Guias Práticos14 min de leitura

Política de Privacidade 2026: Modelos Prontos e Requisitos ANPD

Equipe Confidata·
Compartilhar

A política de privacidade é, para a maioria das organizações, o documento mais visível da conformidade com a LGPD — e, paradoxalmente, um dos mais negligenciados. Em 2026, com a ANPD operando como agência reguladora autônoma (Lei 15.352/2026), com capacidade fiscalizatória ampliada e 75 ações de fiscalização planejadas para o biênio 2026-2027, a política de privacidade deixou de ser formalidade para se tornar evidência primária de conformidade.

Este guia cobre o que mudou, o que a ANPD espera encontrar, os erros mais comuns e modelos atualizados para diferentes contextos.

O que mudou desde as primeiras políticas pós-LGPD

As políticas de privacidade escritas entre 2018 e 2020 — quando a LGPD entrou em vigor — eram, em grande parte, documentos genéricos, muitas vezes traduzidos de templates americanos ou europeus. Desde então, o cenário mudou significativamente:

  1. A ANPD publicou guias orientativos que detalham o que espera encontrar — especialmente o Guia Orientativo sobre Atuação do Encarregado (dezembro 2024), que recomenda a participação do DPO na criação do aviso de privacidade.

  2. A ANPD fiscalizou e sancionou — e a ausência ou inadequação de informações ao titular apareceu como fator agravante em processos administrativos.

  3. A regulamentação avançou — Resolução CD/ANPD nº 18/2024 (encarregado de dados), Resolução nº 15/2024 (comunicação de incidentes), Lei 15.352/2026 (ANPD como agência) criaram novas obrigações que devem estar refletidas na política.

  4. O Mapa de Temas Prioritários 2026-2027 da ANPD incluiu os direitos dos titulares como um dos quatro temas prioritários de fiscalização — e o acesso à informação sobre o tratamento (objeto da política de privacidade) é o direito mais básico.

Aviso de privacidade vs. política de privacidade vs. termos de uso

Esses três documentos são frequentemente confundidos. Cada um tem finalidade e público distintos:

Aviso de privacidade (privacy notice)

O que é: documento voltado para o público externo (titulares de dados) que informa, de forma clara e acessível, como a organização trata seus dados pessoais.

Fundamento legal: Art. 9º da LGPD — o titular tem direito a acesso facilitado às informações sobre o tratamento de seus dados.

Onde publicar: site institucional, aplicativo, ponto de atendimento físico (recepção, loja, consultório).

Conteúdo obrigatório (Art. 9º):

  • Finalidade específica do tratamento
  • Forma e duração do tratamento
  • Identificação do controlador
  • Informações de contato do controlador
  • Informações sobre uso compartilhado de dados
  • Responsabilidades dos agentes que realizarão o tratamento
  • Direitos do titular, com menção explícita ao Art. 18

Política de privacidade (privacy policy)

O que é: documento interno que define as regras, diretrizes e procedimentos que a organização adota para proteger dados pessoais. É dirigido a funcionários, parceiros e fornecedores.

Finalidade: governança interna — estabelecer padrões de conduta para todos que tratam dados pessoais em nome da organização.

Conteúdo típico:

  • Classificação de dados pessoais
  • Regras de coleta, uso, armazenamento e descarte
  • Procedimentos de segurança
  • Gestão de consentimento
  • Gestão de incidentes
  • Treinamento e conscientização
  • Sanções internas por descumprimento

Termos de uso

O que é: documento contratual que rege a relação entre o provedor de um serviço (site, aplicativo) e o usuário. Não é um documento de privacidade — é um contrato.

Conteúdo típico: condições de uso do serviço, limitações de responsabilidade, propriedade intelectual, rescisão.

Relação com privacidade: os termos de uso devem mencionar a política de privacidade, mas não devem substituí-la.

Elementos obrigatórios do Art. 9º

O Art. 9º da LGPD é o fundamento legal do aviso de privacidade. Ele exige que as informações sobre o tratamento sejam disponibilizadas de forma "clara, adequada e ostensiva" sobre:

I — Finalidade específica do tratamento

Não basta dizer "usamos seus dados para melhorar nossos serviços". A finalidade deve ser específica:

  • "Utilizamos seu nome e e-mail para enviar confirmação de agendamento"
  • "Utilizamos seu CPF para emissão de nota fiscal conforme legislação tributária"
  • "Utilizamos seu histórico de navegação para personalizar as recomendações de produtos"

II — Forma e duração do tratamento

Como os dados são tratados (coleta, armazenamento, processamento, compartilhamento) e por quanto tempo. A organização deve informar os prazos de retenção — ou, ao menos, os critérios usados para defini-los.

III — Identificação do controlador

Nome completo da pessoa jurídica, CNPJ e dados de contato. Se houver controladores conjuntos, ambos devem ser identificados.

IV — Informações de contato do controlador

E-mail, telefone ou formulário para que o titular possa exercer seus direitos. A Resolução CD/ANPD nº 18/2024 exige também a publicação dos dados do encarregado (DPO).

V — Informações sobre uso compartilhado

Com quem os dados são compartilhados e com qual finalidade. Exemplos:

  • "Compartilhamos dados de pagamento com a operadora de cartão para processamento da transação"
  • "Compartilhamos dados de entrega com a transportadora para envio do produto"

VI — Responsabilidades dos agentes

Quem é controlador, quem é operador. O titular precisa saber quem decide sobre seus dados e quem apenas executa instruções.

VII — Direitos do titular

Menção explícita aos direitos do Art. 18 da LGPD:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários
  • Portabilidade
  • Eliminação dos dados tratados com consentimento
  • Informação sobre compartilhamento
  • Informação sobre a possibilidade de não consentir e sobre as consequências
  • Revogação do consentimento

Os 5 erros mais comuns em políticas de privacidade

Erro 1: política copiada de outro site

O erro mais frequente — e o mais grave. Uma política de privacidade copiada de outra empresa:

  • Descreve tratamentos que a organização não realiza
  • Omite tratamentos que a organização efetivamente realiza
  • Pode citar legislação estrangeira (GDPR) sem relevância para o contexto brasileiro
  • Não reflete as bases legais específicas da organização

A ANPD pode identificar essa prática ao comparar a política publicada com as atividades reais de tratamento da organização — especialmente durante fiscalizações.

Erro 2: política longa demais e ilegível

Políticas de 15 páginas em linguagem jurídica densa não atendem ao requisito de "forma clara e adequada" do Art. 9º. O titular médio não vai ler 8.000 palavras de termos legais.

Solução: adotar o modelo de política em camadas (layered notice):

  • Camada 1: resumo visual com os pontos principais (1 página, linguagem simples)
  • Camada 2: política completa com todos os detalhes legais

Erro 3: não atualizar quando o tratamento muda

A política de privacidade publicada em 2020 provavelmente não reflete o tratamento de dados de 2026. Novos sistemas, novos fornecedores, novas finalidades — cada mudança relevante deve ser refletida na política.

Gatilhos de atualização:

  • Adoção de novo sistema que coleta dados pessoais
  • Mudança de fornecedor que atua como operador
  • Nova finalidade de tratamento
  • Nova base legal
  • Mudança na regulamentação (nova resolução da ANPD)
  • Incidente de segurança que alterou práticas

Erro 4: não incluir bases legais

Muitas políticas listam finalidades sem mencionar a base legal correspondente. A LGPD exige transparência sobre por que a organização trata os dados — não apenas para quê.

Como corrigir: para cada finalidade, informar a base legal:

  • "Envio de newsletter: base legal — consentimento (Art. 7º, I)"
  • "Emissão de nota fiscal: base legal — cumprimento de obrigação legal (Art. 7º, II)"
  • "Prevenção de fraudes: base legal — legítimo interesse (Art. 7º, IX)"

Erro 5: omitir transferência internacional

Se a organização usa serviços em nuvem com servidores no exterior (AWS, Google Cloud, Azure), ferramentas SaaS internacionais (Slack, Salesforce, HubSpot, Mailchimp) ou compartilha dados com empresas do grupo fora do Brasil, há transferência internacional de dados. A política deve informar:

  • Para quais países os dados são transferidos
  • Qual a garantia utilizada (Art. 33 da LGPD)

Política em camadas: a melhor prática

O modelo de aviso em camadas (layered notice) é recomendado por autoridades de proteção de dados em todo o mundo — e é a forma mais eficiente de atender ao Art. 9º da LGPD.

Camada 1 — Resumo visual

Um resumo de 1 página (ou tela), com linguagem acessível, cobrindo:

COMO USAMOS SEUS DADOS — RESUMO

Quem somos: [Nome da empresa], CNPJ [XX.XXX.XXX/XXXX-XX]
Encarregado (DPO): [Nome], contato: [e-mail]

O que coletamos:
• Dados de cadastro (nome, e-mail, CPF)
• Dados de navegação (cookies, IP)
• Dados de compra (histórico, pagamento)

Para quê:
• Fornecer nossos serviços
• Processar pagamentos
• Enviar comunicações (com seu consentimento)
• Cumprir obrigações legais

Com quem compartilhamos:
• Processadores de pagamento
• Transportadoras (para entrega)
• Autoridades públicas (quando exigido por lei)

Seus direitos: acesso, correção, exclusão, portabilidade,
revogação de consentimento.
Exercer direitos: [e-mail/formulário]

Política completa: [link para camada 2]

Camada 2 — Política completa

Documento detalhado com todas as informações do Art. 9º, organizado por seções claras:

  1. Identificação do controlador e do DPO
  2. Dados pessoais coletados (por categoria)
  3. Finalidades e bases legais (para cada categoria)
  4. Compartilhamento de dados (com quem e por quê)
  5. Transferência internacional (se aplicável)
  6. Cookies e tecnologias de rastreamento
  7. Retenção de dados (prazos por categoria)
  8. Segurança dos dados (medidas adotadas)
  9. Direitos do titular (como exercer)
  10. Alterações na política (como o titular será informado)
  11. Contato do DPO
  12. Data da última atualização

Modelo atualizado para site e e-commerce

# Aviso de Privacidade — [Nome da Empresa]

**Última atualização:** [data]
**Controlador:** [Razão social], CNPJ [XX.XXX.XXX/XXXX-XX]
**Encarregado de Dados (DPO):** [Nome], e-mail: [dpo@empresa.com.br]

## 1. Dados que coletamos

### Dados fornecidos por você
- **Cadastro:** nome, e-mail, CPF, telefone, endereço
- **Compra:** dados de pagamento (processados via [gateway])
- **Atendimento:** mensagens enviadas ao suporte

### Dados coletados automaticamente
- **Navegação:** páginas visitadas, tempo de permanência, cliques
- **Técnicos:** endereço IP, tipo de navegador, sistema operacional
- **Cookies:** [link para política de cookies]

## 2. Para que usamos seus dados

| Finalidade | Dados utilizados | Base legal |
|---|---|---|
| Processar sua compra | Nome, endereço, pagamento | Execução de contrato (Art. 7º, V) |
| Emitir nota fiscal | Nome, CPF, endereço | Obrigação legal (Art. 7º, II) |
| Enviar atualizações de pedido | E-mail, telefone | Execução de contrato (Art. 7º, V) |
| Enviar ofertas e promoções | E-mail | Consentimento (Art. 7º, I) |
| Prevenir fraudes | CPF, IP, histórico | Legítimo interesse (Art. 7º, IX) |
| Melhorar nosso site | Dados de navegação | Legítimo interesse (Art. 7º, IX) |

## 3. Compartilhamento de dados

Compartilhamos seus dados apenas quando necessário:
- **Processador de pagamento:** [nome] — para processar transações
- **Transportadora:** [nome] — para entregar seu pedido
- **Plataforma de e-mail:** [nome] — para enviar comunicações
  (apenas se você consentiu)
- **Autoridades públicas:** quando exigido por lei ou ordem judicial

## 4. Transferência internacional

[Se aplicável:] Utilizamos serviços cujos servidores podem estar
localizados fora do Brasil: [listar serviços e países].
A transferência é realizada com base em [cláusulas contratuais
padrão / consentimento específico / outra garantia do Art. 33].

## 5. Retenção de dados

| Categoria | Prazo | Fundamento |
|---|---|---|
| Dados de compra | 5 anos após a compra | Legislação tributária e consumerista |
| Dados de cadastro | Enquanto a conta estiver ativa | Execução de contrato |
| Dados de navegação | 6 meses | Legítimo interesse |
| Dados de consentimento | Enquanto o consentimento vigir | Art. 8º, §5º |

Após os prazos, os dados são eliminados ou anonimizados.

## 6. Seus direitos

Você pode, a qualquer momento:
- Confirmar se tratamos seus dados
- Acessar seus dados
- Corrigir dados incompletos ou desatualizados
- Solicitar anonimização, bloqueio ou eliminação de dados
  desnecessários
- Solicitar portabilidade
- Revogar consentimento
- Solicitar eliminação dos dados tratados com consentimento

**Como exercer:** envie solicitação para [e-mail do DPO]
ou acesse [formulário]. Responderemos em até 15 dias.

## 7. Segurança

Adotamos medidas técnicas e administrativas para proteger seus
dados, incluindo criptografia, controle de acesso, backup e
monitoramento. Detalhes em nossa Política de Segurança da
Informação [link, se público].

## 8. Alterações

Podemos atualizar este aviso periodicamente. Alterações
significativas serão comunicadas por [e-mail / banner no site].
A data da última atualização está no topo deste documento.

Modelo para app mobile

Para aplicativos, a política deve ser acessível antes da coleta de dados (na tela de cadastro ou no primeiro acesso) e permanentemente disponível nas configurações do app.

Elementos adicionais para apps:

  • Permissões solicitadas (câmera, localização, contatos) e finalidade de cada uma
  • Dados coletados em background (se houver)
  • SDKs de terceiros integrados (analytics, crash reporting, publicidade) e quais dados compartilham
  • Notificações push e como desativá-las
  • Dados armazenados localmente no dispositivo

Modelo para empregador (dados de funcionários)

A política de privacidade voltada para funcionários é frequentemente esquecida — mas empregadores tratam um volume significativo de dados pessoais: dados cadastrais, bancários, de saúde (atestados, exames ocupacionais), biométricos (ponto eletrônico), de dependentes.

Elementos específicos:

  • Base legal principal: execução de contrato de trabalho (Art. 7º, V) e obrigação legal (Art. 7º, II — eSocial, RAIS, FGTS)
  • Dados de saúde ocupacional: base legal — obrigação legal trabalhista (NR-7, PCMSO)
  • Monitoramento (e-mail corporativo, câmeras): informar a base legal e os limites
  • Dados de dependentes: finalidade (plano de saúde, IR) e base legal
  • Retenção pós-desligamento: dados trabalhistas por no mínimo 5 anos (Art. 7º, XXIX da CLF), FGTS por 30 anos

Checklist de revisão de política de privacidade

Completude

  • Identificação completa do controlador (razão social, CNPJ, endereço)
  • Dados do encarregado (DPO) — nome e contato
  • Todas as categorias de dados coletados estão listadas
  • Todas as finalidades de tratamento estão descritas
  • Base legal informada para cada finalidade
  • Compartilhamento de dados detalhado (com quem e por quê)
  • Transferência internacional informada (se aplicável)
  • Prazos de retenção informados (ou critérios)
  • Todos os direitos do Art. 18 mencionados
  • Canal para exercício de direitos claramente indicado
  • Data da última atualização visível

Qualidade

  • Linguagem clara e acessível (evitar juridiquês desnecessário)
  • Documento não é excessivamente longo (camada 1 em 1 página)
  • Não é cópia de outro site (reflete tratamento real)
  • Atualizada nos últimos 12 meses
  • Consistente com as práticas reais da organização
  • Acessível para pessoas com deficiência (contraste, tamanho de fonte)

Disponibilidade

  • Publicada no site institucional (link no rodapé de todas as páginas)
  • Disponível no app (configurações ou menu principal)
  • Disponível em ponto de atendimento físico (se aplicável)
  • Apresentada antes da coleta de dados (cadastro, formulário)
  • Versões anteriores arquivadas (para demonstrar evolução)

Conclusão

A política de privacidade não é um documento que se escreve uma vez e esquece em uma página obscura do site. É um compromisso público de transparência que precisa ser vivo, atualizado e acessível. Em 2026, com a ANPD fiscalizando ativamente e os titulares cada vez mais conscientes de seus direitos, uma política de privacidade inadequada é tanto um risco regulatório quanto um risco reputacional.

O caminho mais eficiente é o modelo em camadas: um resumo acessível para o titular que quer entender rapidamente como seus dados são tratados, e um documento completo para quem precisa de detalhes. Mantenha-o atualizado, certifique-se de que reflete a realidade da organização e publique a data da última revisão.

A Confidata oferece funcionalidades que sustentam a transparência exigida pelo Art. 9º: registro de atividades de tratamento com finalidade e base legal por atividade, gestão de solicitações de titulares com controle de prazo e canal do titular integrado — permitindo que a política de privacidade seja reflexo documentado das práticas reais da organização.

Compartilhar
#LGPD#política de privacidade#aviso de privacidade#Art 9#ANPD#modelo#template

Artigos relacionados

Como criar uma política de privacidade conforme a LGPDGuias Práticos · 14 minLegítimo Interesse na Prática — LIA, Exemplos e LimitesGuias Práticos · 15 minSegurança da Informação e LGPD: O Que o Art. 46 Exige na PráticaGuias Práticos · 15 minComo Elaborar o RIPD (LGPD): Passo a Passo com ModeloGuias Práticos · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista