# GDPR

GDPR wordpress é o conjunto de regras que sites WordPress precisam seguir quando recebem tráfego ou processam dados de cidadãos da União Europeia. O General Data Protection Regulation entrou em vigor em maio de 2018, vale para qualquer site (independente de onde esteja hospedado) que coleta dados de europeus, e prevê multas de até 4% do faturamento global anual ou 20 milhões de euros, o que for maior. Inspirou diretamente a LGPD brasileira de 2020.

## O que é o GDPR

GDPR é a sigla de General Data Protection Regulation, o regulamento da União Europeia que padroniza tratamento de dados pessoais nos 27 países do bloco. Substituiu a Diretiva 95/46/CE, que era de 1995 e estava obsoleta para a economia digital. Foi aprovado em 2016 e teve dois anos de adaptação até virar obrigatório em 25 de maio de 2018.

O texto define dado pessoal de forma ampla: qualquer informação que identifique ou possa identificar uma pessoa física. Inclui nome, email, telefone, endereço, IP, cookies, fotos, dados de localização, identificadores online. O escopo amplo é proposital: o regulador queria fechar lacunas que permitissem driblar a lei.

O GDPR vale extraterritorialmente. Sites no Brasil, EUA, Japão ou qualquer país que ofereçam produtos/serviços para europeus, monitorem comportamento de europeus ou coletem dados deles precisam cumprir. Não importa onde está o servidor, o CNPJ ou a equipe: importa a residência da pessoa cujos dados são coletados.

Para sites WordPress, isso significa que mesmo blogs brasileiros pequenos podem cair na regra se aceitam comentários de europeus, vendem para a UE ou rastreiam visitantes europeus via Google Analytics e pixels. A prática de mercado é assumir que o GDPR aplica e cobrir os requisitos básicos preventivamente, principalmente porque a maioria das exigências também atende a [LGPD](https://full.services/glossario/lgpd-wordpress/).

## GDPR vs LGPD: diferenças

A LGPD (Lei Geral de Proteção de Dados, 13.709/2018) foi inspirada diretamente no GDPR e tem estrutura semelhante. Ambas definem direitos do titular, bases legais para tratamento, obrigações do controlador e operador, regras de transferência internacional e sanções administrativas. A maior parte da operação WordPress que cumpre uma lei cumpre a outra.

As diferenças aparecem nos detalhes. O GDPR define 6 bases legais para tratamento; a LGPD define 10 (mais flexível). O GDPR exige DPO (Data Protection Officer) para certas atividades; a LGPD exige Encarregado em todas as empresas que tratam dados pessoais, com exceções definidas pela ANPD. O GDPR multa até 4% do faturamento global; a LGPD multa até 2% do faturamento da empresa no Brasil, limitado a R$ 50 milhões por infração.

Outra diferença é a maturidade da fiscalização. O GDPR tem 6+ anos de aplicação, multas pesadas já aplicadas (Meta com 1,2 bilhão de euros em 2023, Google com 90 milhões em 2022) e jurisprudência consolidada. A LGPD começou a multar de fato em 2023 e ainda está construindo precedentes. Sites brasileiros com tráfego europeu costumam tratar GDPR como referência mais rigorosa.

Em prática WordPress, a diferença operacional é mínima. Banner de [cookies](https://full.services/glossario/cookies-wordpress/), política de privacidade clara, base legal documentada para cada tratamento, mecanismo de oposição e exclusão atendem aos dois regulamentos com poucos ajustes.

## Requisitos para sites WordPress

O primeiro requisito é consentimento explícito para cookies não essenciais. Cookie banner que pergunte se o visitante aceita marketing, analytics e personalização, com possibilidade de aceitar, recusar e gerenciar individualmente. "Continuar navegando significa aceitar" não cumpre o GDPR desde 2020, depois da decisão Planet49. Plugins como Complianz, Cookiebot e CookieYes implementam o banner correto.

O segundo é política de privacidade detalhada. Precisa listar quais dados são coletados, finalidades de cada coleta, base legal, terceiros com quem os dados são compartilhados, prazo de retenção, direitos do titular e dados de contato do controlador e do DPO. WordPress tem template de política em /wp-admin/options-privacy.php que serve como ponto de partida, mas precisa ser personalizado.

O terceiro é mecanismo de exercício de direitos. Titular pode pedir acesso, retificação, exclusão, portabilidade e oposição. Sites devem ter formulário ou processo claro para receber e responder pedidos em até 30 dias. Plugins como WP GDPR Compliance e a função nativa de exportação/exclusão do WordPress (Tools > Export/Erase Personal Data) cobrem o básico.

O quarto é segurança técnica adequada. [SSL](https://full.services/glossario/ssl-certificado/) obrigatório, hash de senhas (já vem por padrão no WordPress), proteção contra ataques de força bruta, backup criptografado, controle de acesso por papel. Em [formulário de contato](https://full.services/glossario/formulario-de-contato-wordpress/) e checkout do WooCommerce, criptografia em trânsito e em repouso.

## Multas e como evitar

O regime de multas tem dois patamares. Para violações graves (consentimento inválido, transferência internacional irregular, violação de direitos do titular, violação de princípios fundamentais), a multa pode chegar a 4% do faturamento global ou 20 milhões de euros. Para violações leves (falta de DPO, falta de registro de operações, falta de notificação de incidente), o teto cai para 2% ou 10 milhões.

A maioria das multas grandes do GDPR foi aplicada por dois motivos. Primeiro, transferência internacional sem salvaguarda adequada (o caso Schrems II em 2020 invalidou o Privacy Shield e causou multas em sites que enviavam dados para os EUA sem cláusulas contratuais corretas). Segundo, consentimento de cookies inválido (banner enganoso, opt-out difícil, marketing ativado por default).

Para sites WordPress brasileiros, o risco prático de multa GDPR é baixo se o site não tem operação direta na UE. Ainda assim, autoridades europeias podem notificar e exigir correção mesmo sem multar de imediato, e plataformas como Google e Meta cortam acesso de sites que descumprem regras de privacidade. O custo reputacional excede o operacional.

Para evitar problema, o caminho prático é cobrir o checklist básico e revisar a cada 6-12 meses. Em sites WordPress, isso significa ter banner de cookies em compliance, política de privacidade atualizada, mecanismos técnicos de segurança e plugins anti-abuso ativos. A FULL Services entrega o **AIOS** licenciado dentro da stack profissional, com hardening do WordPress, controle de logs de acesso, criptografia, backup criptografado e proteção contra ameaças que atacam o lado de segurança exigido pelo general data protection regulation. Política, banner e fluxo de consentimento ficam em camada separada de compliance, mas a base técnica chega configurada.

**Também conhecido como:** general data protection regulation, gdpr europa

## Termos relacionados

- [LGPD no WordPress](https://full.services/glossario/lgpd-wordpress/)
- [Cookies no WordPress](https://full.services/glossario/cookies-wordpress/)
- [SSL Certificado](https://full.services/glossario/ssl-certificado/)
- [Formulário de Contato no WordPress](https://full.services/glossario/formulario-de-contato-wordpress/)

---

Glossário WordPress da FULL Services: [GDPR](https://full.services/glossario/gdpr/)