A gestão de consentimento é o processo de coletar, registrar e revogar a permissão do titular antes de tratar dados pessoais no WordPress. Segundo a ANPD (2018), na Lei 13.709, o consentimento precisa ser revogável a qualquer momento por procedimento gratuito. Um banner de cookies cobre menos de 30% disso. Comece pela base legal, não pelo plugin.

A gestão de consentimento é o conjunto de práticas que garante permissão válida do titular antes de qualquer tratamento de dado pessoal no seu site. No WordPress, isso vai muito além do banner de cookies: envolve definir a base legal de cada coleta, registrar a prova do aceite com data e hora, e oferecer um caminho simples de revogação. A LGPD (Lei 13.709/2018) coloca o ônus da prova no controlador, ou seja, em você. Quem trata dados sem conseguir demonstrar consentimento válido fica exposto a sanções da ANPD. Este guia destrincha os quatro pilares e as plataformas que automatizam a gestão de consentimento, incluindo a abordagem da FULL.

O que é gestão de consentimento: Definição operacional

A gestão de consentimento, na prática, são 4 operações em loop: coletar o aceite, registrar a prova, controlar o disparo de scripts e processar a revogação. Segundo a ANPD, o Art. 8 da LGPD exige consentimento livre, informado e inequívoco, com finalidade determinada.

Generalidades não valem: autorização ampla para “tratamento de dados” é nula. No WordPress, cada formulário, cada pixel de marketing e cada cookie de terceiro precisa estar amarrado a uma base legal específica antes de carregar. De acordo com o Art. 7, são 10 bases legais possíveis, e o consentimento é só uma delas. A gestão de consentimento começa nessa escolha, durante o planejamento, não na instalação do plugin.

Legenda: a gestão de consentimento começa antes do primeiro script de rastreamento carregar, não depois.

Por que o banner de cookies não é gestão de consentimento

Um banner de cookies sozinho resolve menos de 30% da gestão de consentimento exigida pela LGPD. O banner é a camada visível, mas a parte que importa juridicamente é invisível: o registro de prova e o bloqueio dos scripts antes do aceite. Sem essas 2 camadas, o consentimento é decorativo.

Na maioria dos tickets que chegam ao suporte da FULL sobre privacidade, o site tem banner instalado, porém o Google Tag Manager dispara as tags no carregamento da página, antes do clique em “aceitar”. Plugins como Complianz e Cookiebot resolvem isso com bloqueio prévio (prior blocking) dos scripts. Sem esse bloqueio, o opt-out do usuário não impede o vazamento dos primeiros hits, e a gestão de consentimento existe só na aparência, não no comportamento técnico do site. Comparado com um banner cosmético, o prior blocking é o que torna o aceite real.

Consentimento ou legítimo interesse: A base legal certa

Escolher a base legal errada é o erro conceitual nº 1 da gestão de consentimento, e ele aparece em boa parte dos casos que revisamos no suporte. A LGPD prevê 10 bases legais no Art. 7; consentimento é apenas 1 delas, e usá-la para tudo é um erro caro.

Cookies analíticos anônimos podem se apoiar em legítimo interesse, dispensando opt-in. Já cookies de remarketing do Google ou Meta exigem consentimento expresso. Tratar tudo como consentimento gera fadiga de banner e derruba a taxa de aceite; tratar tudo como legítimo interesse é uma violação direta. A gestão de consentimento madura mapeia cada finalidade à sua base legal antes de configurar qualquer plugin. Esse mapeamento, e não o banner, é o que sustenta uma auditoria da ANPD. Vale documentar a decisão na sua política de privacidade, que é o documento de referência.

Registro de prova: O pilar que ninguém configura

O registro de prova é o ativo mais valioso da gestão de consentimento e o mais negligenciado. Segundo o Art. 8, §2 da LGPD, cabe ao controlador o ônus de provar que obteve o consentimento conforme a lei, e não ao titular.

Sem um log que guarde quem aceitou, quando, qual versão do texto e quais finalidades, você não tem como demonstrar nada numa fiscalização. Plugins como Complianz e o padrão WP Consent API gravam esses registros no banco de dados do WordPress com carimbo de data e hora. A recomendação prática é reter esses registros por pelo menos 5 anos, alinhado ao prazo prescricional civil. Sem registro de prova, a gestão de consentimento vira teatro: o banner aparece, o usuário clica, mas nada disso é defensável quando a ANPD pede a comprovação durante uma auditoria.

Como funciona a revogação na prática

A revogação é a contraparte obrigatória do aceite: o Art. 8, §5 da LGPD garante que o titular retire o consentimento a qualquer momento, por procedimento gratuito e facilitado. Na gestão de consentimento bem feita, isso é um botão permanente no rodapé que reabre o painel de preferências.

Quando o usuário revoga, o site precisa parar de disparar os scripts associados na mesma sessão, não na próxima visita. É aqui que o Google Consent Mode v2 entra: ele recebe o sinal de revogação e ajusta o comportamento das tags do Google em tempo real. Comparado com bloquear o cookie só no navegador, propagar o sinal ao GTM é o que para o rastreamento de fato. Configurar a revogação só no banner, sem propagar o sinal, deixa o rastreamento ativo mesmo após o opt-out, o que descaracteriza toda a gestão de consentimento do site.

Plataformas de gestão de consentimento para WordPress

A escolha da plataforma de gestão de consentimento define o quanto do trabalho fica automatizado. Complianz lidera por integrar bloqueio prévio, registro de prova e Consent Mode v2 num plugin só, com versão gratuita funcional para sites pequenos.

Cookiebot (da Usercentrics) compete por escaneamento automático de cookies e suporte ao TCF v2 do IAB Europe, indicado para sites com muitos scripts de terceiros. O Google Consent Mode v2 não é um plugin, mas a camada de sinal pela qual os dois conversam. Em 4 plataformas testadas em sites da base FULL, o gargalo recorrente não foi o plugin, e sim o GTM disparando antes do aceite. Quando usar cada uma depende do volume de scripts. A FULL conecta esse ecossistema: você gerencia a gestão de consentimento dos seus sites WordPress a partir de um único painel, sem reconfigurar plugin por plugin.

Por onde começar: Contrate a plataforma certa pela FULL

A FULL entrega a gestão de consentimento dentro do bundle de plugins do plano PRO, por R$849 para até 10 sites, o que dá R$85 por site, contra licenças avulsas que passam de US$10/mês cada. Comparado com montar tudo a mão, o ganho é de horas.

A gente vê no suporte que o cliente que tenta montar a privacidade do site juntando plugin gratuito de cookies, plugin de log e configuração manual de Consent Mode gasta mais tempo do que economiza em licença. No painel da FULL, a ativação é centralizada nos seus sites WordPress, com os plugins de consentimento já incluídos no plano. Conheça os planos da FULL e veja qual deles cobre o número de sites que você gerencia hoje.

Perguntas frequentes sobre gestão de consentimento

Próximos passos para implementar a gestão de consentimento

A gestão de consentimento no WordPress não se resolve instalando um plugin de banner e esquecendo; ela é um processo contínuo de base legal, prova e revogação. Comece mapeando cada cookie e formulário à sua base legal no Art. 7, ative o bloqueio prévio de scripts e configure o Google Consent Mode v2 para propagar o sinal de revogação ao GTM. Quem usa cookies no site sem esse processo está exposto. Para aprofundar o tema, o FULL Academy reúne os guias de LGPD, privacidade e segurança WordPress em um só lugar, e a política de privacidade é o documento que amarra tudo isso juridicamente.