O Regulamento Geral de Proteção de Dados (GDPR) é uma lei europeia de privacidade. Em vigor desde 2018, ele regula como você coleta, armazena e utiliza dados pessoais no seu site.
Se você analisar as multas mais comuns do GDPR aplicadas pelos reguladores todo mês, vai perceber que a maioria delas tem origem em erros básicos. Fluxos de consentimento inadequados, divulgações ocultas e rastreadores que carregam antes do consentimento são um padrão recorrente.
Neste artigo, vamos detalhar essas falhas comuns na conformidade com o GDPR para sites e como você pode corrigi-las.
Resumo
- O GDPR se aplica ao seu site se você direcionar produtos ou serviços a residentes da UE ou monitorar seu comportamento, mesmo que sua empresa não esteja sediada na UE.
- A maioria das multas cita uma destas falhas: tratamento ilegal de dados, transparência insuficiente, coleta excessiva de dados e medidas de segurança inadequadas.
- Uma violação do GDPR pode custar até €20 milhões ou 4% da sua receita global.
- Muitas violações começam silenciosamente no lado do cliente (client-side), onde scripts e rastreadores de terceiros coletam dados sem que ninguém na sua equipe perceba.
- Os reguladores esperam evidências: registros de atividades, comprovação de medidas de segurança implementadas e uma tentativa clara de incorporar a privacidade à sua arquitetura.
- O cside Privacy Watch ajuda equipes a detectar riscos de privacidade no lado do cliente e a controlar a coleta de dados do site antes que isso se torne um problema regulatório.
| Categoria de violação | Número de multas | Percentual do total de multas |
|---|---|---|
| Base legal insuficiente para o tratamento de dados | 797 | 28,29% |
| Descumprimento dos princípios gerais de tratamento de dados | 737 | 26,16% |
| Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação | 523 | 18,57% |
| Cumprimento insuficiente dos direitos dos titulares de dados | 284 | 10,08% |
| Cumprimento insuficiente das obrigações de informação | 202 | 7,17% |
| Cooperação insuficiente com a autoridade supervisora | 157 | 5,57% |
| Cumprimento insuficiente das obrigações de notificação de violação de dados | 51 | 1,81% |
| Envolvimento insuficiente do encarregado de proteção de dados | 25 | 0,89% |
| Desconhecido | 19 | 0,67% |
| Acordo de tratamento de dados insuficiente | 15 | 0,53% |
| Falta de nomeação de encarregado de proteção de dados | 7 | 0,25% |
O GDPR se aplica ao seu site?
Os requisitos de conformidade com o GDPR se aplicam ao seu site em algumas situações:
- Se você oferece bens ou serviços a pessoas na UE ou no Reino Unido, mesmo que esses serviços sejam gratuitos.
- Se você monitora o comportamento de usuários da UE no seu site. Isso inclui cookies, analytics, mapas de calor, anúncios ou criação de perfis de usuário.
Não é necessário ter um escritório ou equipe na UE para que o regulamento se aplique. Se o seu site direciona conteúdo a usuários da UE por meio de idioma, preços, opções de envio ou ferramentas de rastreamento, o GDPR se aplica.
10 falhas comuns de conformidade com o GDPR em sites
As penalidades do GDPR podem chegar a €20 milhões, ou 4% da receita global total da sua empresa no ano financeiro anterior, o que for maior.
É muito dinheiro — e a reputação da sua empresa também estará em jogo.
Para evitar isso, veja a seguir 10 falhas comuns de conformidade com o GDPR em sites que você deve corrigir antes que se transformem em processos caros.
1. Coleta ilegal de dados antes do consentimento
Se você usa ferramentas de terceiros no seu site, elas podem conter scripts maliciosos que coletam dados sem tocar no seu backend. Mesmo no caso de scripts não maliciosos, fornecedores terceiros podem alterar o código ou expandir scripts para coletar dados sem o seu conhecimento.
Scripts mal configurados agravam o problema: podem ser acionados antes do consentimento e executar em todas as páginas. Quando isso acontece, seu site coleta dados pessoais sem autorização — e você continua sendo o responsável por esse fluxo de dados, não o fornecedor.
Para resolver esse problema:
- Use um software de conformidade com o GDPR para auditar cada script de terceiros
- Documente quais dados ele coleta
- Limite onde os scripts podem ser executados e remova ferramentas que você não usa mais
- Revise regularmente as atualizações e alterações dos fornecedores
2. Scripts e rastreadores de terceiros sem monitoramento
À medida que seu site cresce, a lista de scripts também cresce.
Ferramentas antigas continuam ativas muito depois de você parar de usá-las. Novos rastreadores são adicionados para testes, campanhas e plugins. Ninguém verifica o que eles coletam nem para onde os dados vão. Os dados saem do seu site sem nenhuma revisão, colocando a privacidade dos usuários em risco e tornando a certificação de conformidade com o GDPR muito mais difícil.
A solução é:
- Definir responsáveis pelas ferramentas de terceiros e pelos fluxos de dados
- Estabelecer regras de aprovação antes de qualquer novo script entrar em produção
- Revisar a coleta de dados após alterações no site ou lançamentos de novos recursos
- Monitorar o comportamento dos scripts em tempo real, em vez de fazer verificações manuais
3. Avisos de privacidade imprecisos e desatualizados
Sua política de privacidade muitas vezes parece adequada à primeira vista. O problema está nos detalhes.
A cada atualização, os fluxos de dados mudam: novos formulários, pixels e integrações entram em produção. Na prática, as equipes frequentemente lançam funcionalidades sem sinalizar mudanças nos dados. Quando os avisos deixam de refletir o que o site realmente faz, você induz os usuários ao erro.
Os reguladores do GDPR tratam isso como uma violação real. Boas intenções não ajudam se as informações estiverem erradas.
Para um site em conformidade com o GDPR, você deve:
- Atualizar os avisos sempre que a coleta de dados mudar
- Garantir que o texto da política reflita o comportamento real do site
- Escrever em linguagem simples, compreensível à primeira leitura
- Posicionar os avisos próximos a formulários e pontos de consentimento
4. Coleta excessiva de dados no nível do script
Muitos sites coletam mais dados do que precisam. Scripts capturam endereços IP completos, dados detalhados de dispositivos e longos registros de eventos para casos de uso básicos. Ninguém questiona as configurações padrão. Isso vai contra a conformidade com o GDPR.
A lei exige que você colete apenas o que serve a uma finalidade clara. Dados extras aumentam o risco e a exposição sem nenhum benefício real.
Para corrigir isso:
- Desative campos de dados opcionais nas ferramentas de rastreamento
- Anonimize ou mascare dados pessoais sempre que possível
- Limite os eventos ao que suporta decisões reais
- Revise as configurações dos scripts após atualizações
5. Incapacidade de detectar alterações ou injeções em scripts
Os scripts do seu site não são estáticos. Fornecedores enviam atualizações. Plugins mudam de comportamento. Novos códigos podem aparecer sem um ticket ou nota de versão. É fácil perder essas mudanças, criando riscos ocultos.
Seu site pode começar a coletar e compartilhar dados pessoais que você nunca aprovou. Isso torna difícil comprovar conformidade diante de qualquer notificação de violação do GDPR.
Siga estas dicas para evitar esses problemas:
- Monitore os scripts do site em busca de alterações inesperadas
- Configure alertas para códigos novos ou modificados que afetem o tratamento de dados
- Rastreie o comportamento dos scripts, não apenas os nomes de domínio
- Revise as alterações como parte das verificações regulares do site
6. Mecanismos de consentimento inválidos ou não conformes
Muitos banners de consentimento parecem corretos, mas falham na prática. Eles ocultam a opção de recusar e induzem os usuários a aceitar. Alguns carregam rastreamento mesmo após o usuário rejeitar os cookies. Outros agrupam o consentimento em linguagem vaga. Isso viola as regras do GDPR.
O usuário deve consentir após entender como e por que você coleta os dados. Se ele se sentir pressionado ou confuso, o consentimento não é válido.
Corrija isso:
- Posicionando os botões de aceitar e recusar lado a lado
- Permitindo que os usuários escolham o consentimento por finalidade
- Respeitando as escolhas em todas as páginas e sessões
- Não rastreando quando o consentimento for negado
7. Responsabilização insuficiente de fornecedores terceiros
Seus fornecedores coletam dados em seu nome, e muitas equipes confiam neles sem questionar. Quando fornecedores tratam dados de forma inadequada, os reguladores ainda responsabilizam você. Essa lacuna frequentemente passa despercebida até que uma reclamação ou auditoria apareça.
A solução é ser criterioso ao escolher e implementar ferramentas de terceiros no seu site.
- Estabeleça DPAs (Acordos de Tratamento de Dados) com todos os terceiros. Eles podem vir na forma de um DPA padronizado ou personalizado.
- Exija comprovações, não apenas um selo de conformidade com o GDPR
- Defina limites e responsabilidades claros sobre os dados
- Use uma ferramenta para monitorar como o código dos fornecedores é executado no seu site, garantindo que a coleta de dados esteja dentro do escopo do seu acordo
8. Falha na segurança dos fluxos de dados no lado do cliente
Agentes mal-intencionados têm o seu site como alvo porque ele costuma ser a parte menos monitorada da postura de segurança. O skimming de dados em sites continua crescendo, segundo pesquisas do Insikt Group, e a segurança fraca no lado do cliente contra esses ataques resulta em multas do GDPR, como demonstrado pela multa de £20 milhões aplicada à British Airways. Sob o Artigo 32 do GDPR, os reguladores esperam ver salvaguardas implementadas contra ameaças à exposição de dados.
Para salvaguardas de segurança no lado do cliente, você deve:
- Monitorar formjacking, injeções maliciosas de JavaScript e manipulação do DOM
- Verificar para onde os dados do navegador são enviados. Se os dados forem enviados repentinamente para China ou Rússia, você pode estar sofrendo um ataque de exfiltração de dados.
- Apresentar aos auditores comprovação das medidas de segurança implementadas, como o monitoramento no lado do cliente.
- Implantar uma ferramenta que mantenha um feed de ameaças em tempo real para alertá-lo sobre violações na cadeia de suprimentos de scripts presentes no seu site (chatbots, ferramentas de analytics).
Tenha cautela com soluções que prometem segurança no lado do cliente por meio de scanners sem código. Essas ferramentas são úteis para auditar a lista de scripts no seu site, mas deixam uma brecha aberta para que ataques reais passem despercebidos.
9. Documentação insuficiente para auditorias e investigações
Quando uma auditoria ou reclamação surge, muitas equipes ficam sem resposta. Elas não conseguem explicar claramente os fluxos de dados. Os registros estão incompletos ou desatualizados. Os reguladores esperam respostas claras e comprovações. Se você não consegue explicar quais dados coleta, para onde vão e quando o consentimento foi dado, os problemas aparecem. Portanto:
- Mantenha registros simples dos fluxos de dados e suas finalidades
- Registre as escolhas de consentimento e suas atualizações
- Rastreie os papéis dos fornecedores e o acesso aos dados
- Atualize os documentos após alterações no site ou nas ferramentas
10. Dependência excessiva de verificações pontuais de conformidade
As empresas frequentemente tratam as verificações do GDPR como uma tarefa única. Fazem uma varredura, corrigem alguns problemas e seguem em frente. Mas o site continua mudando depois disso — sempre que uma nova ferramenta é adicionada ou um fornecedor atualiza algo.
Você deve revisar a conformidade com o GDPR como parte do fluxo de trabalho regular:
- Verifique novamente o consentimento e o rastreamento após cada lançamento
- Defina pontos de verificação claros para revisões de conformidade após mudanças de marketing, produto e funcionalidades
- Use monitoramento automatizado para sinalizar novas coletas de dados assim que ocorrerem, não semanas depois
Falhas de conformidade com o GDPR fora do site
Atrasos no atendimento de DSARs
Quando um consumidor envia uma Solicitação de Acesso do Titular dos Dados (DSAR), você está preparado para mostrar exatamente como os dados dele são tratados e retidos? Para a maioria das empresas, essa é uma decisão ética simples, mas elas não dispõem dos instrumentos técnicos necessários para atender a essa solicitação dentro do prazo (geralmente 30 dias).
Por isso, é prática padrão usar uma ferramenta de DSAR:
- Centralize o recebimento (formulário web + e-mail), a verificação de identidade e o acompanhamento das solicitações
- Mantenha um mapa de dados para localizar dados pessoais em aplicativos e fornecedores
- Produza uma trilha de auditoria para os reguladores sobre o que foi fornecido e por que algo foi retido
Erros de colaboradores
As falhas de conformidade com o GDPR nem sempre são maliciosas — podem ser erros operacionais. Um colaborador exporta o relatório errado, cola dados de clientes no ticket errado ou configura incorretamente um link de compartilhamento. Os órgãos de fiscalização do GDPR costumam reduzir a multa quando há evidências claras de que a proteção de privacidade estava em vigor, mas foi violada por um erro genuíno.
Certifique-se de que sua equipe seja treinada regularmente sobre:
- Tratamento de dados sensíveis (saúde, biometria e identificadores financeiros)
- Manuseio seguro de exportações
- Controles de segurança e acesso
Custo do descumprimento do GDPR
O GDPR define dois níveis de multa de acordo com o tipo de violação.
Multas de nível inferior se aplicam a falhas de processo. Isso inclui registros inadequados, medidas de segurança fracas ou documentação ausente. Podem chegar a €10 milhões ou 2% da sua receita global anual.
Multas de nível superior se aplicam a violações graves de direitos. Isso inclui coleta ilegal de dados, consentimento inválido e uso indevido de dados pessoais. Podem chegar a €20 milhões ou 4% da receita global anual.
Os reguladores também avaliam o escopo, a duração, a intenção e o comportamento reincidente. Portanto, as multas escalam com o impacto, não apenas com o tamanho da empresa.
Garanta a conformidade do seu site com o GDPR usando o cside Privacy Watch
Com o Privacy Watch, você obtém visibilidade sobre o lado do cliente — onde os problemas de privacidade começam e passam despercebidos silenciosamente.
Ao contrário de auditorias periódicas ou scanners estáticos, o cside monitora seu site 24 horas por dia, 7 dias por semana, e mantém trilhas de auditoria claras mostrando como scripts de terceiros se comportam no seu site. Os relatórios automatizados são desenvolvidos especificamente para os formatos exigidos pelo GDPR, CCPA e HIPAA.
O cside:
- Detecta possíveis violações de privacidade em scripts de terceiros e quartos (subprocessadores).
- Usa camadas de segurança configuráveis para proteger seu site, com a cobertura mais profunda no lado do cliente por meio do Gatekeeper
- Analisa o potencial de ameaça de scripts de terceiros no seu site com pontuação de risco aprimorada por IA
- Acelera o trabalho de conformidade com documentação gerada automaticamente por IA em múltiplos frameworks de privacidade
- Envia alertas instantâneos quando os padrões de coleta de dados mudam
- Bloqueia versões aprovadas de scripts para que você possa reverter para uma versão segura
- Monitora quais dados os scripts acessam e para onde esses dados são enviados
