Termos de uso e política de privacidade: o que não pode faltar no seu site
Toda empresa que coleta dados pessoais pela internet precisa documentar como trata essas informações, e o uso de modelos genéricos copiados de outros sites é uma das principais fontes de exposição jurídica diante da Lei Geral de Proteção de Dados.
A presença digital de qualquer negócio, de uma loja virtual a um simples formulário de contato, implica coleta de dados pessoais. Nome, e-mail, telefone, endereço de IP e histórico de navegação são informações protegidas pela Lei 13.709/2018, conhecida como LGPD. A norma exige que o tratamento desses dados seja informado ao titular de forma transparente e que tenha uma base legal definida.
O cumprimento dessa exigência se materializa em documentos específicos. A política de privacidade, o termo de uso e o aviso de cookies deixaram de ser formalidades decorativas para se tornarem peças centrais da conformidade. Quando mal elaborados, transformam-se em prova contra a própria empresa em eventual fiscalização ou ação judicial.
Por que modelos genéricos representam um risco real
É comum que pequenas e médias empresas recorram a textos prontos, encontrados em buscadores ou copiados de concorrentes. A prática parece econômica, mas costuma sair cara. Um documento que descreve um tratamento de dados diferente daquele efetivamente praticado pela empresa cria uma contradição perigosa entre o que se promete e o que se faz.
Essa divergência tem consequências concretas. Se a política afirma que os dados não são compartilhados com terceiros, mas a empresa utiliza ferramentas de marketing que transmitem informações a outras plataformas, há uma declaração falsa ao titular. A Autoridade Nacional de Proteção de Dados, a ANPD, pode interpretar a conduta como infração ao dever de transparência previsto na lei.
Modelos copiados também ignoram particularidades do negócio. Um e-commerce trata dados de pagamento e endereço de entrega; uma clínica coleta dados sensíveis de saúde; uma plataforma educacional pode lidar com informações de menores. Cada cenário exige cláusulas próprias, bases legais distintas e medidas de segurança proporcionais ao risco.
Cláusulas essenciais da política de privacidade
A política de privacidade é o documento que informa ao titular como seus dados são tratados. Para cumprir o artigo 9º da LGPD, ela precisa responder, em linguagem acessível, a um conjunto de perguntas mínimas sobre o ciclo de vida da informação.
O primeiro ponto é identificar o controlador, ou seja, a pessoa física ou jurídica responsável pelas decisões sobre o tratamento. O documento deve trazer a denominação da empresa e um canal de contato funcional, normalmente o do encarregado pela proteção de dados, figura também chamada de DPO.
Em seguida, é indispensável descrever quais dados são coletados e com qual finalidade. A finalidade precisa ser específica e legítima. Não basta afirmar que os dados servem para “melhorar a experiência do usuário”; a empresa deve dizer, por exemplo, que o e-mail será usado para envio de confirmação de compra e comunicação sobre o pedido.
A base legal de cada tratamento é outro elemento obrigatório. A LGPD prevê dez hipóteses que autorizam o uso de dados, entre elas o consentimento, o cumprimento de obrigação legal e o legítimo interesse. Confundir consentimento com legítimo interesse é um erro frequente que fragiliza toda a estrutura do documento.
A política também deve esclarecer o tempo de retenção dos dados, as situações de compartilhamento e os direitos do titular. Entre esses direitos estão o acesso, a correção, a eliminação e a portabilidade das informações, todos exercíveis por meio do canal de atendimento informado.
Um documento de privacidade só protege a empresa quando descreve exatamente o que ela faz com os dados, não o que seria conveniente declarar.
A Autoridade Nacional de Proteção de Dados, a ANPD, pode interpretar a conduta como infração ao dever de transparência previsto na lei.
O termo de uso e o aviso de cookies
Enquanto a política de privacidade trata da proteção de dados, o termo de uso regula a relação contratual entre a empresa e quem acessa o site ou aplicativo. Ele define regras de utilização, responsabilidades, limites de uso do conteúdo e condições de cadastro. Em plataformas de venda, disciplina pagamento, troca, devolução e prazos.
Os dois documentos se complementam, mas não se confundem. Reuni-los em um único texto confuso prejudica a clareza e dificulta a comprovação de que o titular foi informado sobre o tratamento de seus dados de maneira destacada, como a lei valoriza.
O aviso de cookies merece atenção própria. Cookies e tecnologias similares coletam dados de navegação e, em muitos casos, dependem de consentimento prévio do usuário. O banner que aparece no primeiro acesso deve permitir aceitar, recusar e configurar as categorias de cookies, sem que a recusa inviabilize a navegação básica.
Bloquear o conteúdo até que o usuário aceite todos os cookies é uma prática questionável, pois o consentimento precisa ser livre. A empresa que força a aceitação corre o risco de ter o consentimento considerado inválido, o que derruba a base legal do tratamento associado.
Linguagem clara e o dever de transparência
A LGPD exige que as informações sobre o tratamento sejam prestadas de forma clara, adequada e ostensiva. Esse comando afasta o texto rebuscado e cheio de remissões cruzadas que, na prática, ninguém lê. A transparência não se mede pela quantidade de páginas, e sim pela compreensão real do titular.
Escrever com clareza significa preferir frases curtas, evitar jargão técnico desnecessário e organizar o conteúdo em seções com títulos objetivos. Quando um termo jurídico é inevitável, convém explicá-lo na primeira vez em que aparece. Um glossário ou uma versão resumida no topo do documento ajudam o leitor leigo.
Essa preocupação não é meramente estética. Em uma fiscalização, a clareza do documento integra a avaliação sobre o cumprimento do dever de informação. Textos deliberadamente obscuros podem ser lidos como tentativa de ocultar práticas, agravando a responsabilidade da empresa.
Passos práticos para estruturar a documentação
O ponto de partida não é a redação, e sim o mapeamento. Antes de escrever qualquer cláusula, a empresa deve levantar todos os dados que coleta, em que pontos do site isso ocorre, com quais ferramentas e para quais finalidades. Esse inventário, chamado de mapeamento de dados, é a base de todo o restante.
Com o mapeamento em mãos, define-se a base legal de cada tratamento e identificam-se os compartilhamentos com terceiros, como provedores de hospedagem, gateways de pagamento e ferramentas de análise. Só então o documento passa a refletir a realidade, e não uma ficção conveniente.
O terceiro passo é a revisão periódica. Sempre que a empresa adota uma nova ferramenta, muda um processo ou passa a oferecer um serviço, a documentação precisa ser reavaliada. Uma política congelada no tempo perde aderência aos fatos e volta a expor o negócio ao mesmo risco dos modelos genéricos.
Perguntas Frequentes
Minha empresa é pequena e tem poucos clientes. Ainda preciso de política de privacidade?
Sim. A LGPD não isenta pequenos negócios da obrigação de informar como tratam dados pessoais. O porte da empresa influencia a proporcionalidade das medidas de segurança e pode flexibilizar certos procedimentos, conforme orientação da autoridade, mas o dever de transparência permanece. Qualquer site que coleta nome e e-mail por um formulário já realiza tratamento de dados e precisa documentar essa atividade de forma adequada à sua realidade.
Posso usar o mesmo documento da matriz para o site brasileiro de uma empresa estrangeira?
Não diretamente. Documentos elaborados sob legislações estrangeiras, como o regulamento europeu, partem de conceitos parecidos, mas não idênticos aos da lei brasileira. As bases legais, os direitos do titular e a estrutura da autoridade fiscalizadora têm particularidades próprias. O ideal é adaptar o conteúdo à LGPD, traduzindo não apenas o idioma, mas também os institutos jurídicos para o ordenamento nacional, sob pena de criar lacunas de conformidade.
Com que frequência devo revisar a política de privacidade do site?
Não existe prazo fixo na lei, mas a revisão deve acompanhar as mudanças reais do negócio. Recomenda-se uma análise sempre que a empresa adota nova ferramenta de coleta, altera finalidades de uso ou passa a compartilhar dados com novos parceiros. Mesmo sem mudanças aparentes, uma verificação anual é uma prática prudente, pois mantém o documento alinhado às orientações mais recentes da autoridade e à evolução das práticas de mercado.
As informações deste artigo são de caráter informativo e não substituem a consulta a um advogado especializado. Cada caso possui particularidades que exigem análise individualizada.
Base legal citada
Leia o texto integral e atualizado no CM Legis:
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.






