Preciso de advogado para publicar a versão inicial?

Você pode publicar uma versão operacional inicial bem estruturada e depois validar juridicamente para reduzir risco.

Política de Privacidade para Site PME: Modelo Prático + Checklist

Q: Toda PME com site precisa de política de privacidade?

Se o site coleta ou processa dados pessoais, sim. Isso inclui formulários de contato, newsletter, pixels de mídia e cookies analíticos.

Q: Posso copiar política de outro site?

Não é recomendado. A política precisa refletir as práticas reais do seu negócio, bases legais e fornecedores efetivamente usados.

Se seu site tem formulário, analytics ou pixel de mídia, você já processa dados pessoais. Sem política de privacidade clara, você cria risco jurídico e operacional desnecessário.

Quando a política de privacidade é obrigatória

Na prática, quase toda PME com presença digital precisa. Basta haver coleta de dados identificáveis (nome, e-mail, telefone, IP, identificadores de cookie) para a transparência prevista na LGPD ser exigida.

Estrutura mínima recomendada (versão operacional)

1) Quem é o controlador

Identifique empresa, CNPJ e canal de contato para assuntos de privacidade.

2) Quais dados são coletados

Liste por tipo: cadastro, atendimento, navegação, pagamento, suporte.

3) Finalidade e base legal

Explique por que cada dado é tratado e sob qual fundamento (execução de contrato, obrigação legal, legítimo interesse, consentimento etc.).

4) Compartilhamento com terceiros

Informe fornecedores relevantes (CRM, e-mail marketing, analytics, gateway de pagamento, hospedagem).

5) Direitos dos titulares

Descreva como solicitar acesso, correção, portabilidade, anonimização e exclusão.

6) Retenção e segurança

Defina prazo de retenção e controles básicos de proteção (MFA, acesso mínimo, backup, criptografia quando aplicável).

7) Cookies e rastreamento

Separe cookies essenciais de analíticos/marketing e detalhe forma de gestão de consentimento.

8) Atualizações da política

Inclua data de revisão e forma de notificação para mudanças relevantes.

Modelo enxuto (copiar e adaptar)

Controlador: [Nome da empresa], CNPJ [xx], contato: [email].

Dados coletados: [lista objetiva].

Finalidades: [atendimento, proposta, operação da conta, cobrança, segurança].

Bases legais: [execução de contrato, obrigação legal, consentimento, legítimo interesse].

Compartilhamento: [fornecedores e finalidade].

Direitos do titular: solicitações via [canal].

Retenção: [prazo por categoria].

Segurança: controles administrativos e técnicos proporcionais ao risco.

Atualizações: política revisada periodicamente.

Checklist técnico de publicação (site PME)

Página publicada com link no rodapé e menus relevantes
Canal de atendimento de privacidade ativo e testado
Inventário mínimo de cookies mapeado
Formulários com aviso claro de tratamento de dados
Consentimento para cookies não essenciais (quando aplicável)
Data da última revisão visível
Processo interno para responder solicitações de titulares

Erros comuns que aumentam risco

Política genérica sem refletir ferramentas reais do site
Mencionar “não compartilhamos dados” e usar diversos terceiros
Não atualizar política após mudanças de stack
Canal de contato inativo ou sem SLA interno

Próximo passo recomendado

Depois da política, implemente plano de resposta a incidentes e revisão trimestral de consentimento/cookies.

Ver guia LGPD para PMEs →

Perguntas frequentes

Toda PME com site precisa de política de privacidade?

Se houver tratamento de dados pessoais, sim.

Posso copiar política de outro site?

Não. Precisa refletir práticas reais do seu negócio.

Posso publicar uma versão inicial e validar depois?

Sim. Melhor uma versão realista e funcional agora do que ficar sem nada.