrigatório. Deve conter:

  • Quem é o controlador (CNPJ, endereço, contato do DPO ou responsável)
  • Quais dados são coletados (lista detalhada)
  • Para que são usados
  • Com quem são compartilhados (Google? Mailchimp? gateway de pagamento?)
  • Por quanto tempo são retidos
  • Direitos do titular e como exercê-los
  • Procedimento para incidentes

Templates prontos: WPLegalPages, Iubenda, Termly geram política básica. Para sites comerciais, revisar com advogado.

No WordPress: Configurações > Privacidade, selecione a página criada. WP cria placeholders para você preencher.

Passo 3: Implementar consentimento de cookies

Banner de cookies não é “decoração” — é mecanismo de consentimento legal. Boas práticas:

  • Mostrar antes de carregar qualquer cookie não essencial
  • Bloquear scripts de terceiros (Analytics, Facebook) até o usuário aceitar
  • Oferecer opções granulares (aceitar todos / só essenciais / personalizar)
  • Registrar o consentimento (com timestamp e IP) para prova posterior
  • Permitir revogação a qualquer momento

Plugins recomendados:

  • Complianz (pago, mas há versão grátis) — robusto, atualiza conforme leis mudam
  • CookieYes (freemium) — interface boa, fácil de configurar
  • Borlabs Cookie (pago) — bloqueio de scripts integrado, popular na Europa
  • Cookie Notice & Compliance (grátis) — simples, sem bloqueio de scripts (limitação)

Passo 4: Adequar formulários

Todo formulário que coleta dado pessoal precisa de:

  • Caixa de consentimento (não pré-marcada — o usuário precisa marcar ativamente)
  • Texto claro do que está aceitando com link para política
  • Mínimo de campos necessários (não pedir CPF se não precisa)
  • Confirmação por email (double opt-in) para newsletters

Exemplo de texto da caixa:
> ☐ Concordo com o tratamento dos meus dados conforme a Política de Privacidade para receber retorno do contato solicitado.

Plugins: WPForms, Fluent Forms, Contact Form 7 — todos têm caixa de consentimento configurável.

Passo 5: Implementar direitos do titular

A LGPD garante que qualquer pessoa pode pedir:

  • Confirmação se você tem dados dela
  • Acesso aos dados
  • Correção de dados incorretos
  • Exclusão (com exceções legais)
  • Portabilidade (entrega em formato estruturado)
  • Anonimização ou bloqueio

No WordPress: Ferramentas > Exportar dados pessoais e Apagar dados pessoais já existem desde WP 4.9.6. Use.

Crie um canal específico no site (formulário ou email dedicado) para pedidos de titulares. Responda em até 15 dias.

Passo 6: Adequar parceiros e operadores

Cada serviço terceirizado que recebe dados é um operador e precisa ter:

  • Contrato de Tratamento de Dados (DPA — Data Processing Agreement)
  • Compromisso de segurança equivalente ao seu
  • Localização de servidores conhecida (transferência internacional tem regras específicas)

Principais operadores em sites WordPress:

  • Hospedagem (KingHost, Hostinger, etc) — geralmente já têm DPA público
  • Email marketing (Mailchimp, ActiveCampaign, Brevo) — DPA disponível
  • Analytics (Google) — DPA do Google nas configurações
  • Pagamento (Stripe, PagSeguro, Mercado Pago) — DPA padrão
  • CDN/WAF (Cloudflare) — DPA disponível

Salve os DPAs e tenha pronto se a ANPD perguntar.

Passo 7: Segurança técnica adequada

A LGPD exige “medidas de segurança aptas a proteger os dados”. Não detalha quais — você precisa implementar o que faz sentido para o risco.

Mínimo para WordPress comercial:

  • HTTPS em todas as páginas
  • Hardening completo (ver post específico)
  • Backup off-site
  • Monitoramento de segurança
  • Controle de acesso (2FA, senhas fortes, princípio do menor privilégio)
  • Atualizações em dia
  • Plano de resposta a incidentes (saber o que fazer se vazar)

Passo 8: Plano de resposta a incidente

Se houver vazamento de dados, a LGPD exige comunicação à ANPD e aos titulares afetados em prazo razoável. Não há multa por vazar (vazamento acontece com todo mundo) — há multa por omitir, demorar ou esconder.

Tenha pronto:

  • Procedimento de detecção (monitoramento ajuda aqui)
  • Equipe responsável (interna ou terceirizada como o Site Seguro)
  • Modelo de comunicação à ANPD (a ANPD tem formulário)
  • Modelo de comunicação aos titulares
  • Registro de tudo o que foi feito

Sobre o DPO (Encarregado)

A LGPD exige um DPO (Data Protection Officer) ou Encarregado. Para microempresas e pequenas empresas, a ANPD aceita figuras mais leves (Resolução CD/ANPD 2/2022). Mas para empresas médias e grandes, é necessário um DPO formal, com contato divulgado no site.

DPO pode ser interno ou terceirizado (DPOaaS — DPO as a Service). Mercado brasileiro tem várias opções a partir de R$ 500/mês.

Erros comuns que custam caro

  1. Política de privacidade copiada de outro site sem revisão — referência a leis que não se aplicam, dados que você não coleta, contatos que não funcionam.
  2. Banner de cookies só visual, sem bloquear scripts — Analytics rodando antes do consentimento = violação.
  3. Formulários sem caixa de consentimento — coleta sem base legal.
  4. Plugins de terceiros sem DPA — você é responsável pelo que o operador faz com os dados.
  5. Backup em conta pessoal (Google Drive pessoal) — mistura dados da empresa com pessoais, sem proteção adequada.
  6. Email transacional sem opt-in — comprar lista de emails e disparar é violação clara.
  7. Sem canal de atendimento ao titular — direito de acesso sem caminho prático para exercer = violação.

Multas reais aplicadas em 2024-2026

A ANPD tem aplicado multas que vão de 2% do faturamento (limitadas a R$ 50 milhões por infração) a sanções como bloqueio de operação. Empresas brasileiras já receberam multas de R$ 14 mil a R$ 7 milhões por incidentes diversos.

Para PMEs, a multa típica é menor — mas o dano de imagem e o tempo desperdiçado em fiscalização supera muito o investimento na adequação.

Como o Site Seguro ajuda com LGPD

O Site Seguro é especialista na camada técnica da LGPD para sites WordPress:

  • Instalação e configuração de plugin de cookies (Complianz/CookieYes)
  • Hardening de segurança que atende ao “medidas adequadas”
  • Backup off-site e monitoramento (necessários para resposta a incidente)
  • Configuração de formulários com consentimento
  • Modelos de Política de Privacidade e Termos de Uso adaptados
  • Auditoria de plugins quanto a coleta de dados

Para a parte jurídica (revisão de DPA, papel do DPO, defesa em fiscalização), trabalhamos em parceria com escritórios especialistas em LGPD — podemos indicar.

Fale com o Site Seguro pelo WhatsApp.

Perguntas frequentes

Site institucional pequeno também precisa se adequar à LGPD?

Sim. A lei se aplica a qualquer tratamento de dado pessoal, independente do tamanho. Site pequeno só não tem obrigação simplificada de DPO formal.

Quanto custa adequar um site WordPress à LGPD?

Camada técnica (plugins, hardening, modelos): R$ 500 a R$ 3.000 dependendo do site. Camada jurídica (revisão por advogado): R$ 1.000 a R$ 5.000. DPO terceirizado: R$ 500 a R$ 2.000/mês.

Posso usar Google Analytics no Brasil?

Sim, desde que (a) tenha banner de consentimento, (b) bloqueie GA até consentimento, (c) tenha DPA com Google ativo, e (d) cite Analytics na política.

Cookie de WhatsApp Click-to-Chat exige consentimento?

Sim, se o widget carrega script de terceiro (WhatsApp Business). Inclua na lista do banner.

O Site Seguro emite parecer técnico sobre adequação?

Sim, podemos emitir relatório técnico de adequação à LGPD para sua empresa apresentar a fornecedores ou em fiscalização.

Conclusão

LGPD não é monstro nem moda passageira. É padrão de mercado em 2026 — e adequar um site WordPress é alcançável em poucos dias se você seguir os 8 passos acima. Comece pelos mais críticos (política de privacidade + banner de cookies + formulários adequados) e expanda.

O Site Seguro cuida da parte técnica para você.

Leia também:

  • Hardening WordPress: 15 ações essenciais
  • Monitoramento 24/7 de site: o que é e como funciona
  • Backup do WordPress: como restaurar seu site após um ataque
Tags de postagem :
Post anterior

Próxima postagem

Fale conosco