# Requisição de dados no WordPress: O fluxo em 5 passos

<strong>Requisição de dados</strong> no WordPress se resolve com as ferramentas nativas Exportar e Apagar Dados Pessoais, sem plugin pago. Segundo a <a href="https://www.gov.br/anpd/pt-br">ANPD (2023)</a>, o titular tem direito de acesso e eliminação sob a LGPD. O fluxo nativo existe desde o WordPress 4.9.6, de maio de 2018. Mapeie cada plugin antes de responder.

Uma requisição de dados é o pedido formal de um titular para acessar, exportar ou apagar os dados pessoais que o seu site guarda. No WordPress, esse pedido tem um caminho oficial em Ferramentas, e não depende de plugin pago para sair do papel. O problema raramente é a ferramenta: é saber o que cada plugin escondeu no banco antes de clicar em confirmar. Este tutorial mostra o fluxo completo em 5 passos, do recebimento do pedido até o relatório auditável, alinhado à LGPD e ao que a <a href="https://full.services/lgpd-e-privacidade-wordpress/">central de conteúdos de LGPD e privacidade WordPress da FULL</a> recomenda para quem opera sites em escala.

---

## Diagnóstico rápido: O que a requisição de dados exige antes de responder

Uma requisição de dados bem atendida começa com inventário, não com cliques: em boa parte dos tickets de privacidade que chegam ao suporte da FULL, o site tem 3 ou mais plugins gravando dados pessoais e o operador só lembra de um.

A tabela abaixo organiza os três tipos de pedido previstos na LGPD (acesso, eliminação e correção) e o que cada um aciona no WordPress, para você não confundir exportar com apagar nem estourar o prazo legal de 15 dias.

<p class="wp-caption-text">Legenda: o menu Ferramentas concentra exportação e exclusão, o ponto de partida de qualquer requisição de dados.</p>

<table id="tipos-requisicao-de-dados">
  <caption>Requisição de dados: tipos, ação no WordPress e prazo</caption>
  <thead>
    <tr>
      <th scope="col">Tipo de pedido</th>
      <th scope="col">Ação no WordPress</th>
      <th scope="col">Prazo de referência</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Acesso / portabilidade</th>
      <td>Ferramentas, Exportar Dados Pessoais, gera arquivo ZIP com HTML</td>
      <td>Imediato à confirmação</td>
    </tr>
    <tr>
      <th scope="row">Eliminação</th>
      <td>Ferramentas, Apagar Dados Pessoais, dispara erasers registrados</td>
      <td>Sem demora injustificada</td>
    </tr>
    <tr>
      <th scope="row">Correção</th>
      <td>Edição manual no perfil ou no registro do plugin</td>
      <td>Resposta em 15 dias</td>
    </tr>
  </tbody>
</table>

A LGPD não fixa um prazo único para todos os pedidos, mas estabelece atendimento "imediato" para confirmação de tratamento e até 15 dias para a declaração completa. Tratar a requisição de dados como tarefa de uma pessoa só, sem inventário, é a causa mais frequente de relatório incompleto.

---

## Por que a ferramenta nativa do WordPress já resolve a maior parte

As ferramentas nativas resolvem a maior parte das requisições porque o WordPress 4.9.6, lançado em <time datetime="2018-05">maio de 2018</time>, embutiu exportação e exclusão de dados pessoais no núcleo, sem custo de licença. Você acessa em Ferramentas, Exportar Dados Pessoais e Ferramentas, Apagar Dados Pessoais. O motor por trás são dois filtros: `wp_privacy_personal_data_exporters`, que monta o relatório, e `wp_privacy_personal_data_erasers`, que executa a remoção. Plugins bem escritos se registram nesses filtros automaticamente.

O limite é claro e honesto: numa requisição de dados, o WordPress só enxerga o que cada plugin declara. Um formulário antigo que grava leads numa tabela própria, sem registrar o callback de exporter, fica invisível no arquivo gerado. Por isso o inventário do passo anterior não é burocracia. Para entender o terreno legal completo antes de configurar, vale revisar o panorama de <a href="https://full.services/lgpd-wordpress/">como a LGPD se aplica ao WordPress</a> na prática.

---

## Passo a passo: Como atender uma requisição de dados no WordPress

Atender uma requisição de dados de ponta a ponta leva 5 passos e, num site organizado, menos de 30 minutos por pedido. A sequência abaixo vai da verificação de identidade do titular até o relatório auditável que serve de prova de conformidade.

Cada passo é um H3 com a ação no título, para você executar lendo só os subtítulos. O fluxo vale tanto para acesso quanto para eliminação, mudando apenas a ferramenta acionada no final.

### Passo 1: Verifique a identidade do solicitante

Confirme que o solicitante é mesmo o titular antes de qualquer exportação, porque atender a requisição de dados da pessoa errada é, em si, um vazamento de dados. Peça um e-mail que já conste no cadastro ou um documento, e registre a data com `<time datetime="2026-06">junho de 2026</time>` no seu log interno. A LGPD responsabiliza o controlador que entrega dados a quem não é o dono. Em sites com cadastro, cruze o e-mail informado com o usuário existente antes de seguir.

### Passo 2: Faça o inventário dos plugins que tratam dados

Liste cada plugin que grava dados pessoais: formulários, comentários, WooCommerce, newsletter e analytics. Em boa parte dos sites que passam pelo suporte da FULL, há ao menos um plugin legado sem o callback de exporter registrado, e ele não aparece na exportação nativa. Abra a tabela de plugins ativos e marque quais geram leads ou pedidos. Esse mapa define se a ferramenta nativa basta ou se você precisará exportar manualmente de uma tabela específica do banco.

### Passo 3: Gere a exportação em ferramentas, exportar dados pessoais

Acesse Ferramentas, Exportar Dados Pessoais, informe o e-mail do titular e envie o pedido de confirmação. O WordPress dispara um e-mail com link de verificação ao próprio titular, que deve clicar para autorizar. Só após a confirmação o sistema monta o arquivo ZIP com um HTML legível de todos os dados que os plugins registraram. Esse duplo aceite, pedido mais confirmação, é a salvaguarda nativa contra exportações indevidas.

### Passo 4: Execute a exclusão em ferramentas, apagar dados pessoais

Use Ferramentas, Apagar Dados Pessoais quando o pedido for de eliminação, lembrando que é uma ação destrutiva e irreversível. O WordPress percorre, num laço AJAX, todos os erasers registrados via `wp_privacy_personal_data_erasers`, um a um. Antes de confirmar, faça um <a href="https://full.services/backup-banco-de-dados-wordpress/">backup do banco de dados</a>: se um eraser apagar mais do que devia, o snapshot é a única volta. A confirmação por e-mail do titular também é exigida aqui.

### Passo 5: Documente o atendimento e arquive a prova

Registre cada requisição de dados com data, tipo de pedido e o arquivo gerado, porque a LGPD exige demonstrar conformidade, não só praticá-la. Salve o ZIP de exportação ou o log de exclusão num diretório fora do site, com a data marcada em `<time datetime="2026-06">junho de 2026</time>`. Esse histórico é o que você apresenta à ANPD em caso de fiscalização. Sem o arquivo de prova, o atendimento correto vira palavra contra palavra.

---

## Plugins que estendem o que o WordPress nativo não cobre

Plugins de privacidade entram em cena quando o núcleo não basta, e cobrem 3 lacunas concretas: consentimento de cookies, registro de erasers para tabelas próprias e painel de auditoria. O WordPress nativo não faz nenhuma das três.

Quatro nomes resolvem a maior parte das requisições de dados: Complianz, para banner de consentimento e relatório; WP GDPR Compliance, para integrar formulários comuns ao fluxo nativo; WP Data Access, para inspecionar tabelas customizadas; e o próprio WooCommerce, que já registra seus exporters e erasers. Para escolher entre eles, o comparativo de <a href="https://full.services/melhores-plugins-wordpress-de-conformidade-com-gdpr/">plugins de conformidade com GDPR e LGPD</a> detalha cada cenário.

O ponto que ninguém cobre: um plugin de formulário sem o callback `wp_privacy_personal_data_exporters` deixa os leads invisíveis na exportação nativa, e o titular recebe um relatório incompleto sem ninguém perceber. Antes de confiar na ferramenta, teste com o seu próprio e-mail e confira se os dados do formulário aparecem no ZIP. Se não aparecerem, o plugin precisa de extensão ou exportação manual da tabela.

---

## Quando a requisição de dados conflita com a guarda fiscal

A eliminação de dados não é absoluta: a própria LGPD prevê exceções, e a mais comum no WordPress envolve e-commerce. WooCommerce com retenção ilimitada de pedidos mais um pedido de exclusão gera conflito entre o direito do titular e o dever fiscal de guardar a nota por 5 anos.

A regra prática é separar o que é dado pessoal dispensável (telefone de marketing, histórico de navegação) do que é registro fiscal obrigatório. Você anonimiza o primeiro e retém o segundo, documentando a base legal da retenção.

O WooCommerce traz, em Ajustes, Contas e Privacidade, opções de anonimização automática de pedidos antigos via `wp_privacy_anonymize_data`. Configurar essa retenção com prazo definido, em vez de ilimitado, resolve o conflito antes que ele apareça num pedido. Em <time datetime="2026">2026</time>, com a fiscalização da ANPD mais ativa do que em <time datetime="2021">2021</time>, deixar a retenção no padrão "para sempre" é um risco que a maioria dos lojistas ignora até receber o primeiro pedido formal.

---

## A FULL no atendimento contínuo de requisições de dados

Atender requisições de dados pontualmente é viável sozinho, mas manter conformidade contínua, com plugins atualizados, backups íntegros e banner de consentimento ativo, é trabalho recorrente. É aí que entra o plano PRO da FULL, a R$849,90 por mês para até 10 sites, o que dá cerca de R$85 por site.

A gente vê no suporte que a maioria dos vazamentos de dados começa não num ataque sofisticado, mas num plugin desatualizado ou num backup que nunca foi testado. O bundle inclui o All in One Security, o UpdraftPlus para backup automático e a curadoria de atualizações que mantém os erasers funcionando. Conheça os <a href="https://full.services/planos">planos da FULL</a> para gerir privacidade sem virar tarefa manual a cada pedido.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia deste tutorial</h2>
<p>O fluxo descrito foi validado em ambientes WordPress 6.x com PHP 8.2, testando as ferramentas nativas Exportar e Apagar Dados Pessoais em instalações com WooCommerce, formulários de contato e plugins de comentários ativos. As referências de hooks (<code>wp_privacy_personal_data_exporters</code>, <code>wp_privacy_personal_data_erasers</code> e <code>wp_privacy_anonymize_data</code>) foram conferidas contra a documentação oficial em <a href="https://developer.wordpress.org/plugins/privacy/">developer.WordPress.org</a>. Os prazos e direitos do titular seguem a Lei 13.709 e as orientações da ANPD. Observações de campo vêm dos tickets de privacidade da base de 150 mil sites conectados à FULL, usadas como contexto qualitativo, sem proporções fechadas.</p>
</aside>

---

<h2 id="faq">Perguntas frequentes sobre requisição de dados no WordPress</h2>

<details>
<summary>Por que a ferramenta nativa de exportar dados às vezes devolve um relatório incompleto?</summary>
<p>Porque o WordPress só exporta o que cada plugin declara via o filtro <code>wp_privacy_personal_data_exporters</code>. Um plugin de formulário antigo que grava leads numa tabela própria, sem registrar esse callback, fica invisível na exportação nativa. O titular recebe um ZIP que parece completo, mas faltam dados. Teste com o seu próprio e-mail antes de confiar: se os dados do formulário não aparecem, o plugin precisa de extensão.</p>
</details>

<details>
<summary>É possível atender uma requisição de dados sem instalar nenhum plugin pago?</summary>
<p>Sim. As ferramentas Exportar Dados Pessoais e Apagar Dados Pessoais são nativas do WordPress desde a versão 4.9.6, de maio de 2018, e não custam licença. Elas cobrem usuários, comentários e plugins que se registram nos filtros de privacidade. Plugin pago só é necessário quando você precisa de banner de consentimento, auditoria avançada ou integração de tabelas customizadas que não declaram os callbacks nativos.</p>
</details>

<details>
<summary>Qual o prazo para responder a uma requisição de dados sob a LGPD?</summary>
<p>A LGPD exige confirmação de tratamento de forma imediata e a declaração completa dos dados em até 15 dias, conforme o artigo 19. Não há um prazo único para todo tipo de pedido, mas a regra geral é não impor demora injustificada. Para eliminação, atenda assim que a base legal permitir, ressalvando os dados que você é obrigado a guardar, como registros fiscais do WooCommerce por 5 anos.</p>
</details>

<details>
<summary>Quantos dias o WordPress mantém um pedido de dados pendente de confirmação?</summary>
<p>Por padrão, o WordPress mantém uma requisição de dados aguardando confirmação do titular por 1 dia antes de o link de verificação expirar, e o pedido fica registrado na tela de Ferramentas até você processá-lo ou removê-lo. O titular precisa clicar no link enviado por e-mail para o pedido sair do status pendente. Se o link expirar, basta reenviar a solicitação pela mesma tela de exportação ou exclusão.</p>
</details>

<details>
<summary>O que fazer quando a exclusão de dados conflita com a guarda fiscal do WooCommerce?</summary>
<p>Separe dado pessoal dispensável de registro fiscal obrigatório. Você anonimiza telefone e histórico de navegação com <code>wp_privacy_anonymize_data</code>, mas retém a nota fiscal pelos 5 anos exigidos por lei, documentando a base legal da retenção. O WooCommerce oferece anonimização automática de pedidos antigos em Ajustes, Contas e Privacidade. Configurar um prazo definido, em vez de retenção ilimitada, resolve o conflito antes de o pedido chegar.</p>
</details>

---

## Próximos passos para operar privacidade no WordPress

Tratar uma requisição de dados deixa de ser pânico quando o site já está mapeado: você sabe quais plugins gravam dados, testou a exportação nativa e tem backup antes de qualquer exclusão. As ferramentas do WordPress 4.9.6 cobrem o essencial, e os plugins entram só para fechar lacunas de consentimento e auditoria. O passo seguinte natural é estruturar a base do site: defina <a href="https://full.services/como-criar-politica-de-privacidade-para-wordpress/">a política de privacidade do WordPress</a> e confirme <a href="https://full.services/como-saber-se-seu-site-wordpress-usa-cookies/">se o seu site usa cookies que exigem consentimento</a>. Para aprofundar conceitos como <a href="https://full.services/glossario/lgpd-wordpress/">LGPD no WordPress</a>, <a href="https://full.services/glossario/cookies-wordpress/">cookies</a>, <a href="https://full.services/glossario/banco-de-dados-wordpress/">banco de dados</a> e <a href="https://full.services/glossario/backup-wordpress/">backup</a>, o glossário da FULL traz cada termo em contexto. O FULL Academy reúne todos os tutoriais e guias de privacidade num só lugar.