LGPD para desenvolvedores: checklist de conformidade
A Lei Geral de Proteção de Dados (Lei 13.709/2018) exige que aplicações web protejam dados pessoais dos usuários. Este guia mapeia os artigos mais relevantes para ações técnicas concretas que você pode implementar e verificar com o SAFETAGGY.
O que a LGPD exige de aplicações web
A LGPD se aplica a qualquer aplicação que colete, armazene ou processe dados pessoais de indivíduos no Brasil. Para desenvolvedores, os artigos mais impactantes são:
- Art. 7 — Bases legais para tratamento de dados
- Art. 8 — Requisitos de consentimento
- Art. 9 — Direito à informação do titular
- Art. 46 — Medidas de segurança técnicas
Art. 7 — Bases legais
O tratamento de dados pessoais só pode ocorrer com base em uma das hipóteses do Art. 7. Para aplicações web, as mais comuns são:
| Base legal | Quando usar | Exemplo |
|---|---|---|
| Consentimento (I) | Cookies de marketing, newsletters | Banner de cookies com opt-in |
| Execução de contrato (V) | Dados necessários para prestar o serviço | E-mail e senha para login |
| Legítimo interesse (IX) | Analytics essenciais, prevenção de fraude | Logs de segurança |
Art. 8 — Consentimento
O consentimento deve ser livre, informado, inequívoco e para finalidades determinadas. Na prática, isso significa:
- Checkboxes desmarcados por padrão (opt-in, não opt-out)
- Texto claro explicando para que os dados serão usados
- Possibilidade de revogar o consentimento a qualquer momento
- Registro da data e hora do consentimento
<!-- Exemplo de checkbox de consentimento -->
<label>
<input type="checkbox" name="consent" required />
Li e concordo com a
<a href="/privacidade">Política de Privacidade</a>
e os <a href="/termos">Termos de Uso</a>.
</label>
<!-- Cookie banner com opt-in -->
<div id="cookie-banner">
<p>Usamos cookies de analytics para melhorar sua experiência.</p>
<button onclick="acceptCookies()">Aceitar</button>
<button onclick="rejectCookies()">Recusar</button>
</div>Art. 9 — Direito à informação
O titular deve ter acesso facilitado às informações sobre o tratamento. Sua aplicação precisa:
- Política de privacidade acessível e em linguagem clara
- Identificação do controlador e do DPO (encarregado)
- Finalidades específicas do tratamento
- Direitos do titular (acesso, correção, exclusão, portabilidade)
Art. 46 — Medidas de segurança
Os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais. Para aplicações web, isso inclui:
// Headers de segurança essenciais para LGPD
Strict-Transport-Security: max-age=31536000; includeSubDomains
Content-Security-Policy: default-src 'self'
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Referrer-Policy: strict-origin-when-cross-originO SAFETAGGY verifica automaticamente todos esses headers e reporta os que estão ausentes ou mal configurados.
Checklist de conformidade
Use esta tabela como referência para verificar a conformidade da sua aplicação:
| Artigo | Requisito | Como verificar | SAFETAGGY detecta |
|---|---|---|---|
| Art. 7 | Base legal definida | Documentar no registro de tratamento | - |
| Art. 8 | Consentimento para cookies | Banner de cookies com opt-in | Sim |
| Art. 9 | Política de privacidade | Página acessível com link no footer | Sim |
| Art. 9 | Informações do DPO | E-mail de contato visível | Sim |
| Art. 46 | HTTPS obrigatório | Certificado SSL/TLS válido | Sim |
| Art. 46 | Headers de segurança | CSP, HSTS, X-Frame-Options | Sim |
| Art. 46 | Trackers de terceiros | Auditoria de scripts externos | Sim |
| Art. 46 | Dados em formulários | Autocomplete desabilitado em campos sensíveis | Sim |
Relatório de conformidade
O SAFETAGGY gera automaticamente um relatório de conformidade após cada varredura, mapeando os achados para requisitos regulatórios como LGPD, PCI-DSS e OWASP Top 10. Use esse relatório para demonstrar diligência técnica à ANPD em caso de incidente.
Verifique sua conformidade com a LGPD
Execute uma varredura e veja quais requisitos da LGPD sua aplicação já atende.
Iniciar varredura