SSYTI
Blog
LGPDPrivacidadeSaaSJurídico

LGPD na prática para SaaS brasileiros

O que a lei realmente exige do seu produto — e como implementar conformidade sem paralisar o desenvolvimento.

Autor

Alexandre Yamamoto

10 de fevereiro de 2025
11 min de leitura

LGPD na prática para SaaS brasileiros

A Lei Geral de Proteção de Dados (Lei 13.709/2018) completou seis anos de vigência e ainda assusta muitos desenvolvedores e founders de SaaS. Parte do medo é legítima — a lei tem dentes e a ANPD (Autoridade Nacional de Proteção de Dados) está aumentando sua capacidade de fiscalização. Mas grande parte do medo vem da forma como a LGPD é comunicada: de forma burocrática, jurídica e desconectada da realidade de quem constrói produtos digitais.

Este artigo é para desenvolvedores e fundadores técnicos de SaaS brasileiros. Não é assessoria jurídica — é a perspectiva de quem implementou conformidade LGPD em produtos reais e quer compartilhar o que aprendeu.

O que a LGPD realmente exige de um SaaS

Vamos começar pelo essencial: a LGPD não exige que você pare de coletar dados. Ela exige que você tenha uma razão válida para coletar dados, seja transparente com o usuário sobre isso, e implemente medidas razoáveis de segurança.

Para a maioria dos SaaS pequenos e médios, o checklist prático é mais simples do que parece:

1. Mapeamento de dados (data mapping)

Antes de qualquer política ou aviso, você precisa saber quais dados você coleta, por que coleta e onde armazena. Essa é a parte que muitos pulam — e é a base de tudo.

Documente:

  • Quais dados você coleta (nome, e-mail, IP, comportamento de uso, documentos gerados, etc.)
  • Por que você coleta (para funcionar o serviço? para marketing? para análise?)
  • Onde estão armazenados (qual banco de dados, qual provedor de nuvem, quais terceiros têm acesso?)
  • Por quanto tempo você guarda (6 meses? 2 anos? indefinidamente?)

Isso não precisa ser uma planilha complexa de 50 colunas. Uma tabela simples com essas quatro colunas já é um bom começo.

2. Bases legais: a parte que ninguém explica direito

A LGPD exige que cada tipo de tratamento de dado tenha uma "base legal" — uma justificativa prevista em lei. As mais relevantes para SaaS são:

Consentimento (art. 7º, I): O usuário explicitamente concordou. É o mais conhecido, mas não precisa ser usado para tudo. Use para: newsletters, notificações de marketing, cookies não essenciais.

Execução de contrato (art. 7º, V): Você precisa dos dados para prestar o serviço contratado. Para um SaaS, o e-mail de login, os dados necessários para criar a conta e o conteúdo que o usuário gera são cobertos por aqui — sem precisar de consentimento explícito separado.

Interesse legítimo (art. 7º, IX): Você tem um interesse genuíno que não prejudica o usuário. Use para: análise de comportamento de uso para melhorar o produto, segurança e prevenção de fraudes, comunicações transacionais relacionadas ao serviço.

Obrigação legal (art. 7º, II): A lei exige que você guarde aquele dado. Use para: logs de acesso (Marco Civil da Internet exige 6 meses), documentos fiscais, registros contábeis.

A armadilha comum é usar consentimento como base legal para tudo, o que cria obrigações adicionais (como precisar obter novo consentimento quando a finalidade muda) que poderiam ser evitadas com bases legais mais adequadas.

3. Política de Privacidade: o que precisa estar lá

A Política de Privacidade não é um documento jurídico para impressionar advogados — é uma comunicação para o usuário. A LGPD exige que ela seja clara, em linguagem acessível.

O que precisa constar:

  • Quais dados você coleta e para quais finalidades
  • Qual a base legal para cada tipo de tratamento
  • Com quem você compartilha os dados (terceiros, parceiros)
  • Por quanto tempo você guarda os dados
  • Quais são os direitos do titular e como exercê-los
  • Dados do encarregado (DPO) — para a maioria dos SaaS pequenos, você pode acumular esse papel, mas precisa informar um contato

Um detalhe importante: a política precisa ser específica. "Podemos compartilhar seus dados com parceiros" não é suficiente. Você precisa nomear ou categorizar quem são esses parceiros e por qual motivo.

4. Consentimento de cookies: sim, você precisa disso

O Brasil não tem uma lei específica de cookies como o GDPR europeu, mas a LGPD se aplica a cookies de rastreamento e publicidade porque eles coletam dados pessoais. O padrão que a ANPD tem seguido se aproxima ao modelo europeu:

  • Cookies essenciais (login, sessão, preferências de segurança): não precisam de consentimento
  • Cookies de análise (Google Analytics): precisam de consentimento
  • Cookies de publicidade (Google AdSense, remarketing): precisam de consentimento explícito

O banner de cookies não precisa ser um modal bloqueante — mas precisa ser visível, claro e permitir recusar de forma tão fácil quanto aceitar. Um botão "Aceitar todos" destacado e um link escondido "Configurar" não é conformidade — é dark pattern.

5. Direitos dos titulares: você precisa de um processo

A LGPD dá ao usuário o direito de pedir:

  • Acesso aos seus dados
  • Correção de dados incorretos
  • Exclusão dos seus dados
  • Portabilidade

Você precisa ter um processo para responder a esses pedidos. Para SaaS pequenos, um e-mail de privacidade dedicado (como privacidade@suaempresa.com.br) é suficiente. O prazo legal para responder é 15 dias úteis.

O que muitos SaaS negligenciam é a implementação técnica: se um usuário pede exclusão dos dados, você precisa ser capaz de fazer isso de fato. Isso significa saber onde todos os dados daquele usuário estão armazenados — outro motivo pelo qual o mapeamento de dados inicial é fundamental.

O que a ANPD tem fiscalizado

A ANPD publicou algumas orientações e iniciou processos administrativos contra empresas. Os padrões recorrentes nos casos até agora:

  • Falta de política de privacidade clara e acessível (não um PDF escondido no rodapé)
  • Coleta de dados sem base legal explícita
  • Vazamentos de dados sem notificação (a LGPD exige notificar incidentes que possam causar dano ao titular)
  • Direitos de titulares ignorados (pedidos de exclusão sem resposta)

Nenhum dos casos públicos até agora foi contra SaaS pequenos — o foco inicial foi em grandes empresas com impacto amplo. Mas isso não significa que pequenas empresas estão imunes.

Implementação técnica: o que fazer no código

Do lado técnico, conformidade com a LGPD implica algumas práticas concretas:

Minimização de dados: Colete apenas o que você realmente precisa. Se você não usa o número de telefone para nada hoje, não peça. Isso reduz sua superfície de risco e simplifica o mapeamento.

Criptografia de dados sensíveis: Dados como senhas (óbvio, use bcrypt ou Argon2), tokens de autenticação, e qualquer PII (Personally Identifiable Information) sensível devem ser criptografados em repouso. A maioria dos bancos de dados modernos tem recursos nativos para isso.

Logs sem PII desnecessário: Revise seus logs de aplicação. É comum encontrar logs que incluem e-mails, IPs completos ou até fragmentos de dados de usuário. Anonimize ou remova o que não é necessário para debugging.

Funcionalidade de exclusão: Implemente um fluxo de "excluir conta" que de fato remove os dados do usuário, ou que os anonimiza de forma irreversível. Marcar como deleted: true sem remover os dados não é exclusão — é apenas esconder.

Consentimento granular e revogável: Se você usa consentimento como base legal para algum tratamento, precisa ser capaz de registrar quando o consentimento foi dado, para quê, e permitir revogação. Um campo marketing_consent_at no seu banco de usuários já resolve boa parte disso.

O que não fazer

Copiar uma política de privacidade de outra empresa: Além de ser plágio, provavelmente não reflete a sua realidade. Uma política genérica pode até te criar obrigações que você não tem (por mencionar coisas que você não faz) ou deixar de cobrir o que você realmente faz.

Tratar conformidade como evento único: LGPD não é uma caixa a ser marcada. É um processo contínuo. Quando você adiciona um novo terceiro (analytics, payment processor, IA provider), sua política de privacidade precisa ser atualizada.

Ignorar os subprocessadores: Se você usa AWS, Google Analytics, Stripe, Intercom e OpenAI, todos eles processam dados dos seus usuários em algum nível. Você é responsável por garantir que esses terceiros também têm práticas adequadas de proteção de dados. Verifique os DPAs (Data Processing Agreements) de cada um.

Por onde começar

Se você ainda não tem nada de conformidade LGPD no seu SaaS, aqui está a ordem de prioridade:

  1. Mapeie seus dados (2-4 horas de trabalho honesto)
  2. Adicione um e-mail de privacidade e responda pedidos quando vierem
  3. Escreva uma Política de Privacidade que reflita o que você realmente faz
  4. Implemente um banner de cookies básico com opção de recusar
  5. Implemente o fluxo de exclusão de conta no seu produto
  6. Revise seus logs e remova PII desnecessário
  7. Documente suas bases legais para cada tipo de tratamento

Não é um checklist de um dia, mas é um processo de semanas, não meses. E é muito mais fácil começar certo do que corrigir depois de uma notificação da ANPD.

Conclusão

A LGPD não é o inimigo do SaaS brasileiro — é uma oportunidade para construir confiança com seus usuários em um mercado onde privacidade ainda é diferencial competitivo. Usuários estão cada vez mais conscientes sobre como seus dados são usados. Um SaaS que trata isso com seriedade tem um argumento genuíno de valor.

Conformidade não precisa ser perfeita desde o dia um. Precisa ser progressiva, documentada e honesta. Comece pelo básico, construa sobre isso e evolua conforme o produto cresce.

Alexandre Yamamoto é fundador da Satochi Yamamoto Tecnologia da Informação, empresa que implementa conformidade LGPD em seus produtos. Para dúvidas específicas, consulte um advogado especializado em proteção de dados.

Artigos relacionados

Como construímos o GeraDocumentos: do MVP à plataforma

Do problema inicial à arquitetura atual — os desafios técnicos, decisões de produto e lições aprendidas ao criar uma plataforma hub de IA.

Todos os artigos