Requisição de dados no WordPress se resolve com as ferramentas nativas Exportar e Apagar Dados Pessoais, sem plugin pago. Segundo a ANPD (2023), o titular tem direito de acesso e eliminação sob a LGPD. O fluxo nativo existe desde o WordPress 4.9.6, de maio de 2018. Mapeie cada plugin antes de responder.

Uma requisição de dados é o pedido formal de um titular para acessar, exportar ou apagar os dados pessoais que o seu site guarda. No WordPress, esse pedido tem um caminho oficial em Ferramentas, e não depende de plugin pago para sair do papel. O problema raramente é a ferramenta: é saber o que cada plugin escondeu no banco antes de clicar em confirmar. Este tutorial mostra o fluxo completo em 5 passos, do recebimento do pedido até o relatório auditável, alinhado à LGPD e ao que a central de conteúdos de LGPD e privacidade WordPress da FULL recomenda para quem opera sites em escala.

Diagnóstico rápido: O que a requisição de dados exige antes de responder

Uma requisição de dados bem atendida começa com inventário, não com cliques: em boa parte dos tickets de privacidade que chegam ao suporte da FULL, o site tem 3 ou mais plugins gravando dados pessoais e o operador só lembra de um.

A tabela abaixo organiza os três tipos de pedido previstos na LGPD (acesso, eliminação e correção) e o que cada um aciona no WordPress, para você não confundir exportar com apagar nem estourar o prazo legal de 15 dias.

Legenda: o menu Ferramentas concentra exportação e exclusão, o ponto de partida de qualquer requisição de dados.

A LGPD não fixa um prazo único para todos os pedidos, mas estabelece atendimento “imediato” para confirmação de tratamento e até 15 dias para a declaração completa. Tratar a requisição de dados como tarefa de uma pessoa só, sem inventário, é a causa mais frequente de relatório incompleto.

Por que a ferramenta nativa do WordPress já resolve a maior parte

As ferramentas nativas resolvem a maior parte das requisições porque o WordPress 4.9.6, lançado em maio de 2018, embutiu exportação e exclusão de dados pessoais no núcleo, sem custo de licença. Você acessa em Ferramentas, Exportar Dados Pessoais e Ferramentas, Apagar Dados Pessoais. O motor por trás são dois filtros: wp_privacy_personal_data_exporters, que monta o relatório, e wp_privacy_personal_data_erasers, que executa a remoção. Plugins bem escritos se registram nesses filtros automaticamente.

O limite é claro e honesto: numa requisição de dados, o WordPress só enxerga o que cada plugin declara. Um formulário antigo que grava leads numa tabela própria, sem registrar o callback de exporter, fica invisível no arquivo gerado. Por isso o inventário do passo anterior não é burocracia. Para entender o terreno legal completo antes de configurar, vale revisar o panorama de como a LGPD se aplica ao WordPress na prática.

Passo a passo: Como atender uma requisição de dados no WordPress

Atender uma requisição de dados de ponta a ponta leva 5 passos e, num site organizado, menos de 30 minutos por pedido. A sequência abaixo vai da verificação de identidade do titular até o relatório auditável que serve de prova de conformidade.

Cada passo é um H3 com a ação no título, para você executar lendo só os subtítulos. O fluxo vale tanto para acesso quanto para eliminação, mudando apenas a ferramenta acionada no final.

Passo 1: Verifique a identidade do solicitante

Confirme que o solicitante é mesmo o titular antes de qualquer exportação, porque atender a requisição de dados da pessoa errada é, em si, um vazamento de dados. Peça um e-mail que já conste no cadastro ou um documento, e registre a data com junho de 2026 no seu log interno. A LGPD responsabiliza o controlador que entrega dados a quem não é o dono. Em sites com cadastro, cruze o e-mail informado com o usuário existente antes de seguir.

Passo 2: Faça o inventário dos plugins que tratam dados

Liste cada plugin que grava dados pessoais: formulários, comentários, WooCommerce, newsletter e analytics. Em boa parte dos sites que passam pelo suporte da FULL, há ao menos um plugin legado sem o callback de exporter registrado, e ele não aparece na exportação nativa. Abra a tabela de plugins ativos e marque quais geram leads ou pedidos. Esse mapa define se a ferramenta nativa basta ou se você precisará exportar manualmente de uma tabela específica do banco.

Passo 3: Gere a exportação em ferramentas, exportar dados pessoais

Acesse Ferramentas, Exportar Dados Pessoais, informe o e-mail do titular e envie o pedido de confirmação. O WordPress dispara um e-mail com link de verificação ao próprio titular, que deve clicar para autorizar. Só após a confirmação o sistema monta o arquivo ZIP com um HTML legível de todos os dados que os plugins registraram. Esse duplo aceite, pedido mais confirmação, é a salvaguarda nativa contra exportações indevidas.

Passo 4: Execute a exclusão em ferramentas, apagar dados pessoais

Use Ferramentas, Apagar Dados Pessoais quando o pedido for de eliminação, lembrando que é uma ação destrutiva e irreversível. O WordPress percorre, num laço AJAX, todos os erasers registrados via wp_privacy_personal_data_erasers, um a um. Antes de confirmar, faça um backup do banco de dados: se um eraser apagar mais do que devia, o snapshot é a única volta. A confirmação por e-mail do titular também é exigida aqui.

Passo 5: Documente o atendimento e arquive a prova

Registre cada requisição de dados com data, tipo de pedido e o arquivo gerado, porque a LGPD exige demonstrar conformidade, não só praticá-la. Salve o ZIP de exportação ou o log de exclusão num diretório fora do site, com a data marcada em junho de 2026. Esse histórico é o que você apresenta à ANPD em caso de fiscalização. Sem o arquivo de prova, o atendimento correto vira palavra contra palavra.

Plugins que estendem o que o WordPress nativo não cobre

Plugins de privacidade entram em cena quando o núcleo não basta, e cobrem 3 lacunas concretas: consentimento de cookies, registro de erasers para tabelas próprias e painel de auditoria. O WordPress nativo não faz nenhuma das três.

Quatro nomes resolvem a maior parte das requisições de dados: Complianz, para banner de consentimento e relatório; WP GDPR Compliance, para integrar formulários comuns ao fluxo nativo; WP Data Access, para inspecionar tabelas customizadas; e o próprio WooCommerce, que já registra seus exporters e erasers. Para escolher entre eles, o comparativo de plugins de conformidade com GDPR e LGPD detalha cada cenário.

O ponto que ninguém cobre: um plugin de formulário sem o callback wp_privacy_personal_data_exporters deixa os leads invisíveis na exportação nativa, e o titular recebe um relatório incompleto sem ninguém perceber. Antes de confiar na ferramenta, teste com o seu próprio e-mail e confira se os dados do formulário aparecem no ZIP. Se não aparecerem, o plugin precisa de extensão ou exportação manual da tabela.

Quando a requisição de dados conflita com a guarda fiscal

A eliminação de dados não é absoluta: a própria LGPD prevê exceções, e a mais comum no WordPress envolve e-commerce. WooCommerce com retenção ilimitada de pedidos mais um pedido de exclusão gera conflito entre o direito do titular e o dever fiscal de guardar a nota por 5 anos.

A regra prática é separar o que é dado pessoal dispensável (telefone de marketing, histórico de navegação) do que é registro fiscal obrigatório. Você anonimiza o primeiro e retém o segundo, documentando a base legal da retenção.

O WooCommerce traz, em Ajustes, Contas e Privacidade, opções de anonimização automática de pedidos antigos via wp_privacy_anonymize_data. Configurar essa retenção com prazo definido, em vez de ilimitado, resolve o conflito antes que ele apareça num pedido. Em 2026, com a fiscalização da ANPD mais ativa do que em 2021, deixar a retenção no padrão “para sempre” é um risco que a maioria dos lojistas ignora até receber o primeiro pedido formal.

A FULL no atendimento contínuo de requisições de dados

Atender requisições de dados pontualmente é viável sozinho, mas manter conformidade contínua, com plugins atualizados, backups íntegros e banner de consentimento ativo, é trabalho recorrente. É aí que entra o plano PRO da FULL, a R$849,90 por mês para até 10 sites, o que dá cerca de R$85 por site.

A gente vê no suporte que a maioria dos vazamentos de dados começa não num ataque sofisticado, mas num plugin desatualizado ou num backup que nunca foi testado. O bundle inclui o All in One Security, o UpdraftPlus para backup automático e a curadoria de atualizações que mantém os erasers funcionando. Conheça os planos da FULL para gerir privacidade sem virar tarefa manual a cada pedido.

Perguntas frequentes sobre requisição de dados no WordPress

Próximos passos para operar privacidade no WordPress

Tratar uma requisição de dados deixa de ser pânico quando o site já está mapeado: você sabe quais plugins gravam dados, testou a exportação nativa e tem backup antes de qualquer exclusão. As ferramentas do WordPress 4.9.6 cobrem o essencial, e os plugins entram só para fechar lacunas de consentimento e auditoria. O passo seguinte natural é estruturar a base do site: defina a política de privacidade do WordPress e confirme se o seu site usa cookies que exigem consentimento. Para aprofundar conceitos como LGPD no WordPress, cookies, banco de dados e backup, o glossário da FULL traz cada termo em contexto. O FULL Academy reúne todos os tutoriais e guias de privacidade num só lugar.