Regulamentos

LGPD para publishers: o guia prático de como a lei brasileira afeta sua monetização em 2026

Por ana-redacao
May 28, 2026 às 1:33 PM

A LGPD (Lei 13.709/2018) é a lei brasileira de proteção de dados, em vigor desde setembro de 2020, com fiscalização que se intensificou desde fevereiro de 2026, quando a ANPD virou agência reguladora independente. Pra publishers, ela define três coisas práticas: (1) o banner de cookies precisa ter três botões com igual destaque (Rejeitar/Configurar/Aceitar), em português, com cookies não essenciais desativados por padrão; (2) consentimento é a base legal recomendada pra cookies de publicidade — legítimo interesse não cobre adequadamente; (3) penalidades chegam a 2% do faturamento no Brasil, limitadas a R$ 50 milhões por infração, mais o poder de suspender atividades de tratamento. Quem ainda usa banner “OK/Entendi” em 2026 está em violação clara.

A LGPD não é mais novidade no Brasil. O que mudou em 2026 — e poucos publishers brasileiros estão acompanhando — é o nível de fiscalização. Por anos, a lei foi mais “papel” que prática: a ANPD operava com pouca estrutura, multas raras, ações pontuais. Em fevereiro de 2026, isso virou de cabeça pra baixo: a Lei 15.352/2026 transformou a ANPD em agência reguladora plenamente independente, com autonomia financeira, técnica e decisória — e abriu 200 novas vagas pra equipes de inspeção e fiscalização.

E a primeira prioridade publicada pela ANPD pra o biênio 2026-2027? Uso de dados pessoais para publicidade e perfilamento. Não é coincidência. Publishers brasileiros que rodam programática com banner de cookies improvisado estão na linha de fogo da próxima onda de fiscalização.

WinUp Network

Pronto para Decolar?

Junte-se a milhares de publishers que já estão maximizando sua receita com a tecnologia espacial da WinUp.

Começar agora

Esse guia foca no que de fato afeta operações de monetização: o que muda no seu CMP, como SSPs e DSPs entram na conta, quando o legítimo interesse não cobre, e quanto custa errar.

O que é a LGPD, em duas frases

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é a lei brasileira que regula como dados pessoais podem ser coletados, tratados, armazenados e compartilhados — por qualquer entidade, pública ou privada, sempre que os dados pertencem a pessoas localizadas no Brasil.

Foi inspirada no GDPR europeu, com adaptações ao contexto brasileiro. Cobre desde nome e CPF até dados comportamentais coletados via cookies, IP, fingerprinting de dispositivo e qualquer outro sinal que permita identificar ou perfilar um usuário.

Quem está sujeito (mais gente do que parece)

A LGPD tem alcance extraterritorial. Se aplica sempre que:

  • O tratamento de dados acontece no Brasil
  • O tratamento envolve dados de pessoas localizadas no Brasil, independente de onde a empresa esteja
  • Os dados foram coletados no Brasil

Tradução pra publisher: se você tem qualquer tráfego brasileiro relevante, está sujeito. Não importa se seu site é hospedado no exterior, se sua empresa é registrada nos EUA, se o ad server é o GAM americano. O ponto que decide é a localização do usuário cujos dados estão sendo tratados.

Vale também pra SSPs, DSPs, ad networks e parceiros MCM que processam dados dos visitantes brasileiros. Eles são “operadores” no vocabulário da LGPD — você é o “controlador”. A responsabilidade é compartilhada, mas o ônus de fiscalizar contratos e garantias está com você.

Os três papéis que importam no vocabulário da LGPD

  • Controlador: você (publisher). Decide por que e como os dados dos visitantes são tratados.
  • Operador: SSPs, DSPs, CMP, ad server, ferramentas de analytics. Tratam os dados em nome do controlador.
  • Titular: o visitante. A pessoa cujos dados são coletados.

A relação entre controlador e operador deve estar formalizada em contrato com cláusulas de proteção de dados (DPA). Quase todos os contratos de SSPs grandes já incluem isso de fábrica, mas publishers que fizeram integrações antigas (pré-2020) frequentemente operam sem DPA atualizado — risco de compliance que ninguém olha até a multa chegar.

Consentimento: por que virou a base legal padrão pra publicidade

A LGPD tem 10 bases legais possíveis pra tratar dados (Artigo 7). Pra operações de ad tech, três interessam:

  • Consentimento: manifestação livre, informada, inequívoca e específica
  • Legítimo interesse: necessário pra interesses legítimos do controlador, desde que não prevaleçam sobre direitos do titular
  • Execução de contrato: necessário pra cumprir contrato com o titular

A pergunta importante: dá pra usar legítimo interesse pra cookies de publicidade comportamental, fingerprinting e perfilamento? Tecnicamente sim, na prática cada vez menos.

Em outubro de 2022, a ANPD publicou guia detalhado sobre cookies. O documento deixa claro que consentimento é a base legal recomendada pra cookies não essenciais — incluindo aqueles usados em publicidade direcionada, retargeting, rastreamento entre sites e construção de perfis de audiência.

Combinando isso com as prioridades de fiscalização 2026-2027 (que mencionam explicitamente “uso de dados pessoais para publicidade”), a leitura é clara: depender de legítimo interesse pra cookies publicitários é apostar contra a ANPD. Publishers maduros já trataram disso. Quem ainda não, está acumulando risco.

Pra dados sensíveis (saúde, opinião política, dados biométricos, etc.), a regra é absoluta: legítimo interesse não cobre. Apenas consentimento ou exceções específicas. Se sua operação envolve segmentação de público por interesses em saúde ou política, o consentimento explícito é mandatório.

Como deve ser o banner de cookies, segundo a ANPD

Aqui está a parte que mais publisher brasileiro erra em 2026. O guia da ANPD detalha o que constitui banner adequado, e a maioria dos sites brasileiros simplesmente ignora.

Primeira camada (banner inicial)

O banner que aparece quando o visitante chega ao site deve ter:

  • Três botões com igual destaque: Rejeitar Todos, Configurar Preferências, Aceitar Todos. Mesmo tamanho, mesma cor de fundo, mesma visibilidade. Botão “Rejeitar” escondido ou em cor neutra enquanto “Aceitar” é destaque chamativo é dark pattern explicitamente proibido.
  • Idioma português pra visitantes brasileiros. Banner em inglês não cumpre.
  • Explicação breve do que são os cookies e pra que servem
  • Link pra política de cookies completa
  • Link pra exercício de direitos do titular

Segunda camada (configuração granular)

Quando o usuário clica em “Configurar Preferências”, deve ver:

  • Toggles por categoria de cookie (essenciais, analytics, publicidade, funcionalidade)
  • Todas as categorias não essenciais desativadas por padrão (modelo opt-in puro)
  • Descrição clara do que cada categoria faz
  • Identificação de cookies primários vs. de terceiros
  • Períodos de retenção

Os 10 erros que a ANPD listou explicitamente

O guia identifica práticas que a ANPD trata como não-conformidade. Listo as que mais vejo em sites brasileiros:

  1. Banner com apenas um botão “Aceitar” ou “OK”
  2. Botão de rejeitar menos visível que o de aceitar (menor, cinza, embaixo, em link de texto)
  3. Cookies não essenciais ativados por padrão antes do consentimento
  4. Falta de controles granulares por categoria
  5. Sem mecanismo claro pra alterar preferências depois
  6. Banner apenas em inglês ou só em português europeu
  7. “Cookie wall”: condicionar acesso ao site à aceitação total de cookies
  8. Granularidade excessiva (50 toggles diferentes que causam fadiga e levam ao “aceitar todos”)

Se você reconheceu seu banner em qualquer um desses itens, está em desconformidade. E não é “tecnicamente em desconformidade” — é o tipo de coisa que a ANPD lista nominalmente como exemplo do que está errado.

A relação com TCF (e por que isso importa pra programática)

Se você roda Google AdX ou header bidding com SSPs internacionais (Magnite, Index, PubMatic), provavelmente já tem uma CMP compatível com o IAB TCF (Transparency and Consent Framework) por causa do GDPR europeu.

Boa notícia: o modelo do TCF, que pede consentimento por fornecedor individual, é mais granular do que o que a LGPD exige (consentimento por categoria/finalidade). Uma CMP TCF bem configurada cumpre LGPD do ponto de vista de granularidade.

Má notícia: ter uma CMP TCF não é suficiente sozinho. Pra visitantes brasileiros, a mesma CMP precisa estar configurada com perfil regional brasileiro:

  • Banner em português
  • Três botões equilibrados
  • Cookies não essenciais off por default
  • Link pra direitos do titular
  • Detecção geográfica funcionando corretamente (visitante brasileiro recebe perfil LGPD, europeu recebe perfil GDPR/TCF, americano recebe perfil CCPA)

CMPs sérias (OneTrust, Didomi, Sourcepoint, Clickio Consent, Cookiebot, etc.) fazem isso. CMPs caseiras ou plugins gratuitos de WordPress geralmente não — e é onde muito publisher brasileiro está exposto.

LGPD vs GDPR: as diferenças que importam na prática

AspectoLGPD (Brasil)GDPR (UE)
Bases legais10 (incl. proteção ao crédito, exclusiva BR)6
Consentimento de cookiesPor categoria mínimo; por fornecedor aceitoPor fornecedor via TCF
IdiomaPortuguês obrigatório pra brasileirosIdioma local do estado-membro
Crianças<12: consentimento parental; 12-17: melhor interesse13-16 (varia por país)
DPO obrigatórioSim, salvo isenções de pequeno porteDepende do tipo/escala de tratamento
Multa máxima2% faturamento no BR, limitado a R$ 50 mi/infração4% faturamento global
FiscalizaçãoANPD (autoridade única)Rede de DPAs nacionais
Sanções não-monetáriasSuspensão/proibição de tratamentoIdem

A multa nominal menor da LGPD esconde uma sanção potencialmente mais grave: o poder da ANPD suspender total ou parcialmente atividades de tratamento por até 6 meses, ou simplesmente proibir o tratamento de dados. Pra um publisher que vive de programática, ter o tratamento de dados publicitários suspenso por seis meses é evento extinção.

Os 9 direitos do titular (o que você precisa estar pronto pra atender)

A LGPD garante 9 direitos ao titular, e você precisa ter processo pra responder cada um deles em prazo razoável:

  1. Confirmar se seus dados estão sendo tratados
  2. Acessar os dados
  3. Corrigir dados incompletos ou desatualizados
  4. Anonimizar, bloquear ou eliminar dados desnecessários
  5. Portar dados pra outro controlador
  6. Eliminar dados consentidos (quando consentimento é revogado)
  7. Saber com quais terceiros os dados foram compartilhados
  8. Entender as consequências de recusar o consentimento
  9. Revogar o consentimento

Pra publishers, isso significa ter:

  • Email ou formulário visível pra solicitações de titulares
  • Processo interno pra atender solicitação em prazo razoável (a LGPD não fixa prazo único; o GDPR fixa em 30 dias e isso é referência razoável)
  • Lista atualizada de operadores (SSPs, DSPs, analytics, ad servers) pra responder “com quem meus dados foram compartilhados”
  • Mecanismo de revogação de consentimento tão fácil quanto o de aceitar (a CMP precisa expor isso em rodapé ou ícone persistente)

Se você já atende DSARs pra GDPR, basicamente estende o processo. Se nunca tratou disso, é uma das primeiras coisas a estruturar.

Transferência internacional de dados: o ponto que SSPs ignoram

Esse é o detalhe técnico que cria mais risco invisível pra publishers brasileiros. Quase toda SSP grande processa dados em servidores fora do Brasil (EUA, Europa, Ásia). Cada bid request que sai do seu site pra um SSP externo é, tecnicamente, uma transferência internacional de dados pessoais.

A LGPD restringe transferências internacionais (Artigos 33-36). São permitidas em três cenários:

  • País de destino tem proteção adequada (segundo decisão da ANPD)
  • Garantias contratuais adequadas (SCCs — Cláusulas Contratuais Padrão — aprovadas pela ANPD)
  • Consentimento específico e informado do titular pra a transferência

Em 23 de agosto de 2025, expirou o prazo de adaptação às SCCs aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024). Em janeiro de 2026, Brasil e União Europeia firmaram decisão de adequação mútua — fluxos de dados entre as duas jurisdições são reconhecidos como protegidos sem necessidade de SCCs adicionais.

Pra publisher brasileiro, isso significa duas coisas práticas:

  • Fluxos pra SSPs europeias: cobertos pela adequação Brasil-UE
  • Fluxos pra SSPs americanas, asiáticas ou de outros países: precisam de SCCs aprovadas ANPD nos contratos, ou base legal alternativa (consentimento explícito do usuário pra transferência)

A maioria das SSPs internacionais já tem SCCs no template de contrato. Mas publishers que assinaram contratos pré-2024 podem estar operando sem cobertura adequada. Vale auditar.

Penalidades reais (não só o teto teórico)

A LGPD prevê o seguinte arsenal de sanções (Artigo 52):

  • Advertência com prazo pra correção
  • Multa simples de até 2% do faturamento no Brasil (excluídos tributos), limitada a R$ 50 milhões por infração
  • Multa diária pra forçar conformidade
  • Publicização da infração (apareceu na mídia)
  • Bloqueio ou eliminação dos dados envolvidos
  • Suspensão parcial ou total do banco de dados ou atividade de tratamento por até 6 meses
  • Proibição total das atividades de tratamento

Multa é o que aparece em manchete, mas a sanção mais devastadora pra publisher costuma ser a publicização ou a suspensão. Site sério não sobrevive a “publisher X é punido pela ANPD por violação de proteção de dados” na manchete de portal de tecnologia. E suspensão de tratamento de dados publicitários simplesmente para a operação.

Realismo: pra publisher pequeno ou médio, a chance da ANPD aplicar multa direto é baixa em 2026 — eles vão começar pelos casos grandes. Mas advertência seguida de exigência de correção em prazo curto é cenário plausível. Quem ignorou compliance até hoje pode receber notificação e ter pouco tempo pra adequar o stack.

DPO (Encarregado): você precisa ter um?

A LGPD exige nomeação de Encarregado de Proteção de Dados pra a maioria dos controladores. A Resolução ANPD nº 2/2022 isenta agentes de pequeno porte (microempresas, EPPs, startups, pessoas físicas tratando dados), desde que mantenham um canal de comunicação com titulares.

A isenção tem ressalva importante: não vale se você faz tratamento de alto risco. Tratamento em larga escala, dados sensíveis, perfilamento sistemático — tudo isso é considerado alto risco. Publisher com 1 milhão de pageviews/mês fazendo programática provavelmente cai em “larga escala”.

Pra a maioria dos publishers com tráfego brasileiro relevante, o caminho é nomear DPO. Não precisa ser funcionário interno — pode ser advogado contratado, consultoria externa, ou serviço de DPO-as-a-service. O importante é ter alguém identificável, com contato público no site, capaz de responder a titulares e à ANPD.

O que fazer agora (checklist priorizado pra publisher)

Em vez do “implementar um CMP, fazer auditoria, etc.” genérico, listei na ordem real de impacto e urgência:

Prioridade 1: Banner de cookies no padrão ANPD

Se seu banner não tem três botões equilibrados em português com opt-in puro, comece aqui. É a violação mais visível e a primeira coisa que qualquer auditoria identifica. Custo: configurar uma CMP profissional (várias opções gratuitas ou de baixo custo).

Prioridade 2: Mapear quais SSPs/parceiros recebem dados

Liste todos os parceiros que processam dados dos seus visitantes (SSPs, DSPs, ad networks, analytics, pixels de terceiros, header bidders). Verifique se contratos têm DPA atualizada e SCCs quando aplicável.

Prioridade 3: Política de privacidade e cookies em português

Política de privacidade clara, em português brasileiro, descrevendo:

  • Que dados são coletados
  • Pra que servem (finalidade específica de cada coleta)
  • Com quem são compartilhados (lista de operadores)
  • Por quanto tempo são retidos
  • Como o usuário exerce seus direitos

Prioridade 4: Processo pra atender direitos do titular

Email visível, formulário ou canal claro. Processo interno pra responder em prazo razoável. Lista atualizada de operadores pra responder “com quem meus dados foram compartilhados”.

Prioridade 5: Nomear DPO (se aplicável)

A não ser que você seja claramente isento, nomeie. Pode ser externo. Contato público no rodapé do site.

Prioridade 6: Implementar Google Consent Mode v2

Se você roda AdSense, GAM ou Google Analytics, o Consent Mode v2 garante que esses serviços ajustem comportamento baseado no consentimento do usuário. Sem isso, mesmo um banner bem feito não comunica adequadamente o estado de consentimento pro Google. CMPs sérias fazem essa integração nativamente.

Para fechar

A LGPD existe desde 2018 e está em vigor desde 2020. Pra muitos publishers brasileiros, foi tempo de “ver no que dá”. Em 2026, esse tempo acabou. A ANPD independente, com equipe técnica nova e prioridades explícitas em fiscalizar uso de dados pra publicidade, é cenário muito diferente do de 2021 ou 2022.

A boa notícia é que adequação é bem mais simples do que parece à primeira vista. CMPs profissionais resolvem a maior parte da camada técnica em horas. O resto — política de privacidade clara, processo pra titulares, DPO nomeado — é trabalho administrativo, não engenharia complexa.

O custo de adequar agora é muito menor que o custo de uma ação da ANPD daqui pra frente. A multa nominal é só parte da conta — o real estrago vem da publicização e da possibilidade de suspensão de tratamento. Pra um negócio que vive de dados pra monetização programática, perder o direito de tratar esses dados por seis meses não é desafio, é encerramento.

A pergunta que vale fazer hoje: se um titular brasileiro pedir agora mesmo “quais dados meus você tem e com quem compartilhou”, você tem como responder em alguns dias com precisão? Se a resposta é não, esse é o tamanho exato da distância entre você e a conformidade. Boa notícia: dá pra fechar essa distância em semanas, não anos.

Você Também Pode Gostar: