Checklist completa de conformidade com o GDPR para donos de sites (com passos práticos e foco em WordPress)

O Regulamento Geral sobre a Proteção de Dados (GDPR) continua a ser uma das legislações de privacidade mais abrangentes do mundo. Se tens um blog, um e-commerce, uma landing page com formulários, ou um SaaS, há um ponto que convém assumir logo: se processas dados pessoais de residentes da União Europeia, tens de cumprir — mesmo que a tua empresa esteja fora da UE.

O impacto de falhar pode ser sério: o regulamento prevê coimas até €20 milhões ou 4% do volume de negócios anual global, consoante o que for mais elevado. Abaixo vais encontrar uma checklist completa, organizada por áreas, com referências diretas a artigos do GDPR e um bloco final com passos práticos para implementação (incluindo considerações específicas para WordPress).

O que é o GDPR (e quando se aplica)

O GDPR (General Data Protection Regulation) é uma lei de proteção de dados aplicada pela União Europeia desde 25 de maio de 2018. Define regras claras para recolher, usar, armazenar e partilhar dados pessoais. E tem um detalhe que apanha muita gente: aplica-se dentro e fora da UE sempre que exista tratamento de dados pessoais de residentes na UE.

Entende o teu papel: Controller, Processor e Data Subject

Antes de olhares para tarefas técnicas (cookies, formulários, logs), tens de perceber que “papel” a tua organização assume no tratamento. No GDPR há três papéis-chave — e uma mesma empresa pode acumular mais do que um, dependendo do contexto.

• Data Controller (Responsável pelo tratamento): decide porquê e como os dados pessoais são tratados. É quem carrega a responsabilidade principal de conformidade.
• Data Processor (Subcontratante): trata dados pessoais em nome de um controller (por exemplo, um fornecedor que processa pedidos, envia emails, aloja dados). Tem obrigações próprias e tem de aplicar salvaguardas técnicas e organizativas.
• Data Subject (Titular dos dados): a pessoa cujos dados são recolhidos e tratados. O GDPR existe para proteger os direitos desta pessoa.

Os 7 princípios do GDPR (a base de tudo)

Se tiveres de tomar decisões rápidas (que dados recolher, quanto tempo guardar, como pedir consentimento), volta sempre a estes princípios — são a “bússola” do regulamento:

1. Licitude, lealdade e transparência: tratar dados de forma legal e informar claramente como serão usados.
2. Limitação das finalidades: recolher dados apenas para fins específicos e legítimos.
3. Minimização dos dados: recolher apenas o mínimo necessário.
4. Exatidão: manter dados corretos e atualizados.
5. Limitação da conservação: não guardar dados por mais tempo do que o necessário.
6. Integridade e confidencialidade: proteger contra acesso não autorizado com medidas de segurança adequadas.
7. Responsabilização (accountability): conseguir demonstrar que estás em conformidade.

Checklist completa de conformidade com o GDPR

1) Dados (inventário, fluxos e política de privacidade)

A tua empresa tem uma lista de todos os tipos de informação pessoal que detém, a origem, com quem partilha, o que faz com isso e por quanto tempo conserva

Aplica-se a: Data Controller, Data Processor

Isto é um inventário dos tipos efetivos de dados (as “colunas”) que estás a guardar: por exemplo, nome, número de identificação, morada, email, IP, etc. Para cada tipo, documenta a origem, as entidades com quem partilhas, a finalidade e o período de retenção.

Referência: GDPR Article 30 – Records of processing activities

A tua empresa tem uma lista dos locais onde guarda dados pessoais e de como os dados circulam entre eles

Aplica-se a: Data Controller, Data Processor

Não é só “a base de dados MySQL”. Inclui também armazenamento offline (por exemplo, papel), ferramentas de suporte, CRMs, plataformas de email marketing, serviços de analytics, logs do servidor, etc. O objetivo aqui é mapear onde os dados estão e por onde passam.

Referência: GDPR Article 30 – Records of processing activities

A tua empresa tem uma política de privacidade publicamente acessível que descreve os processos relacionados com dados pessoais

Aplica-se a: Data Controller, Data Processor

A política deve cobrir (ou apontar via links) os processos de tratamento, incluindo os tipos de dados pessoais que deténs e onde os manténs. Na prática, isto tem de ser fácil de encontrar no site e escrito para humanos, não para advogados.

Referência: GDPR Article 30 – Records of processing activities

A política de privacidade inclui uma base legal que explique porque é que a empresa precisa de tratar dados pessoais

Aplica-se a: Data Controller

Não chega dizer “para melhorar a experiência”. Tens de indicar uma base legal para o tratamento (por exemplo, execução de contrato).

Referência: GDPR Article 6 – Lawfulness of processing

2) Accountability & gestão (responsáveis, formação, contratos e incidentes)

A tua empresa nomeou um Data Protection Officer (DPO)

Aplica-se a: Data Controller, Data Processor

O DPO (Encarregado de Proteção de Dados) não é obrigatório em todos os casos. Só é exigido em três cenários:

1. O tratamento é feito por uma autoridade ou organismo público, exceto tribunais no exercício da função jurisdicional
2. As atividades nucleares do negócio exigem, pela natureza/escala/finalidade, monitorização regular e sistemática dos titulares em larga escala
3. As atividades nucleares incluem tratamento em larga escala de categorias especiais de dados (dados sensíveis) nos termos do Article 9 e dados relativos a condenações penais/infrações nos termos do Article 10

Quando é obrigatório, o DPO deve conhecer as orientações do GDPR e também os processos internos que envolvem dados pessoais.

Referência: GDPR Article 37 – Designation of the data protection officer

Existe sensibilização dos decisores sobre as orientações do GDPR

Aplica-se a: Data Controller, Data Processor

Quem decide features, integrações, tracking, retenção e tooling tem de ter conhecimento atualizado sobre proteção de dados — porque “privacy by design” começa antes do código.

Referência: GDPR Article 25 – Data protection by design and by default

A segurança técnica está atualizada

Aplica-se a: Data Controller, Data Processor

Especialmente em empresas SaaS, faz sentido usar checklists de segurança como ponto de partida para garantir medidas técnicas adequadas.

Referência: GDPR Article 25 – Data protection by design and by default

A equipa foi treinada para estar consciente de proteção de dados

Aplica-se a: Data Processor

Uma grande fatia das vulnerabilidades envolve a colaboração involuntária de alguém com acesso a sistemas internos. O treino tem de cobrir riscos e boas práticas (phishing, acessos, partilhas indevidas, etc.).

Referência: GDPR Article 25 – Data protection by design and by default

Existe uma lista de sub-processors e a política de privacidade menciona a utilização desses sub-processors

Aplica-se a: Data Processor

Se recorres a subcontratantes (sub-processors) para cumprir o serviço, os clientes têm de ser informados disso — e o consentimento deve ocorrer via aceitação da política de privacidade.

Referência: GDPR Article 28 – Processor

Se operas fora da UE, existe um representante na UE

Aplica-se a: Data Controller, Data Processor

Se a empresa está fora da UE mas recolhe dados de cidadãos da UE, deve nomear um representante num Estado-Membro. Essa pessoa deve lidar com matérias relacionadas com o tratamento e servir de ponto de contacto para autoridades locais.

Referência: GDPR Article 27 – Representatives of controllers or processors not established in the Union

As violações de dados pessoais são reportadas à autoridade local e aos titulares afetados

Aplica-se a: Data Controller, Data Processor

Uma violação de dados pessoais deve ser reportada em 72 horas à autoridade de controlo. O reporte deve indicar que dados foram perdidos, consequências e contramedidas aplicadas. A menos que os dados expostos estejam cifrados/encriptados, também deves notificar o titular (data subject) cujos dados foram comprometidos.

Referências: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

Existem contratos com todos os data processors com quem partilhas dados

Aplica-se a: Data Controller

O contrato deve ter instruções explícitas sobre armazenamento/tratamento. Deve cobrir: objeto e duração do tratamento; natureza e finalidade; tipo de dados pessoais; categorias de titulares; e obrigações e direitos do controller.

Um exemplo típico é o contrato com o fornecedor de hosting. E os mesmos requisitos aplicam-se quando um processor envolve um sub-processor para o ajudar a cumprir atividades de tratamento em nome do controller.

Referências: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

3) Novos direitos (o que o utilizador consegue pedir e tu tens de conseguir executar)

Os clientes conseguem pedir acesso aos seus dados pessoais de forma simples

Aplica-se a: Data Controller, Data Processor

Precisas de um processo definido para lidar com pedidos de acesso (DSARs).

Referência: GDPR Article 15 – Right of access by the data subject

Os clientes conseguem atualizar os próprios dados para garantir exatidão

Aplica-se a: Data Controller, Data Processor

Deves fornecer um mecanismo para o utilizador corrigir dados incorretos.

Referência: GDPR Article 16 – Right to rectification

Existe eliminação automática de dados que deixaram de ser necessários

Aplica-se a: Data Controller, Data Processor

A recomendação é automatizar a eliminação do que já não tem utilidade. Exemplo: apagar dados de clientes cujo contrato não foi renovado.

Referência: GDPR Article 5 – Principles relating to processing of personal data

Os clientes conseguem pedir eliminação dos seus dados pessoais

Aplica-se a: Data Controller, Data Processor

Implementa um processo para pedidos de eliminação (o conhecido “direito a ser esquecido”).

Referência: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

Os clientes conseguem pedir que pares o tratamento dos seus dados

Aplica-se a: Data Controller, Data Processor

O utilizador tem o direito de restringir como os dados são tratados.

Referência: GDPR Article 18 – Right to restriction of processing

Os clientes conseguem pedir portabilidade: entregar os dados a si próprios ou a um terceiro

Aplica-se a: Data Controller, Data Processor

Portabilidade significa fornecer os dados num formato estruturado, de uso comum e legível por máquina.

Referência: GDPR Article 20 – Right to data portability

Os clientes conseguem opor-se a profiling ou decisões automatizadas que os impactem

Aplica-se a: Data Controller

Isto só é relevante se a tua empresa fizer profiling ou qualquer tipo de decisão automatizada com impacto significativo no utilizador.

Referência: GDPR Article 22 – Automated individual decision-making, including profiling

4) Consentimento (como pedir, registar e permitir retirar)

Quando o tratamento se baseia em consentimento, ele tem de ser livre, específico, informado e revogável

Aplica-se a: Data Controller

Se o teu site recolhe dados pessoais, deves ter link visível para a política de privacidade e confirmar que o utilizador aceita termos e condições. O consentimento exige ação afirmativa — por isso, checkboxes pré-marcadas não são permitidas.

Referência: GDPR Article 7 – Conditions for consent

A política de privacidade é escrita de forma clara e compreensível

Aplica-se a: Data Controller

O texto tem de ser simples e claro, sem esconder intenções. Se falhares aqui, podes estar a invalidar o acordo. Quando prestas serviços a crianças, a política deve ser suficientemente fácil para elas compreenderem.

Referência: GDPR Article 7.2 – Conditions for consent

Retirar consentimento tem de ser tão fácil como dar consentimento

Aplica-se a: Data Controller

Não faz sentido um botão “Aceitar” simples e depois um labirinto para retirar. O mecanismo de retirada tem de ser equivalente em facilidade.

Referência: GDPR Article 7.3 – Conditions for consent

Se tratas dados pessoais de crianças, verificas a idade e pedes consentimento ao representante legal

Aplica-se a: Data Controller

Para crianças com menos de 16 anos, tens de garantir consentimento do representante legal para o tratamento. Se o consentimento é dado via site, deves tentar garantir que a aprovação veio mesmo do responsável legal (e não da criança).

Referência: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

Quando atualizas a política de privacidade, informas os clientes existentes

Aplica-se a: Data Controller

Um exemplo prático é enviar email a avisar das alterações. A comunicação deve explicar, de forma simples, o que mudou.

Referência: GDPR Article 7 – Conditions for consent

5) Follow-up (manutenção contínua)

Revisão regular de políticas: alterações, eficácia, mudanças no tratamento e mudanças no estado dos países para onde os dados fluem

Aplica-se a: Data Controller

Conformidade não é “fiz uma vez e fechei o ticket”. Deves rever práticas e acompanhar mudanças no contexto local, no próprio site (novos plugins, novos providers) e no cenário dos países para onde os dados são transferidos.

Referência: GDPR Article 25 – Data protection by design and by default

6) Casos especiais (DPIA e transferências internacionais)

A empresa sabe quando deve fazer uma DPIA em tratamentos de alto risco com dados sensíveis

Aplica-se a: Data Controller

Isto aplica-se sobretudo a quem faz tratamento em larga escala, profiling e outras atividades com alto risco para os direitos e liberdades das pessoas. Nesses casos, deves realizar uma Data Protection Impact Assessment (DPIA).

Referência: GDPR Article 35 – Data protection impact assessment

Transferências para fora da UE só acontecem para países com proteção adequada — e são divulgadas na política

Aplica-se a: Data Controller, Data Processor

Ao transferir dados para fora da UE, a regra é garantir um nível de proteção adequado e divulgar esses fluxos transfronteiriços na política de privacidade. Quando o país não é considerado “adequado”, usa Standard Contractual Clauses (SCCs) ou Binding Corporate Rules (BCRs).

Referência: GDPR Article 45 – Transfers on the basis of an adequacy decision

Direitos do titular dos dados (Data Subject Rights) — o que tens de conseguir suportar

Para além dos itens operacionais da checklist, vale a pena ter uma visão organizada dos direitos que se aplicam a qualquer Data Subject. Abaixo está a lista com o essencial e as referências por artigo.

Direito a informação transparente

O controller deve aplicar medidas adequadas para fornecer qualquer informação relacionada com o tratamento de forma concisa, transparente, inteligível e facilmente acessível, em linguagem clara e simples — em particular quando a informação é dirigida especificamente a uma criança. A informação deve ser fornecida por escrito ou por outros meios, incluindo eletrónicos quando apropriado.

Referência: GDPR Article 12

Direito a receber informação específica quando os dados são recolhidos diretamente

Esta informação inclui:

1. A identidade e os contactos do controller
2. Os contactos do DPO (quando aplicável)
3. As finalidades do tratamento e a base legal
4. Os interesses legítimos prosseguidos pelo controller (quando aplicável)
5. Os destinatários ou categorias de destinatários dos dados pessoais
6. Informação sobre transferências para países terceiros

Referência: GDPR Article 13

Direito a receber informação específica quando os dados não são recolhidos diretamente

Quando os dados são obtidos a partir de fontes diferentes do titular, devem ser prestadas informações semelhantes, incluindo as categorias de dados pessoais em causa e a fonte de onde os dados vieram.

Referência: GDPR Article 14

Direito de acesso

O titular tem o direito de obter confirmação sobre se os seus dados pessoais estão a ser tratados e acesso a:

• As finalidades do tratamento
• As categorias de dados pessoais em causa
• Os destinatários a quem os dados foram ou serão divulgados
• O período de retenção previsto
• A existência do direito à retificação, apagamento, limitação e oposição
• O direito de apresentar reclamação a uma autoridade de controlo
• Informação sobre a origem dos dados (se não foram recolhidos ao titular)
• A existência de decisões automatizadas, incluindo profiling

Referência: GDPR Article 15

Direito de retificação

O titular tem o direito de obter, sem demora injustificada, a retificação de dados pessoais inexatos e de completar dados incompletos.

Referência: GDPR Article 16

Direito ao apagamento (“direito a ser esquecido”)

O titular tem o direito de obter o apagamento dos seus dados pessoais quando:

1. Os dados deixaram de ser necessários para a finalidade original
2. O titular retira o consentimento e não existe outro fundamento jurídico para o tratamento
3. O titular se opõe ao tratamento e não existem fundamentos legítimos prevalecentes
4. Os dados foram tratados de forma ilícita
5. Os dados têm de ser apagados para cumprir uma obrigação legal
6. Os dados foram recolhidos no contexto de serviços da sociedade da informação oferecidos a uma criança

Referência: GDPR Article 17

Direito à limitação do tratamento

O titular tem o direito de obter limitação do tratamento quando:

1. Contesta a exatidão dos dados (durante o período de verificação)
2. O tratamento é ilícito e o titular se opõe ao apagamento
3. O controller já não precisa dos dados mas o titular precisa deles para efeitos de ações judiciais
4. O titular se opôs ao tratamento enquanto se verifica se existem fundamentos legítimos prevalecentes

Referência: GDPR Article 18

Direito a ser notificado sobre retificação, apagamento ou limitação

O controller deve comunicar qualquer retificação, apagamento ou limitação do tratamento a cada destinatário a quem os dados tenham sido divulgados, exceto se tal for impossível ou implicar esforço desproporcionado.

Referência: GDPR Article 19

Direito à portabilidade dos dados

O titular tem o direito de receber os seus dados pessoais num formato estruturado, de uso comum e legível por máquina, e o direito de transmitir esses dados a outro controller sem impedimentos.

Referência: GDPR Article 20

Direito de oposição

O titular tem o direito de se opor, por motivos relacionados com a sua situação particular e a qualquer momento, ao tratamento baseado em interesses legítimos ou interesse público, incluindo profiling.

Referência: GDPR Article 21

Direito a não ficar sujeito a decisões automatizadas

O titular tem o direito de não ficar sujeito a uma decisão baseada exclusivamente em tratamento automatizado, incluindo profiling, que produza efeitos jurídicos ou o afete de forma significativamente semelhante.

Referência: GDPR Article 22

Passos práticos de implementação (o que fazer no site, na prática)

1) Proteger o site (segurança e minimização)

• Instalar um certificado SSL (HTTPS) para cifrar dados entre o site e o servidor
• Usar passwords fortes em todas as contas de administração
• Adicionar proteção extra no tratamento de informação de pagamento
• Usar um fornecedor de CDN com proteção contra ataques DDoS
• Deploy de anti-vírus para prevenir acessos não autorizados
• Minimizar recolha de dados — recolher apenas o necessário
• Pseudonimizar ou anonimizar dados pessoais antes de armazenar
• Fazer backups em múltiplos locais seguros
• Apagar dados quando deixam de ser necessários

2) Implementar um banner de consentimento de cookies (consent-first)

Se usas cookies não essenciais, precisas de consentimento explícito antes de os ativar. Aqui, “cookie consent banner” não é só um pop-up: é um mecanismo de controlo que bloqueia scripts até haver escolha do utilizador.

O banner de cookies tem de:

• Bloquear cookies até haver consentimento: carregar apenas cookies necessários até o utilizador optar
• Usar linguagem simples e clara: explicar que cookies são usados e porquê
• Mostrar botões de aceitar/rejeitar com o mesmo destaque: não esconder a rejeição
• Oferecer opções granulares: permitir escolher categorias específicas de cookies
• Permitir retirar consentimento: ter um caminho fácil para alterar preferências mais tarde
• Registar o consentimento: guardar escolhas com timestamps para prova de conformidade

3) Rever formulários do site (contacto, lead gen, checkout, etc.)

Qualquer formulário que recolha dados pessoais tem de ser compatível com GDPR. Na prática, isto afeta desde um simples “Contact us” até inscrições em eventos e pedidos de orçamento.

• Incluir uma declaração de privacidade a explicar porque precisas dos dados
• Adicionar uma checkbox não marcada para consentimento (quando aplicável)
• Ter um opt-in separado para comunicações de marketing
• Linkar para a Política de Privacidade
• Usar linguagem clara e simples

4) Obter consentimento para emails de marketing (sem atalhos)

• Opt-in claro: checkbox não marcada especificamente para consentimento de email
• Double opt-in: confirmar a subscrição via email
• Registos de consentimento: guardar data, hora, método e finalidade
• Link de unsubscribe visível: unsubscribe de um clique em todos os emails
• Processar unsubscribes rapidamente: idealmente em 24 horas

5) Preparar resposta a incidentes (data breaches)

• Notificar a autoridade de controlo em 72 horas
• Notificar os utilizadores afetados quando existir alto risco para os seus direitos
• Documentar tudo para accountability
• Atualizar políticas e medidas para prevenir recorrência

Considerações específicas para WordPress

Em WordPress, o risco raramente está no core “puro” — tende a aparecer na soma de plugins, scripts de terceiros e integrações. Se és dono de um site WordPress (ou geres sites de clientes), estes pontos são o mínimo para alinhar a operação com o GDPR:

• Manter o WordPress core, temas e plugins sempre atualizados
• Usar plugins de formulário de contacto compatíveis com GDPR (por exemplo, com checkboxes de consentimento)
• Instalar uma solução adequada de cookie consent
• Usar uma solução de analytics compatível com GDPR
• Rever práticas de recolha de dados dos plugins (o que enviam, para onde, com que base)
• Implementar funcionalidades de exportação/eliminação de dados do utilizador

Coimas e consequências (não é só dinheiro)

O GDPR prevê dois níveis de penalizações:

• Infrações de escalão inferior: até €10 milhões ou 2% do volume de negócios anual global
• Infrações de escalão superior: até €20 milhões ou 4% do volume de negócios anual global

Para além das coimas, as autoridades podem ainda emitir avisos, proibir temporária ou permanentemente o tratamento, ordenar eliminação de dados e restringir transferências internacionais.

FAQ (perguntas frequentes)

O que é uma checklist de conformidade com o GDPR?

É uma lista de ações necessárias para cumprir o GDPR. Serve para identificar lacunas e áreas de melhoria nas práticas de proteção de dados do teu site/negócio.

Quem é responsável pela conformidade com o GDPR?

O data controller (normalmente o dono do site/negócio) é o principal responsável. Os data processors também têm obrigações de conformidade.

O GDPR aplica-se a empresas dos EUA?

Sim. Se processas dados pessoais de residentes na UE, aplica-se independentemente do país onde a empresa está sediada.

Qual é a penalização máxima por incumprimento?

Até €20 milhões ou 4% do volume de negócios anual global, consoante o que for mais elevado.

Preciso de um banner de cookies?

Sim, se o teu site usar cookies não essenciais e tiver visitantes na UE.

Preciso de um Data Protection Officer (DPO)?

Apenas se: (1) és uma autoridade/organismo público; (2) as atividades nucleares exigem monitorização regular e sistemática em larga escala; ou (3) tratas dados sensíveis em larga escala.

Resumo rápido (para guiar o trabalho técnico)

Conformidade com GDPR, na prática, passa por: inventariar dados e fluxos (Article 30), ter base legal e transparência (Article 6, 12–14), executar direitos do titular (Article 15–22), gerir consentimento corretamente (Article 7–8), garantir contratos e subcontratação (Article 28–29), preparar resposta a incidentes (Article 33–34) e controlar transferências internacionais (Article 45). Tudo isto apoiado por segurança e “privacy by design” (Article 25).