The General Data Protection Regulation (GDPR) is a European Union (EU) law that took effect on May 25, 2018. The goal of the GDPR is to give EU citizens control over their personal data and change the data privacy approach of organizations across the world. Over the years, you’ve likely gotten dozens of emails from companies like Google about the GDPR, their new privacy policies, and a bunch of other legal stuff. That’s because the EU has made big penalties for people who don’t comply with the regulations. Businesses that are not in compliance with the GDPR’s requirements can face large fines of up to 4% of a company’s annual global revenue or €20 million (whichever is greater). This is enough reason to cause widespread panic among businesses around the world.

Does the GDPR Apply to My WordPress Website?

The answer is YES. It applies to every business, large and small, around the world (not just in the European Union). If your WordPress website has visitors from European Union countries, then this law applies to you. But don’t panic. It’s not the end of the world. While the GDPR can escalate to those high levels of fines, it will start with a warning, then a reprimand, and then a suspension of data processing. And only if you continue to violate the law will the large fines hit. The EU isn’t some evil government that is out to get you. Their goal is to protect innocent consumers from reckless handling of data that could result in a breach of their privacy. The maximum fine part, in our opinion, is largely to get the attention of large companies like Facebook and Google so that this regulation is NOT ignored. Furthermore, this encourages companies to actually put more emphasis on protecting the rights of people. Once you understand what is required by the GDPR and the spirit of the law, then you will realize that none of this is too crazy. We will also share tools and tips to make your WordPress site GDPR-compliant.

Is WordPress GDPR Compliant?

Yes, the WordPress core software has been GDPR-compliant since WordPress 4.9.6, which was released on May 17, 2018. Several GDPR enhancements were added to achieve this. It’s important to note that when we talk about WordPress, we are talking about self-hosted WordPress.org. This is different from WordPress.com, and you can learn the difference in our guide on WordPress.com vs. WordPress.org. Having said that, due to the dynamic nature of websites, no single platform, plugin, or solution can offer 100% GDPR compliance. The GDPR compliance process will vary based on the type of website you have, what data you store, and how you process data on your site.

WPBeginner»Blog»Beginners Guide»The Ultimate Guide to WordPress and GDPR Compliance

O Guia Definitivo para Conformidade do WordPress e GDPR

Por Equipe Editorial | 4 de março de 2025 | Divulgação do Leitor

Shares 2.8k Share ChatGPT Perplexity LinkedIn WhatsApp Email

O GDPR, abreviação de Regulamento Geral de Proteção de Dados, é uma lei da União Europeia que protege a privacidade dos usuários ao usar sites.

Recebemos dezenas de e-mails de usuários pedindo para explicarmos o GDPR em linguagem simples e compartilharmos dicas sobre como tornar seu site WordPress compatível com o GDPR.

Neste artigo, explicaremos tudo o que você precisa saber sobre o GDPR e o WordPress (sem o jargão legal complexo).

O Guia Definitivo para Conformidade do WordPress e GDPR

Aviso Legal

Não somos advogados e nada neste site deve ser considerado aconselhamento jurídico.

Para ajudá-lo a navegar facilmente em nosso guia definitivo de conformidade do WordPress e GDPR, criamos um índice abaixo:

O que é o GDPR?
O GDPR se aplica ao meu site WordPress?
O que é exigido dos proprietários de sites sob o GDPR?
O WordPress é compatível com o GDPR?
Áreas adicionais em seu site para verificar a conformidade com o GDPR
Melhores plugins do WordPress para conformidade com o GDPR
Considerações Finais
Guias de especialistas sobre como tornar seu site WordPress compatível com o GDPR
Recursos Adicionais

O que é o GDPR?

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei da União Europeia (UE) que entrou em vigor em 25 de maio de 2018. O objetivo do GDPR é dar aos cidadãos da UE controle sobre seus dados pessoais e mudar a abordagem de privacidade de dados das organizações em todo o mundo.

Ao longo dos anos, você provavelmente recebeu dezenas de e-mails de empresas como o Google sobre o GDPR, suas novas políticas de privacidade e um monte de outras coisas legais. Isso ocorre porque a UE impôs grandes penalidades para pessoas que não cumprem os regulamentos.

Empresas que não estão em conformidade com os requisitos do GDPR podem enfrentar multas pesadas de até 4% da receita global anual de uma empresa ou €20 milhões (o que for maior). Isso é motivo suficiente para causar pânico generalizado entre empresas em todo o mundo.

O que é o CCPA?

O estado da Califórnia introduziu legislação de privacidade semelhante em 1º de janeiro de 2020, embora as multas potenciais sejam muito menores.

A Lei de Privacidade do Consumidor da Califórnia (CCPA) foi projetada para proteger as informações pessoais dos residentes da Califórnia. Ela lhes dá o direito de saber quais informações pessoais estão sendo coletadas sobre eles, solicitar sua exclusão e optar pela venda de seus dados.

Neste artigo, focaremos no GDPR, mas muitas das etapas que listamos aqui também o ajudarão a se tornar compatível com o CCPA.

Isso nos leva à grande pergunta que você pode estar pensando:

A resposta é SIM. Aplica-se a todas as empresas, grandes e pequenas, em todo o mundo (não apenas na União Europeia).

Se o seu site WordPress tem visitantes de países da União Europeia, então esta lei se aplica a você.

Mas não entre em pânico. Não é o fim do mundo.

Embora o GDPR possa escalar para esses altos níveis de multas, ele começará com um aviso, depois uma repreensão e, em seguida, uma suspensão do processamento de dados.

E somente se você continuar a violar a lei é que as multas pesadas serão aplicadas.

A UE não é um governo maligno querendo pegá-lo. Seu objetivo é proteger consumidores inocentes de manuseio de dados imprudente que pode resultar em uma violação de sua privacidade.

Na nossa opinião, a multa máxima tem como objetivo principal chamar a atenção de grandes empresas como Facebook e Google para que esta regulamentação NÃO seja ignorada. Além disso, isso incentiva as empresas a darem mais ênfase à proteção dos direitos das pessoas.

Uma vez que você entenda o que é exigido pelo GDPR e o espírito da lei, então você perceberá que nada disso é muito louco.

Compartilharemos também ferramentas e dicas para tornar seu site WordPress compatível com o GDPR.

O objetivo do GDPR é proteger as informações pessoalmente identificáveis (PII) dos usuários e exigir que as empresas sigam um padrão mais elevado em relação a como coletam, armazenam e usam esses dados.

Esses dados pessoais incluem nomes de usuários, endereços de e-mail, endereços físicos, endereços IP, informações de saúde, renda e muito mais.

Embora o regulamento GDPR tenha 200 páginas, aqui estão os pilares mais importantes que você precisa saber:

Você Deve Obter Consentimento Explícito para Coletar Informações Pessoais

Se você estiver coletando dados pessoais de um residente da UE, deverá obter consentimento ou permissão explícita, específica e inequívoca.

Em outras palavras, você não pode simplesmente enviar e-mails não solicitados para alguém que lhe deu seu cartão de visita ou preencheu o formulário de contato do seu site. Isso é spam. Em vez disso, você deve permitir que eles optem por receber sua newsletter de marketing.

Para ser considerado consentimento explícito, você deve exigir um opt-in positivo. A caixa de seleção não deve estar marcada por padrão, deve conter uma redação clara (sem jargões legais) e deve ser separada de outros termos e condições.

Seus Usuários Têm Direito aos Seus Dados Pessoais

Você deve informar os indivíduos onde, por que e como seus dados são processados e armazenados.

Um indivíduo tem o direito de baixar seus dados pessoais e o direito de ser esquecido.

Isso significa que eles têm o direito de exigir que você exclua seus dados pessoais. Quando um usuário clica em um link de cancelamento de inscrição ou pede para você excluir o perfil dele, você realmente precisa fazer isso.

Você Deve Fornecer Notificações Prontas de Violação de Dados

As organizações devem relatar certos tipos de violações de dados às autoridades competentes em até 72 horas, a menos que a violação seja considerada inofensiva e não represente risco aos dados individuais.

No entanto, se uma violação for de alto risco, a empresa também deve informar imediatamente os indivíduos afetados.

Isso, esperançosamente, impedirá acobertamentos como o da Yahoo, que só foi revelado durante a aquisição.

Você Pode Precisar Nomear um Encarregado de Proteção de Dados

Se você é uma empresa pública ou processa grandes quantidades de informações pessoais, então você deve nomear um encarregado de proteção de dados.

Isso não é exigido para pequenas empresas. Consulte um advogado se tiver dúvidas.

Encarregado de Proteção de Dados do GDPR

Resumo em Linguagem Simples do Que é Exigido

Em linguagem simples, o GDPR garante que as empresas não podem enviar spam para as pessoas enviando e-mails que elas não solicitaram. As empresas também não podem vender dados das pessoas sem o consentimento explícito delas.

As empresas têm que excluir contas de usuários e descadastrá-los de listas de e-mail quando solicitado. As empresas também têm que relatar violações de dados e, no geral, ser melhores em proteção de dados.

Parece muito bom, pelo menos em teoria.

Mas você provavelmente está se perguntando o que precisa fazer para garantir que seu site WordPress seja compatível com o GDPR.

Bem, isso realmente depende do seu site específico (mais sobre isso depois).

Vamos começar respondendo à maior pergunta que recebemos dos usuários:

Sim, o software principal do WordPress é compatível com o GDPR desde o WordPress 4.9.6, que foi lançado em 17 de maio de 2018. Vários aprimoramentos do GDPR foram adicionados para alcançar isso.

É importante notar que, quando falamos sobre WordPress, estamos nos referindo ao WordPress.org auto-hospedado. Isso é diferente do WordPress.com, e você pode aprender a diferença em nosso guia sobre WordPress.com vs. WordPress.org.

Dito isso, devido à natureza dinâmica dos sites, nenhuma plataforma, plugin ou solução única pode oferecer 100% de conformidade com o GDPR. O processo de conformidade com o GDPR variará com base no tipo de site que você tem, quais dados você armazena e como você processa os dados em seu site.

Ok, então você pode estar pensando, o que isso significa em linguagem simples?

Bem, por padrão, o WordPress vem com as seguintes ferramentas de aprimoramento de GDPR:

Caixa de seleção de consentimento para comentários

Antes de maio de 2018, o WordPress armazenava o nome, e-mail e site do comentarista como um cookie no navegador do usuário por padrão. Isso facilitava para os usuários deixarem comentários em seus blogs favoritos, pois esses campos eram pré-preenchidos.

Devido ao requisito de consentimento do GDPR, o WordPress adicionou uma caixa de seleção de consentimento ao formulário de comentários.

O usuário pode deixar um comentário sem marcar esta caixa. No entanto, ele terá que inserir manualmente seu nome, e-mail e site toda vez que o fizer.

Dica: Certifique-se de que você está desconectado ao testar para ver se a caixa de seleção está lá.

Se a caixa de seleção ainda não estiver aparecendo, é provável que seu tema esteja substituindo o formulário de comentários padrão do WordPress. Aqui está um guia passo a passo sobre como adicionar uma caixa de seleção de opt-in de privacidade de comentários GDPR em seu tema WordPress.

Recursos de Exportação e Exclusão de Dados Pessoais

O WordPress oferece aos proprietários de sites as ferramentas necessárias para cumprir os requisitos de tratamento de dados do GDPR e atender às solicitações dos usuários para exportar dados pessoais, bem como a remoção de dados pessoais de usuários.

Os recursos de tratamento de dados podem ser encontrados no menu Ferramentas dentro do painel do WordPress. A partir daqui, você pode ir para Exportar Dados Pessoais ou Excluir Dados Pessoais.

Gerador de Política de Privacidade

O WordPress vem com um gerador de política de privacidade integrado. Ele tem um modelo de política de privacidade pré-fabricado e oferece orientação sobre o que mais adicionar. Isso ajuda você a ser mais transparente com os usuários em termos de quais dados você armazena e como você lida com os dados deles.

Você pode aprender mais em nosso guia sobre como criar uma política de privacidade no WordPress.

Esses três recursos são suficientes para tornar um blog WordPress padrão compatível com o GDPR. No entanto, seu site provavelmente terá áreas adicionais que também precisarão estar em conformidade.

Como proprietário de um site, você pode estar usando vários plugins do WordPress que armazenam ou processam dados, e estes podem afetar sua conformidade com o GDPR. Exemplos comuns incluem:

Dependendo dos plugins do WordPress que você está usando em seu site, você precisará agir de acordo para garantir que seu site esteja em conformidade com o GDPR.

Muitos dos melhores plugins do WordPress adicionaram recursos de aprimoramento do GDPR. Vamos dar uma olhada em algumas das áreas comuns que você precisará abordar.

Google Analytics

Como a maioria dos proprietários de sites, você provavelmente está usando o Google Analytics para obter estatísticas do site. Isso significa que você pode estar coletando ou rastreando dados pessoais como endereços IP, IDs de usuário, cookies e outros dados para perfil de comportamento.

Para estar em conformidade com o GDPR, você precisa fazer uma das seguintes ações:

Anonimizar os dados antes que o armazenamento e o processamento comecem.
Adicionar uma sobreposição que avise sobre cookies e peça consentimento aos usuários antes do rastreamento.

Ambos são bastante difíceis de fazer se você estiver apenas colando o código do Google Analytics manualmente em seu site. No entanto, se você estiver usando MonsterInsights, o plugin mais popular do Google Analytics para WordPress, então você tem sorte.

Eles lançaram um complemento de conformidade com a UE que ajuda a automatizar o processo acima.

O MonsterInsights também tem um post de blog muito bom falando sobre o GDPR e Google Analytics. Esta é uma leitura obrigatória se você estiver usando o Google Analytics em seu site.

Formulários de Contato

Se você estiver usando um formulário de contato no WordPress, talvez precise adicionar medidas extras de transparência. Isso é especialmente verdadeiro se você estiver armazenando as entradas do formulário ou usando os dados para fins de marketing .

Aqui estão algumas coisas a considerar ao tornar seus formulários do WordPress compatíveis com o GDPR:

Obtenha consentimento explícito dos usuários para armazenar suas informações.
Obtenha consentimento explícito dos usuários se você planeja usar os dados deles para fins de marketing, como adicioná-los à sua lista de e-mail.
Desative cookies, user-agent e rastreamento de IP para formulários.
Cumpra as solicitações de exclusão de dados.
Se você estiver usando uma solução de formulário SaaS, certifique-se de ter um acordo de processamento de dados com seus provedores de formulário.

A boa notícia é que você não precisa organizar um acordo de processamento de dados se estiver usando um plugin do WordPress como WPForms, Gravity Forms ou Ninja Forms.

Esses plugins armazenam as entradas do seu formulário no seu banco de dados do WordPress, portanto, para permanecer em conformidade com o GDPR, você só precisa adicionar uma caixa de seleção de consentimento com uma explicação clara.

O WPForms, o plugin de formulário de contato que usamos no WPBeginner, tem vários aprimoramentos de GDPR para facilitar a adição de um campo de consentimento de GDPR, desativar cookies de usuário, desativar a coleta de IP do usuário e desativar entradas com um único clique.

Você pode ver nosso guia passo a passo sobre como criar formulários compatíveis com GDPR no WordPress.

Formulários de Opt-in de Marketing por E-mail

Semelhante aos formulários de contato, se você tiver formulários de opt-in de marketing por e-mail, como pop-ups, barras flutuantes, formulários inline e outros, precisará garantir que obtenha consentimento explícito dos usuários antes de adicioná-los à sua lista.

Isso pode ser feito por meio de:

Adicionar uma caixa de seleção que o usuário precise marcar antes do opt-in.
Simplesmente exigir o double-optin para sua lista de e-mail.

Soluções de geração de leads de ponta como OptinMonster adicionaram caixas de seleção de consentimento de GDPR e outros recursos necessários para ajudá-lo a tornar seus formulários de opt-in de e-mail compatíveis.

Você pode ler mais sobre estratégias de GDPR para profissionais de marketing no blog da OptinMonster.

Lojas de E-commerce e WooCommerce

Se você estiver usando WooCommerce, o plugin de e-commerce mais popular para WordPress, você precisará garantir que seu site esteja em conformidade com o GDPR.

Felizmente, a equipe do MonsterInsights preparou um guia detalhado sobre como tornar uma loja WooCommerce compatível com o GDPR.

Anúncios de Retargeting

Se o seu site estiver executando pixels de retargeting ou anúncios de retargeting, você precisará obter o consentimento do usuário.

Você pode fazer isso usando um plugin como o WPConsent. Ele bloqueia todos os scripts de rastreamento até que os usuários deem sua permissão, ao contrário dos avisos básicos de cookies que apenas exibem um alerta.

O plugin gerencia serviços populares como Google Analytics e Pixel do Facebook, mantendo registros detalhados de consentimento, para que você possa executar suas campanhas de marketing sabendo que está totalmente em conformidade.

Você pode encontrar instruções detalhadas em nosso guia sobre como adicionar um popup de cookies no WordPress para GDPR/CCPA.

Google Fonts

As fontes do Google são uma ótima maneira de personalizar a tipografia do seu site WordPress.

No entanto, descobriu-se que o Google Fonts viola os regulamentos do GDPR. Isso ocorre porque o Google registra o endereço IP do seu visitante toda vez que uma fonte é carregada.

Felizmente, existem algumas maneiras de lidar com isso para que seu site esteja em conformidade com o GDPR. Por exemplo, você pode carregar suas fontes localmente, substituir o Google Fonts por outra opção ou desativá-las.

Você pode aprender como em nosso guia sobre como tornar as fontes do Google amigáveis à privacidade.

Existem vários plugins do WordPress que podem ajudá-lo a automatizar algumas partes da conformidade com o GDPR.

No entanto, nenhum plugin pode oferecer 100% de conformidade devido à natureza dinâmica dos sites.

Cuidado com qualquer plugin do WordPress que afirme oferecer 100% de conformidade com o GDPR. Provavelmente eles não sabem do que estão falando, e é melhor você evitá-los completamente.

Abaixo está nossa lista de plugins recomendados para conformidade com o GDPR:

WPConsent bloqueia automaticamente todos os scripts de rastreamento até que os visitantes deem permissão, mantém registros detalhados do consentimento do usuário e inclui banners de privacidade fáceis de personalizar para manter seu site em conformidade. Há também uma versão gratuita do WPConsent disponível.
Se você usa o Google Analytics, recomendamos que use o MonsterInsights e ative o addon de conformidade com a UE deles.
WPForms é o plugin de formulário de contato para WordPress mais fácil de usar e oferece campos GDPR, um recurso de exclusão automática para entradas antigas e outras ferramentas de privacidade.
Cookie Notice é um plugin gratuito popular para adicionar um aviso de cookie da UE, e ele se integra bem com os principais plugins como MonsterInsights e outros.
GDPR Cookie Consent permite que você crie uma barra de alerta em seu site para que o usuário possa decidir se aceita ou rejeita cookies e cobre CCPA, bem como GDPR.
WP Frontend Delete Account é um plugin gratuito que permite aos usuários excluir automaticamente seus perfis em seu site.
OptinMonster é um software avançado de geração de leads que oferece recursos de segmentação inteligentes para aumentar as conversões, ao mesmo tempo em que está em conformidade com o GDPR.
PushEngage permite enviar mensagens push direcionadas aos visitantes depois que eles saem do seu site e está totalmente em conformidade com o GDPR.
Smash Balloon oferece uma maneira compatível com GDPR de incorporar feeds ao vivo e exibir postagens do Facebook, Twitter, Instagram, YouTube, TripAdvisor e muito mais.
Novashare oferece uma maneira de permitir que os usuários compartilhem seu conteúdo nas redes sociais sem coletar seus dados pessoais ou colocar cookies.

Você encontrará mais opções em nossa seleção especializada de melhores plugins WordPress GDPR para melhorar a conformidade.

Continuaremos a monitorar o ecossistema de plugins para ver se algum outro plugin WordPress se destaca e oferece recursos substanciais de conformidade com o GDPR.

Considerações Finais

O GDPR está em vigor desde maio de 2018.

Talvez você tenha seu site WordPress há algum tempo e esteja trabalhando para a conformidade com o GDPR. Ou talvez você esteja apenas começando com um novo site.

De qualquer forma, não há necessidade de pânico. Continue trabalhando para a conformidade e resolva isso o mais rápido possível.

Você pode estar preocupado com as multas altas. Lembre-se que o risco de ser multado é mínimo. O site da União Europeia afirma que, primeiro, você receberá um aviso, depois uma repreensão, e as multas são o último passo se você não cumprir e ignorar deliberadamente a lei.

Lembre-se que a UE não está atrás de você. Eles estão fazendo isso para proteger os dados dos usuários e restaurar a confiança das pessoas em negócios online.

À medida que o mundo se torna digital, precisamos desses padrões. Com as recentes violações de dados de grandes empresas, é importante que esses padrões sejam adaptados globalmente.

Será bom para todos os envolvidos. Essas novas regras ajudarão a aumentar a confiança do consumidor e, por sua vez, a impulsionar o seu negócio.

Esperamos que este tutorial tenha ajudado você a aprender como estar em conformidade com o GDPR em seu blog WordPress. Você também pode gostar de ver nossos guias especializados sobre como tornar seu site compatível com o GDPR.

Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.