Blog

VCDPA: Guia de Requisitos + Conformidade para Sites

Entenda as regras da Lei de Proteção de Dados do Consumidor da Virgínia, os prazos de aplicação e como gerenciar scripts de terceiros corretamente.

Jan 22, 2026 • 13 min read

Juan Combariza Growth Marketer

VCDPA - Virginia Consumer Data Protection Act - Requisitos e Conformidade para Sites

Resumo

O que é a VCDPA? A Lei de Proteção de Dados do Consumidor da Virgínia é uma lei de privacidade que garante aos residentes da Virgínia determinados direitos sobre suas informações pessoais. Ela se tornou a segunda lei de privacidade estadual dos EUA após a Califórnia e entrou em vigor em 1º de janeiro de 2023.
A quem a VCDPA se aplica? A VCDPA se aplica a organizações que realizam negócios na Virgínia ou que têm como alvo residentes da Virgínia e que (a) controlam ou processam dados pessoais de pelo menos 100.000 consumidores por ano ou (b) controlam ou processam dados de pelo menos 25.000 consumidores enquanto obtêm mais de 50% da receita bruta com a venda de dados pessoais.
Quais são as causas mais comuns de falhas de conformidade com a VCDPA? A maioria das falhas decorre do processamento de dados sensíveis sem consentimento explícito, do não atendimento a solicitações de direitos dos consumidores dentro dos prazos estabelecidos ou de divulgações de privacidade inadequadas. A falta de visibilidade sobre o comportamento de scripts de terceiros em sites também pode gerar violações.
Como tornar meu site compatível com a VCDPA: Mantenha uma política de privacidade atualizada, obtenha consentimento antes de processar dados pessoais, atenda às solicitações de dados e monitore processadores terceiros no seu site com uma ferramenta como o cside.

Empresas precisam de dados para crescer. Infelizmente, isso resulta no processamento de dados sensíveis dos consumidores sem o consentimento deles. Isso acontece com mais frequência por causa de erros de configuração técnica do que por intenções antiéticas das empresas.

Governos ao redor do mundo estão prestando atenção nisso e criando leis para tornar a coleta de dados clara e transparente. Assim como vários estados nos EUA, a Virgínia também desenvolveu uma lei de privacidade projetada para ser amigável aos negócios e, ao mesmo tempo, proteger os consumidores.

Com o objetivo simples de colocar as pessoas no controle de seus dados, a Lei de Proteção de Dados do Consumidor da Virgínia é importante para qualquer organização que conduza negócios nesse estado. Este artigo explica o que é a Lei de Proteção de Dados da Virgínia, seus principais requisitos e por que você não pode ignorar a segurança no lado do cliente para estar verdadeiramente em conformidade.

O que é a Lei de Proteção de Dados do Consumidor da Virgínia?

A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) é uma lei de privacidade estadual dos EUA que garante aos residentes da Virgínia uma série de direitos sobre suas informações pessoais. O governador Ralph Northam a sancionou em 2 de março de 2021 e ela entrou em vigor em 1º de janeiro de 2023.

Ela é baseada na premissa de que se você não tem um motivo específico e divulgado para reter dados, você simplesmente não deveria tê-los.

Os residentes da Virgínia agora possuem direitos específicos e aplicáveis sobre sua pegada digital:

O Direito de Controle: Os consumidores podem acessar, corrigir ou excluir seus dados pessoais a qualquer momento
O Direito de Saída: As empresas devem fornecer um mecanismo simples para que os usuários possam optar por não participar. Essa opção inclui publicidade direcionada, venda de dados e criação de perfis automáticos

Sob a VCDPA, as organizações precisam de consentimento explícito para coletar dados de saúde, religião, biometria e geolocalização precisa por padrão; é necessário consentimento explícito e afirmativo.

Cidadãos individuais não têm direito de ação sob a VCDPA. O Procurador-Geral da Virgínia detém a autoridade para aplicar penalidades. As multas podem chegar a US$ 7.500 por violação.

A VCDPA se Aplica à Minha Empresa? (Autoavaliação)

Critérios de Elegibilidade - VCDPA - Lei de Proteção de Dados do Consumidor da Virgínia - A VCDPA se Aplica à Minha Organização

A VCDPA se aplica à sua organização se você atender aos seguintes critérios:

Você realiza negócios na Virgínia ou produz produtos ou serviços destinados a residentes da Virgínia.
Você atende a um dos dois limites de processamento de dados: (a) controla ou processa dados pessoais de pelo menos 100.000 consumidores durante um ano civil, ou (b) controla ou processa dados pessoais de pelo menos 25.000 consumidores e obtém mais de 50% da receita bruta com a venda de dados pessoais.

Ao contrário da CCPA da Califórnia, a VCDPA não inclui um limite baseado apenas na receita. A receita bruta anual de uma empresa por si só não determina a aplicabilidade. Os limites se concentram inteiramente no volume de processamento de dados e na receita derivada especificamente da venda de dados.

consumidor refere-se a uma pessoa que é residente da Virgínia e age em um contexto individual ou doméstico.
dados pessoais refere-se a qualquer informação vinculada ou razoavelmente vinculável a uma pessoa natural identificada ou identificável. Isso exclui dados desidentificados e informações disponíveis publicamente.

Isenções da VCDPA

Algumas entidades estão totalmente isentas dos requisitos da VCDPA.

Agências estaduais, subdivisões políticas e órgãos do governo da Virgínia
Instituições financeiras sujeitas à Lei Gramm-Leach-Bliley
Entidades cobertas e associados de negócios regidos pela HIPAA
Organizações sem fins lucrativos (incluindo organizações políticas conforme emendas recentes)
Instituições de ensino superior

Quais São os Principais Requisitos da VCDPA?

Fornecer avisos de privacidade claros

Os controladores (organizações) devem exibir um aviso de privacidade razoavelmente acessível. O aviso deve divulgar as categorias de dados pessoais processados, as finalidades do processamento, como os consumidores podem exercer seus direitos, as categorias de dados compartilhados com terceiros e as categorias desses terceiros.

Se um controlador vende dados pessoais ou os processa para publicidade direcionada, isso deve ser claramente divulgado junto com instruções sobre como os consumidores podem optar por não participar.

Obter consentimento antes de processar dados sensíveis

A VCDPA proíbe o processamento de dados sensíveis sem obter o consentimento explícito do consumidor. O "consentimento implícito" não atende ao padrão exigido.

Para dados coletados de crianças menores de 13 anos, os controladores devem cumprir os requisitos da Lei de Proteção da Privacidade Online de Crianças (COPPA). As emendas à VCDPA com vigência a partir de 1º de janeiro de 2025 acrescentaram restrições adicionais ao processamento de dados de crianças para publicidade direcionada, criação de perfis e outros fins sem o consentimento dos pais.

Responder às solicitações de direitos dos consumidores em 45 dias

Após um consumidor enviar uma solicitação para exercer seus direitos, os controladores devem responder em 45 dias. Uma prorrogação de 45 dias é permitida quando razoavelmente necessária devido à complexidade técnica ou a um grande número de solicitações, mas o consumidor deve ser notificado dentro do prazo original.

As respostas devem ser gratuitas até duas vezes por ano por consumidor. Se um controlador recusar uma solicitação, deve explicar o motivo e fornecer instruções para recurso. Os recursos devem ser decididos em 60 dias. Se um recurso for negado, o controlador deve fornecer um meio para o consumidor entrar em contato com o Procurador-Geral.

Permitir a opção de não participar de vendas, publicidade direcionada e criação de perfis

Os consumidores têm o direito de optar por não participar do processamento para publicidade direcionada, da venda de dados pessoais e da criação de perfis que produzam efeitos legais ou igualmente significativos.

Os controladores devem fornecer um mecanismo funcional para atender a essas solicitações. A organização permanece em violação se scripts de rastreamento ou pixels continuarem transmitindo dados após um consumidor optar por não participar.

Estabelecer contratos com processadores de dados

Os controladores devem ter contratos escritos com quaisquer processadores que lidem com dados em seu nome. Isso inclui processadores de dados do site, como chatbots, ferramentas de análise ou de marketing. Os acordos devem especificar a natureza e a finalidade do processamento, o tipo de dados envolvidos, a duração do processamento e os direitos e obrigações de ambas as partes.

A maioria dos grandes fornecedores (como Meta, Google Ads e Cloudflare) possui DPAs padronizados que podem ser encontrados em seus sites.

Riscos Ocultos de Violação de Privacidade em Sites para a VCDPA

Riscos de privacidade em sites para a VCDPA - cside

A superfície de risco mais negligenciada para a conformidade com a VCDPA é o seu site. Sites modernos carregam uma combinação de código desenvolvido internamente com código de fornecedores terceiros (scripts de terceiros). Esses scripts de terceiros carregam ainda mais scripts (subprocessadores). Cada um desses scripts adiciona riscos de segurança e privacidade ao seu site. Por meio de erros de configuração ou injeções de código malicioso, eles comprometem dados pessoais.

Scripts de terceiros são um risco de conformidade com a VCDPA

Pixels de marketing, ferramentas de análise e widgets de redes sociais são padrão na maioria dos sites comerciais. Cada script pode coletar endereços IP, identificadores de dispositivos, comportamento de navegação e entradas de formulários.

Sob a VCDPA, a organização que implanta esses scripts é a controladora.

Você viola a conformidade se esses scripts coletarem mais dados do que o divulgado em seu aviso de privacidade. Se eles continuarem coletando após um consumidor optar por não participar, você também estará fora de conformidade. A maioria das organizações não tem como saber se seus scripts se comportam conforme o esperado.

Injeções de JavaScript são um risco de violação de dados sob a VCDPA

Além da conformidade, o código no lado do cliente apresenta riscos de segurança. Por exemplo:

Scripts maliciosos ou comprometidos podem extrair dados pessoais diretamente do navegador
Uma atualização de biblioteca comprometida ou uma tag injetada pode expor informações dos consumidores sem ser detectada pelos controles de segurança no lado do servidor.

A VCDPA exige que os controladores mantenham práticas de segurança razoáveis. Uma organização que implanta código de terceiros sem monitoramento e sofre uma violação no lado do cliente terá dificuldade em demonstrar que tomou as precauções adequadas.

Banners de cookies sozinhos não garantem conformidade com a VCDPA

Plataformas de gerenciamento de consentimento são importantes para a conformidade de privacidade em sites, mas são apenas uma peça do quebra-cabeça. Um banner de cookies coleta preferências de consentimento, mas tem capacidade limitada de aplicação.

As CMPs podem falhar se não estiverem devidamente integradas ao Google Tag Manager ou a outras ferramentas de análise. Além disso, as CMPs não foram desenvolvidas para proteger contra ataques no lado do cliente, onde scripts de terceiros "confiáveis" são sequestrados e contornam completamente as configurações de consentimento.

Falhas Comuns de Conformidade com a VCDPA

Onde ocorrem as falhas de conformidade com a VCDPA - Lei de Proteção de Dados do Consumidor da Virgínia

Processamento de dados sensíveis sem consentimento

A violação mais direta ocorre quando organizações processam dados sensíveis sem o consentimento explícito de adesão. Isso inclui dados de geolocalização, informações relacionadas à saúde, identificadores biométricos e dados de crianças conhecidas. Muitos sites coletam essas informações por meio de scripts sem perceber as implicações de consentimento.

Por exemplo, um site de saúde que usa um pixel da Meta pode inadvertidamente transmitir informações sobre quais páginas de condições médicas um usuário visita. Esses dados comportamentais se qualificam como informações de saúde sensíveis que exigem consentimento explícito antes de serem "compartilhadas".

Avisos de privacidade que não correspondem às práticas reais

Os controladores devem garantir que suas divulgações de privacidade descrevam com precisão quais dados são coletados, por quê e com quem são compartilhados. Essas práticas podem divergir do que o aviso de privacidade declara quando scripts de terceiros mudam ou novas tags são adicionadas pelas equipes de marketing.

A violação é inequivocamente sua se um script no seu site compartilhar dados com uma parte não divulgada.

Mecanismos de opt-out que não funcionam

Os avisos de privacidade podem prometer aos consumidores o direito de optar por não participar do compartilhamento de dados, mas falhar quando uma solicitação real de um consumidor chega.

A ação de fiscalização do Procurador-Geral da Califórnia contra a Sephora ilustrou esse risco. A empresa afirmava que os usuários podiam optar por não participar da venda de dados, mas continuava enviando dados para parceiros de publicidade. Os reguladores trataram isso como uma negação dos direitos dos consumidores. A mesma lógica de fiscalização se aplica sob a VCDPA.

Avaliações de proteção de dados ausentes ou inadequadas

Organizações que processam dados pessoais para publicidade direcionada, vendem dados ou lidam com informações sensíveis devem documentar avaliações de proteção de dados. Muitas organizações ignoram esse requisito ou produzem avaliações que não analisam os riscos de forma significativa.

O Procurador-Geral pode solicitar esses documentos durante uma investigação. Uma organização que não consegue apresentar avaliações adequadas enfrenta uma batalha difícil para demonstrar conformidade.

Não cumprimento dos prazos de resposta

As solicitações de direitos dos consumidores devem ser respondidas em 45 dias e os recursos devem ser resolvidos em 60 dias. Organizações sem sistemas eficientes de recebimento e resposta podem perder esses prazos. Um padrão de solicitações atrasadas ou ignoradas sinaliza não conformidade sistêmica.

Recursos Oficiais da VCDPA e Links Governamentais

Procurador-Geral da Virgínia, Resumo da VCDPA: O resumo oficial do Gabinete do Procurador-Geral explicando os direitos dos consumidores, as obrigações das empresas e os procedimentos de fiscalização
Código da Virgínia, Capítulo 53: O texto completo da lei, incluindo todas as definições, direitos dos consumidores, deveres dos controladores e regras de fiscalização
Central de Proteção ao Consumidor da Virgínia: 1-800-552-9963 (dentro da Virgínia) ou (804) 786-2042 (área de Richmond e fora da Virgínia). Horário de atendimento: 8h30 às 17h, de segunda a sexta-feira

Cronologia da VCDPA

2 de março de 2021: O governador Ralph Northam sancionou a Lei de Proteção de Dados do Consumidor da Virgínia
1º de janeiro de 2023: A VCDPA entrou em vigor. A fiscalização pelo Procurador-Geral da Virgínia teve início. Os requisitos de avaliação de proteção de dados passaram a ser aplicáveis para novas atividades de processamento
1º de janeiro de 2025: As emendas relativas aos dados de crianças entraram em vigor e tornaram obrigatório o consentimento dos pais antes do processamento de dados pessoais de crianças conhecidas para publicidade direcionada, criação de perfis e outros fins especificados

1º de janeiro de 2026: Emendas adicionais relacionadas a limites de tempo em redes sociais para menores de 16 anos entram em vigor

Como o cside Ajuda Organizações a Alcançar Conformidade com a VCDPA

O cside Privacy Watch detecta violações ocultas de privacidade em sites monitorando sinais na camada do navegador, que as ferramentas de conformidade tradicionais ignoram. O cside oferece uma visão clara de quais scripts operam no seu site, quais dados eles acessam e para onde esses dados vão. Isso permite verificar se as práticas reais de coleta de dados correspondem às suas divulgações de privacidade.

O código de terceiros no seu site muda com frequência. O cside detecta mudanças em ferramentas de terceiros assim que elas acontecem e permite identificar coletas de dados desnecessárias antes que criem riscos de conformidade.
O cside monitora comportamentos suspeitos de scripts que indicam que um ataque no lado do cliente está mirando os dados dos visitantes do seu site.
Os requisitos do lado do cliente para transparência, limitação de finalidade e salvaguardas de segurança são automatizados com painéis e evidências automatizadas.

Você pode começar com o plano gratuito do cside ou agendar uma demonstração para saber mais sobre como atender aos requisitos do lado do cliente das leis de privacidade estaduais como a VCDPA.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A VCDPA pode se aplicar a empresas menores também, não apenas a grandes corporações. A aplicabilidade depende do volume de dados pessoais de residentes da Virgínia que você processa, e empresas que vendem dados pessoais têm mais chances de estar dentro do escopo da lei.

Um banner de cookies pode ajudar, mas não é suficiente por si só. O que importa é se o seu site realmente respeita as escolhas dos usuários e protege os dados pessoais. Embora a VCDPA exija consentimento explícito apenas para dados sensíveis, qualquer dado pessoal exposto por meio de violações no lado do cliente ainda pode constituir uma infração de privacidade.

Sim. Sob a VCDPA, a empresa que opera o site é responsável pela conformidade, mesmo que o script de um fornecedor terceiro seja a origem da coleta ou compartilhamento de dados que causou a violação.

Não. O consentimento explícito é exigido apenas para dados sensíveis, como dados de localização precisa, informações de saúde ou dados de crianças. No entanto, muitos sites coletam dados sensíveis inadvertidamente por meio de scripts de análise ou marketing, o que ainda pode gerar obrigações de conformidade.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.