Por que LGPD não é só uma página de privacidade

A LGPD é a maior mudança regulatória que o web brasileiro viveu desde os anos 90, mas você dificilmente nota olhando os sites por aí. A maioria coloca um link "Política de Privacidade" no rodapé, copia um template gringo adaptado, adiciona "atualizado conforme a LGPD" no título — e acha que está em dia.

Não está.

O que a LGPD realmente exige (visto de fora)

Quando um auditor (humano ou automatizado) olha o seu site, ele consegue verificar cinco coisas sem precisar de acesso interno:

1. Banner de consentimento antes de tracking

Se o site carrega Google Analytics, Meta Pixel ou qualquer cookie de marketing antes do usuário aceitar, o consentimento é inválido. A LGPD exige opt-in prévio pra dados coletados com base no consentimento (art. 8º).

Como o Sentinela detecta: o probe LGPD faz um request ao site sem aceitar nada e verifica se cookies de tracking aparecem na resposta inicial. Se aparecem, é finding lgpd.consent.cookies_before_banner.

2. Política de Privacidade acessível

Não basta existir — tem que estar linkado a partir do rodapé em todas as páginas, ser acessível sem login, e cobrir os pontos formais: dados coletados, finalidades, bases legais, retenção, direitos do titular.

3. Identificação do controlador

Quem é a empresa? Razão social, CNPJ, endereço. Esconder isso atrás de uma marca fantasia é cinza legal — o titular precisa saber pra quem está reclamando.

4. Contato do encarregado (DPO)

O art. 41 obriga você a indicar um encarregado de proteção de dados, com canal de comunicação publicamente acessível. Não basta colocar juridico@empresa.com — deve ter referência explícita a "DPO" ou "Encarregado".

5. Direitos do titular

O art. 18 dá ao titular oito direitos: confirmação, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento, revogação de consentimento. A política precisa explicar como exercer cada um.

O que a LGPD não exige (e muita gente exagera)

• Não exige ANPD-friendly tracking icon — isso é zelo, não obrigação
• Não exige banner com "Aceitar tudo / Rejeitar tudo" simétricos — embora seja boa prática
• Não exige criptografia AES-256 específica — só "medidas técnicas razoáveis"
• Não exige relatório anual público — só pra controladores de risco alto e quando solicitado pela ANPD

Como verificar o seu site agora

Você pode rodar uma auditoria gratuita do Sentinela e ver os findings da camada LGPD. O probe não substitui um advogado, mas pega os erros formais que 80% dos sites comete:

• Política inexistente ou broken link
• DPO ausente ou com contato genérico
• Tracking antes do banner
• Banner sem opção real de recusar
• Falta de informação sobre direitos

E se você não está em conformidade?

A ANPD aplica sanções administrativas que vão de advertência até multa de 2% do faturamento (limitada a R$ 50 milhões por infração). Mas o risco real e mais comum não é multa — é dano reputacional: titular reclama publicamente, vira post no LinkedIn, vira ação coletiva, vira ticket de suporte que consome tempo.

A maioria dos casos sancionados pela ANPD até hoje foi por incidente de segurança não comunicado (art. 48) ou por negativa de exercício de direito. Ambos detectáveis externamente: vazamento ocorre porque o site expõe .env (também detectado pelo Sentinela), e direito negado vira reclamação pública.

Conclusão prática

LGPD não é uma página. É uma postura observável de fora. Faça três coisas hoje:

1. Coloque o banner de cookies funcional (impede tracking antes do aceite)
2. Escreva uma política real (não copie template) com nome do DPO
3. Audite externamente o seu próprio site — antes que alguém audite por você

O resto é detalhe jurídico que você ajusta com o tempo. O básico, qualquer scanner de ASM externo identifica em 30 segundos.