Como este tema funciona no porte da sua empresa
Aviso simples (1 parágrafo): "Coletamos seu CPF para emitir nota fiscal (obrigação legal) e email para contato sobre promoções (você pode recusar)". Nenhuma complexidade.
Aviso documentado (1-2 páginas): listas bases legais por tipo de dado. Oferece opção de não receber marketing. Responde em 30 dias se cliente pedir acesso a seus dados.
Aviso detalhado, política de privacidade completa, plataforma de gerenciamento de consentimento, auditoria anual de conformidade.
Aviso de privacidade é comunicação clara ao cliente sobre o que você faz com os dados dele: quais dados coleta, por quê coleta (base legal), por quanto tempo guarda, e direitos dele. Não é documento jurídico; é comunicação honesta.
Diferença: aviso de privacidade vs política de privacidade
Aviso de privacidade: Comunicação ao cliente (simples, clara, legível). Exemplo: "Coletamos seu CPF para nota fiscal (obrigação legal). Guardamos por 5 anos. Você pode acessar, corrigir ou deletar. Contato: [email]".
Política de privacidade: Governança interna (detalhe, jurídico, processo). Como trata dados, quem acessa, como protege, o que faz em caso de vazamento.
Aviso é para cliente. Política é para você. LGPD exige ambos.
As 6 bases legais conforme LGPD: como fundamentar coleta
1. Consentimento: Cliente concorda explicitamente. Exemplo: "Posso enviar email sobre promoções?" Cliente marca "sim". Regra: opt-in (cliente escolhe receber), não opt-out (é obrigatório por padrão).
2. Execução de contrato: Você prometeu algo ao cliente e precisa de dados para cumprir. Exemplo: "Para entregar seu produto, preciso do seu endereço". Base legal automática; não precisa de consentimento separado.
3. Obrigação legal: Lei exige que você coleta. Exemplo: CPF para nota fiscal, dados de funcionário para CTPS. Não é consentimento; é lei.
4. Proteção de vida: Emergência médica. Exemplo: "Paciente tem alergia a X", você usa dados para salvar vida. Raro em PME.
5. Exercício de direito: Você coleta para se defender em juízo. Exemplo: Email de cliente com reclamação é guardado como evidência. Raro em PME.
6. Interesse legítimo: Você coleta para interesse legítimo (não abusivo). Exemplo: análise de fraude, prevenção de roubo. Aplicável com cuidado.
Consentimento prático: como pedir de forma legal
Informado: Cliente sabe o que está concordando. Não é "consentimento genérico para tudo". É específico: "seu email será usado para enviar proposta" (consentimento informado). "Seu email será usado para o que quisermos" (ilegal).
Livre: Não é obrigatório. Se você condiciona "só vendo se você marcar 'receber email'", é ilegal (consentimento coagido). Deve haver alternativa: "quer receber email? Não, obrigado".
Específico: Um consentimento por finalidade. Consentimento de email não é consentimento de SMS. Se quer ambos, pede dois.
Explícito: Opt-in (cliente marca), não opt-out (vem marcado, cliente desmarcar). "Mandar email sim/não" é opt-in (correto). "Não enviar email (desmarca se não quer)" é opt-out (arriscado, pode ser visto como coagido).
Prática: checkbox no cadastro: "Sim, quero receber emails sobre promoções" (vazin por padrão, cliente marca se quer). Correto.
Prazo de retenção: por quanto tempo guardar cada dado
CPF de cliente que comprou: Enquanto há relação jurídica (3-5 anos pós-compra). Depois, obrigação de deletar (LGPD).
Email para marketing: Enquanto cliente não sai da lista (opt-out). Se pede para sair, delete imediatamente.
Dados de funcionário desligado: 5-10 anos (por lei trabalhista). Guarda para defesa em juízo.
Registro de contato (email): Enquanto há relação comercial. Depois, pode deletar (ou guardar em arquivo morto).
Regra geral: "guarde o mínimo necessário pelo máximo de tempo necessário". Depois, delete.
Compartilhamento com terceiros: quando é legal
Com processador: Você contrata consultoria para análise de dados do cliente. Processador = parceiro contratado. Precisa de contrato Data Processing Addendum (DPA). Cliente não precisa de novo consentimento.
Venda de dados a terceiro: Você quer vender emails de cliente para agência de marketing. ILEGAL sem novo consentimento. Se quer vender, pede: "Posso compartilhar seu email com parceiros? Sim/Não".
Vazamento involuntário: Seus dados foram hackeados e vazaram. Obrigação: notificar ANPD (Autoridade Nacional) + notificar cliente + investigar.
Direitos do titular: o que cliente pode pedir
Acessar: "Quais dados você tem sobre mim?" Obrigação: responder em 30 dias com cópia completa.
Corrigir: "Meu telefone está errado, arruma para mim". Obrigação: corrigir.
Deletar (direito ao esquecimento): "Quero que delete meus dados". Você DEVE deletar (exceto se lei exige guardar). 30 dias para fazer.
Portar: "Quero meus dados em formato aberto para levar para outro fornecedor". Você DEVE fornecer em XML ou CSV.
Se opor: "Não quero que você use meus dados para X". Você DEVE respeitar.
Prática: cria email de contato na política ("[email protected]") e responde em 30 dias.
Erros comuns em aviso de privacidade
Erro 1: Copiar de Google/Facebook. Políticas de giga empresas não funcionam para PME. Adapte para seu negócio real.
Erro 2: Base legal errada. Você marca "consentimento" quando é "contrato". Resultado: cliente pode revogar consentimento, você perde base legal. Seja preciso.
Erro 3: Não permitir que cliente se opte. Você envia email automático sem opção de sair (só sai se reclama). LGPD exige opção clara em cada email ("clique aqui para sair da lista").
Erro 4: Não respeitar prazo de deleção. Cliente pede para deletar, você não faz. ANPD pode multar.
Erro 5: Linguagem jurídica demais. Cliente não entende "processamento de dados pessoais". Diga: "vamos usar seu email para enviar nota fiscal".
Sinais de que sua privacidade está desorganizada
- Você tem política de privacidade copiada de internet, não adaptada para seu negócio
- Cliente não sabe por que você pediu o CPF ou por quanto tempo guarda
- Email para marketing é enviado para todos, sem opção de sair
- Você compartilhava dados de cliente com parceiro sem avisar cliente
- Se cliente pedir "por que você tem meu telefone?", você não sabe responder
- Você deleta dados apenas quando cliente pede (não porque sabe o prazo)
- Consentimento de cliente é verbal ou não-documentado
Caminhos para organizar privacidade
Mapeie que tipos de dados coleta e por quê (CPF = contrato, email = marketing + consentimento). Escreva aviso simples no site. Ofereça opt-out de marketing.
- Tempo: 2-3 horas.
- Resultado: Aviso básico implementado.
Consultoria LGPD monta aviso + política, treina time em resposta a cliente, revisa processos.
- Tipo de fornecedor: Consultoria LGPD, consultoria jurídica.
- Resultado: Documentação completa, time treinado, conformidade checada.
Precisa organizar privacidade e LGPD?
oHub conecta você com consultores LGPD que já ajudaram centenas de PMEs a estar em conformidade. Sem custo inicial, sem compromisso.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Preciso de aviso de privacidade no meu site?
Se coleta email, CPF, telefone, qualquer dado pessoal, SIM. LGPD obriga. Aviso pode ser simples (1 parágrafo em site), mas obrigatório.
Qual diferença entre aviso e política?
Aviso é para cliente (simples). Política é interna (detalhada). Ambos obrigatórios conforme LGPD.
Posso usar modelo de internet?
Como base, sim. Mas DEVE personalizar para seu negócio (dados que coleta, bases legais, tempo de guarda).
Consentimento é só checkbox?
Checkbox é forma, não é tudo. Consentimento DEVE ser: informado (cliente sabe), livre (não coagido), específico (por finalidade), explícito (opt-in). Checkbox ok-in marcado por padrão (opt-out) é insuficiente.
Por quanto tempo guardo email de cliente?
Enquanto há relação comercial (ativa ou em potencial). Se cliente pede para sair da lista, delete imediatamente. Se cliente é inativo, pode deletar após 1-2 anos.
Posso vender dados de cliente?
NÃO, sem novo consentimento. Se quer vender, pede: "Posso compartilhar seu email com parceiros de marketing? Sim/Não". Cliente pode dizer não.