InspectWP Logo
Boas práticas

Checklist de conformidade com o GDPR no WordPress

8 de fevereiro de 2026 Atualizado em 19 de abr. de 2026

O Regulamento Geral de Proteção de Dados (GDPR) se aplica a todo site que possa ser acessado por visitantes da União Europeia, independentemente de onde o site esteja hospedado. Para os proprietários de sites WordPress, isso significa prestar muita atenção em como o seu site coleta, processa e transfere dados pessoais. Esta lista de verificação se concentra nos aspectos de implementação técnica que você pode verificar e corrigir por conta própria. Para questões legais sobre acordos de processamento de dados, bases legais e requisitos regulatórios específicos, consulte um consultor qualificado em proteção de dados.

Gerenciando serviços externos e transferências internacionais de dados

Cada recurso carregado de um servidor externo transmite pelo menos o endereço IP do visitante ao operador desse servidor. Sob o GDPR, um endereço IP é considerado dado pessoal. Sem uma base legal válida ou consentimento explícito, carregar recursos externos constitui uma violação de proteção de dados. Isso é especialmente problemático com serviços baseados nos EUA, já que o framework de transferência de dados UE-EUA permanece uma área legal contestada.

  • Hospede o Google Fonts localmente: Quando o Google Fonts é carregado de fonts.googleapis.com, cada visualização de página envia o endereço IP do visitante, detalhes do navegador e URL de referência aos servidores do Google. Tribunais alemães decidiram que essa prática é ilegal sem consentimento, com multas começando em 100 EUR por violação. Baixe os arquivos de fonte e sirva-os do seu próprio servidor. Plugins como "OMGF" ou "Local Google Fonts" automatizam esse processo. Após mudar, verifique se nenhuma requisição a fonts.googleapis.com ou fonts.gstatic.com permanece na aba de rede do seu navegador.
  • Desabilite o Gravatar ou faça cache de avatares localmente: O WordPress envia hashes MD5 de endereços de e-mail dos comentaristas aos servidores baseados nos EUA do Gravatar por padrão. Mesmo o próprio hash pode ser considerado dado pessoal (pode ser revertido para endereços de e-mail conhecidos). Desabilite o Gravatar em Configurações > Discussão, ou use um plugin que faça cache de avatares localmente e os busque apenas uma vez com consentimento.
  • Auto-hospede análises ou use uma abordagem baseada em consentimento: O Google Analytics transfere dados extensivos de visitantes para servidores nos EUA, incluindo endereços IP, comportamento de navegação e fingerprints de dispositivo. Ou auto-hospede uma solução de análise como o Matomo (que mantém todos os dados em seu servidor) ou implemente o Google Analytics atrás de um mecanismo de consentimento adequado que bloqueie todo rastreamento até que o visitante opte ativamente por participar. Ferramentas de análise no servidor como Plausible ou Fathom são alternativas amigáveis à privacidade que funcionam sem cookies.
  • Bloqueie o Google Maps até que o consentimento seja dado: Incorporações do Google Maps carregam múltiplos scripts de rastreamento e transferem dados de visitantes ao Google. Em vez de incorporar o mapa diretamente, mostre uma imagem estática ou um placeholder com um botão "Carregar Mapa". Carregue a incorporação real do Google Maps somente após o usuário clicar para consentir. A mesma abordagem se aplica ao Google reCAPTCHA, que também transfere dados ao Google.
  • Audite todo o carregamento de recursos externos: Além dos serviços óbvios, verifique bibliotecas hospedadas em CDN (jQuery de ajax.googleapis.com, Font Awesome de cdnjs.cloudflare.com), vídeos incorporados do YouTube ou Vimeo, widgets de redes sociais, chatbots e quaisquer outros scripts de terceiros. Cada requisição externa é um potencial problema de GDPR. Substitua bibliotecas hospedadas em CDN por cópias hospedadas localmente sempre que possível.
  • Lide com conteúdo incorporado com padrões de fachada: Para vídeos do YouTube, incorporações de redes sociais e conteúdo similar de terceiros, use uma solução de dois cliques. Mostre primeiro uma miniatura ou placeholder com um aviso de privacidade, depois carregue a incorporação real apenas após o visitante clicar. Plugins como "Embed Privacy" lidam com isso automaticamente para serviços comuns.

Implementando o consentimento de cookies corretamente

A Diretiva ePrivacy (frequentemente chamada de "Diretiva de Cookies") complementa o GDPR e exige consentimento antes de definir cookies não essenciais. Acertar o consentimento de cookies é um dos aspectos mais escrutinados da conformidade com o GDPR.

  • Instale um plugin adequado de gerenciamento de consentimento: Use uma plataforma dedicada de gerenciamento de consentimento (CMP) como Complianz, Real Cookie Banner ou Cookiebot. Esses plugins lidam com a complexidade legal da categorização de cookies, registro de consentimento e bloqueio de scripts. Soluções gratuitas frequentemente não têm recursos importantes como registro de consentimento ou detecção automática de scripts.
  • Bloqueie cookies e scripts não essenciais antes do consentimento: Este é o requisito técnico mais crítico. Seu plugin de consentimento deve realmente impedir que cookies de rastreamento, scripts de análise e pixels de marketing sejam carregados até que o visitante dê consentimento. Simplesmente mostrar um banner sem bloquear scripts não está em conformidade. Teste isso abrindo seu site em uma janela anônima, recusando todos os cookies e verificando se requisições de terceiros ainda aparecem na aba de rede.
  • Ofereça categorias granulares de cookies: Os visitantes devem poder escolher entre diferentes categorias: Funcionais (necessários para o site funcionar), Estatísticas (medição de análise e desempenho) e Marketing (publicidade e rastreamento). Um simples "Aceitar Tudo" sem alternativas não está em conformidade com o GDPR.
  • Torne a rejeição de cookies igualmente fácil: O botão "Rejeitar Tudo" ou "Aceitar Apenas Essenciais" deve ser tão proeminente e fácil de alcançar quanto o botão "Aceitar Tudo". Esconder a opção de rejeição atrás de um link "Gerenciar Configurações", usar uma fonte menor ou exigir cliques adicionais foi considerado não conforme por várias autoridades europeias de proteção de dados.
  • Habilite a retirada do consentimento a qualquer momento: Os visitantes devem poder mudar suas preferências de cookies após a decisão inicial. Adicione um link persistente em seu rodapé (por exemplo, "Configurações de Cookies" ou "Configurações de Privacidade") que reabra o diálogo de consentimento. Este é um requisito legal, não opcional.
  • Registre e armazene registros de consentimento: Em caso de disputa ou auditoria, você precisa provar que o consentimento foi dado. Seu plugin de consentimento deve armazenar um registro com data/hora de cada decisão de consentimento, incluindo quais categorias foram aceitas e a versão da política de privacidade que estava em vigor.

Requisitos de armazenamento e processamento de dados do WordPress

Além dos cookies, o WordPress processa dados pessoais de várias outras maneiras que exigem atenção sob o GDPR.

  • Lide com dados de formulários de comentários adequadamente: O WordPress armazena o nome, endereço de e-mail e URL do site dos comentaristas. Também define cookies para lembrar essas informações para visitantes que retornam. Ou desabilite esses cookies em Configurações > Discussão (desmarque "Mostrar opção de cookies opt-in") ou substitua o comportamento padrão por uma caixa de seleção de consentimento explícito que faça link com sua política de privacidade.
  • Adicione uma caixa de seleção de consentimento de privacidade a todos os formulários: Cada formulário que coleta dados pessoais (formulários de contato, inscrições em newsletter, formulários de registro) precisa de uma caixa de seleção onde o usuário consente explicitamente com o processamento de seus dados. A caixa de seleção não deve estar pré-marcada, e o rótulo deve fazer link com sua política de privacidade. A maioria dos plugins de formulário (Contact Form 7, WPForms, Gravity Forms) suporta isso nativamente.
  • Revise o uso de localStorage e sessionStorage: Esses mecanismos de armazenamento do navegador podem ser usados para rastreamento, assim como cookies. Audite quais dados seus plugins armazenam em localStorage e sessionStorage. Quaisquer dados que possam identificar ou rastrear um visitante caem sob o GDPR. Você pode verificar isso nas ferramentas de desenvolvedor do navegador na aba "Application".
  • Limite a retenção de dados de formulários de contato: Não armazene envios de formulários indefinidamente. Configure seu plugin de formulário para apagar automaticamente os envios após um período definido (por exemplo, 90 dias). Se você precisa dos dados por mais tempo para um propósito específico, documente esse propósito em sua política de privacidade.
  • Implemente políticas de retenção de dados: Sob o princípio de limitação de armazenamento do GDPR, dados pessoais não devem ser mantidos por mais tempo do que o necessário. Isso se aplica a contas de usuário, comentários, dados de pedido (para WooCommerce), arquivos de log e dados de análise. Defina períodos de retenção para cada categoria de dados e os imponha, manualmente ou com automação.
  • Suporte solicitações de acesso do titular dos dados: O GDPR dá aos indivíduos o direito de solicitar uma cópia de todos os dados pessoais que você mantém sobre eles, e o direito de tê-los apagados. O WordPress inclui uma página de ferramentas de privacidade integrada (em Ferramentas > Exportar Dados Pessoais e Ferramentas > Apagar Dados Pessoais) que ajuda com isso, mas você deve testar o processo e garantir que cobre dados de todos os seus plugins.

Páginas legais obrigatórias para conformidade com o GDPR

Certas páginas são legalmente exigidas para qualquer site acessível na UE. Páginas legais ausentes ou incompletas podem resultar em advertências, multas ou notificações extrajudiciais.

  • Política de Privacidade (exigida em toda a UE): Deve descrever todas as atividades de processamento de dados em linguagem clara e compreensível. Inclua quais dados você coleta, por que os coleta, por quanto tempo os armazena, com quem os compartilha e quais direitos os visitantes têm. O WordPress fornece um modelo de política de privacidade em Configurações > Privacidade que cobre o básico, mas você precisa personalizá-lo para seus plugins e serviços específicos.
  • Política de Cookies (recomendada): Pode ser uma página independente ou uma seção dentro de sua política de privacidade. Liste todos os cookies que seu site define, sua finalidade, duração e se são primários ou de terceiros. Seu plugin de gerenciamento de consentimento geralmente gera essa lista automaticamente.
  • Aviso Legal / Imprint (exigido na Alemanha e Áustria): Deve incluir o nome legal completo, endereço postal, endereço de e-mail e número de telefone do operador do site. Para empresas, inclua o número do registro comercial, ID de IVA e pessoa responsável. Isso é exigido pela Telemediengesetz (TMG) alemã e pela E-Commerce-Gesetz (ECG) austríaca, não pelo GDPR, mas é igualmente aplicado.

Verifique a sua conformidade com o GDPR no WordPress com o InspectWP

A seção GDPR do InspectWP detecta automaticamente o uso do Gravatar, Google Fonts carregadas externamente, rastreamento do Google Analytics, incorporações do Google Maps, Facebook pixel e scripts de rastreamento, e outros recursos externos que transferem dados de visitantes a terceiros. Use-o como ponto de partida para a sua auditoria GDPR. Agende varreduras regulares para detectar novos recursos externos que possam ser introduzidos quando plugins são atualizados ou novo conteúdo é publicado.

Artigo anterior

Checklist de segurança do WordPress

Próximo artigo

Checklist de SEO do WordPress

Artigos relacionados

Lançando um novo site WordPress — o que verificar

Guia de otimização de desempenho do WordPress

Checklist de SEO do WordPress

Ver todos os artigos

Verifique seu site WordPress agora

O InspectWP analisa seu site WordPress em busca de problemas de segurança, problemas de SEO, conformidade com GDPR e desempenho — gratuitamente.

Analise seu site grátis