GDPR

GDPR wordpress é o conjunto de regras que sites WordPress precisam seguir quando recebem tráfego ou processam dados de cidadãos da União Europeia. O General Data Protection Regulation entrou em vigor em maio de 2018, vale para qualquer site (independente de onde esteja hospedado) que coleta dados de europeus, e prevê multas de até 4% do faturamento global anual ou 20 milhões de euros, o que for maior. Inspirou diretamente a LGPD brasileira de 2020.

O que é o GDPR

GDPR é a sigla de General Data Protection Regulation, o regulamento da União Europeia que padroniza tratamento de dados pessoais nos 27 países do bloco. Substituiu a Diretiva 95/46/CE, que era de 1995 e estava obsoleta para a economia digital. Foi aprovado em 2016 e teve dois anos de adaptação até virar obrigatório em 25 de maio de 2018.

O texto define dado pessoal de forma ampla: qualquer informação que identifique ou possa identificar uma pessoa física. Inclui nome, email, telefone, endereço, IP, cookies, fotos, dados de localização, identificadores online. O escopo amplo é proposital: o regulador queria fechar lacunas que permitissem driblar a lei.

O GDPR vale extraterritorialmente. Sites no Brasil, EUA, Japão ou qualquer país que ofereçam produtos/serviços para europeus, monitorem comportamento de europeus ou coletem dados deles precisam cumprir. Não importa onde está o servidor, o CNPJ ou a equipe: importa a residência da pessoa cujos dados são coletados.

Para sites WordPress, isso significa que mesmo blogs brasileiros pequenos podem cair na regra se aceitam comentários de europeus, vendem para a UE ou rastreiam visitantes europeus via Google Analytics e pixels. A prática de mercado é assumir que o GDPR aplica e cobrir os requisitos básicos preventivamente, principalmente porque a maioria das exigências também atende a LGPD.

GDPR vs LGPD: diferenças

A LGPD (Lei Geral de Proteção de Dados, 13.709/2018) foi inspirada diretamente no GDPR e tem estrutura semelhante. Ambas definem direitos do titular, bases legais para tratamento, obrigações do controlador e operador, regras de transferência internacional e sanções administrativas. A maior parte da operação WordPress que cumpre uma lei cumpre a outra.

As diferenças aparecem nos detalhes. O GDPR define 6 bases legais para tratamento; a LGPD define 10 (mais flexível). O GDPR exige DPO (Data Protection Officer) para certas atividades; a LGPD exige Encarregado em todas as empresas que tratam dados pessoais, com exceções definidas pela ANPD. O GDPR multa até 4% do faturamento global; a LGPD multa até 2% do faturamento da empresa no Brasil, limitado a R$ 50 milhões por infração.

Outra diferença é a maturidade da fiscalização. O GDPR tem 6+ anos de aplicação, multas pesadas já aplicadas (Meta com 1,2 bilhão de euros em 2023, Google com 90 milhões em 2022) e jurisprudência consolidada. A LGPD começou a multar de fato em 2023 e ainda está construindo precedentes. Sites brasileiros com tráfego europeu costumam tratar GDPR como referência mais rigorosa.

Em prática WordPress, a diferença operacional é mínima. Banner de cookies, política de privacidade clara, base legal documentada para cada tratamento, mecanismo de oposição e exclusão atendem aos dois regulamentos com poucos ajustes.

Requisitos para sites WordPress

O primeiro requisito é consentimento explícito para cookies não essenciais. Cookie banner que pergunte se o visitante aceita marketing, analytics e personalização, com possibilidade de aceitar, recusar e gerenciar individualmente. “Continuar navegando significa aceitar” não cumpre o GDPR desde 2020, depois da decisão Planet49. Plugins como Complianz, Cookiebot e CookieYes implementam o banner correto.

O segundo é política de privacidade detalhada. Precisa listar quais dados são coletados, finalidades de cada coleta, base legal, terceiros com quem os dados são compartilhados, prazo de retenção, direitos do titular e dados de contato do controlador e do DPO. WordPress tem template de política em /wp-admin/options-privacy.php que serve como ponto de partida, mas precisa ser personalizado.

O terceiro é mecanismo de exercício de direitos. Titular pode pedir acesso, retificação, exclusão, portabilidade e oposição. Sites devem ter formulário ou processo claro para receber e responder pedidos em até 30 dias. Plugins como WP GDPR Compliance e a função nativa de exportação/exclusão do WordPress (Tools > Export/Erase Personal Data) cobrem o básico.

O quarto é segurança técnica adequada. SSL obrigatório, hash de senhas (já vem por padrão no WordPress), proteção contra ataques de força bruta, backup criptografado, controle de acesso por papel. Em formulário de contato e checkout do WooCommerce, criptografia em trânsito e em repouso.

Multas e como evitar

O regime de multas tem dois patamares. Para violações graves (consentimento inválido, transferência internacional irregular, violação de direitos do titular, violação de princípios fundamentais), a multa pode chegar a 4% do faturamento global ou 20 milhões de euros. Para violações leves (falta de DPO, falta de registro de operações, falta de notificação de incidente), o teto cai para 2% ou 10 milhões.

A maioria das multas grandes do GDPR foi aplicada por dois motivos. Primeiro, transferência internacional sem salvaguarda adequada (o caso Schrems II em 2020 invalidou o Privacy Shield e causou multas em sites que enviavam dados para os EUA sem cláusulas contratuais corretas). Segundo, consentimento de cookies inválido (banner enganoso, opt-out difícil, marketing ativado por default).

Para sites WordPress brasileiros, o risco prático de multa GDPR é baixo se o site não tem operação direta na UE. Ainda assim, autoridades europeias podem notificar e exigir correção mesmo sem multar de imediato, e plataformas como Google e Meta cortam acesso de sites que descumprem regras de privacidade. O custo reputacional excede o operacional.

Para evitar problema, o caminho prático é cobrir o checklist básico e revisar a cada 6-12 meses. Em sites WordPress, isso significa ter banner de cookies em compliance, política de privacidade atualizada, mecanismos técnicos de segurança e plugins anti-abuso ativos. A FULL Services entrega o AIOS licenciado dentro da stack profissional, com hardening do WordPress, controle de logs de acesso, criptografia, backup criptografado e proteção contra ameaças que atacam o lado de segurança exigido pelo general data protection regulation. Política, banner e fluxo de consentimento ficam em camada separada de compliance, mas a base técnica chega configurada.