LGPD para infoprodutor: conformidade prática sem pânico nem negligência

LGPD é assunto do infoprodutor, não só de quem roda startup grande

A Lei Geral de Proteção de Dados (Lei 13.709/2018) vale para qualquer pessoa — física ou jurídica — que trate dados pessoais para fim econômico. Ou seja, sim: o infoprodutor que captura e-mail em troca de um ebook gratuito está tratando dado pessoal e entra na lei. Não é só a Amazon, o Nubank ou a Google que precisam se preocupar.

Na prática, quase todo produtor brasileiro está em algum grau de não-conformidade hoje. Não necessariamente por má-fé — geralmente por ausência de clareza sobre o que a ANPD (Autoridade Nacional de Proteção de Dados) exige na operação real. Este guia condensa o que importa para o infoprodutor ficar dentro do razoável, sem empacar o negócio nem fingir que o tema não existe.

Aviso: o conteúdo a seguir é informativo, não substitui consulta jurídica. Operações maiores ou com dado sensível devem ter assessoria especializada.

O que a LGPD considera dado pessoal

• Nome, e-mail, telefone, CPF, endereço.
• Qualquer informação que permita identificar uma pessoa direta ou indiretamente — incluindo cookies, ID de dispositivo, IP em certos contextos.
• Dado sensível (categoria protegida mais rigorosa): origem racial, religião, saúde, orientação sexual, dado biométrico, dado de menor de idade. Requer cuidado dobrado.

Infoprodutor lida com isso o tempo todo: quem se inscreve em webinar, quem compra, quem manda mensagem no suporte, quem deixa depoimento em vídeo. Tudo é tratamento de dado.

Os cinco pontos que o infoprodutor precisa endereçar

1. Base legal de tratamento

A lei exige que todo tratamento tenha uma base legal. Para o dia a dia do infoprodutor, as três mais comuns:

• Consentimento — a pessoa marcou “quero receber” de forma livre, informada e específica.
• Execução de contrato — dado necessário para cumprir a venda (enviar o curso, gerar nota).
• Legítimo interesse — quando há interesse real do negócio e o tratamento não fere direitos do titular (ex.: segurança contra fraude).

Marketing por e-mail frio costuma se apoiar em legítimo interesse — desde que haja opt-out claro e transparência. Captura de lead via formulário pede consentimento explícito.

2. Aviso de privacidade publicado

Todo site, landing page, formulário precisa ter Política de Privacidade acessível, em linguagem clara, dizendo:

• Quem é o controlador (você ou sua empresa).
• Quais dados são coletados.
• Para que os dados são usados.
• Com quem são compartilhados (plataformas como Hotmart, Kiwify, Eduzz, Braip; serviços de e-mail; Meta Ads via pixel; etc.).
• Por quanto tempo são guardados.
• Quais os direitos do titular e como exercê-los.
• Contato para dúvidas sobre privacidade (e-mail básico resolve).

Modelo genérico na internet não serve. A política precisa refletir a sua operação real.

3. Opt-in claro em formulários

Campo de checkbox marcado por padrão não é consentimento válido. Textos como “ao se cadastrar você concorda com X” são aceitáveis, desde que o link para a política esteja presente e o escopo esteja claro.

Cuidado especial com:

• Lead magnet — dizer qual conteúdo será enviado e o que mais a pessoa pode receber.
• Webinar — informar que o e-mail será usado para lembretes, replay e ofertas relacionadas.
• Checkout — deixar claro o que o e-mail usará para confirmações e comunicações.

4. Direitos do titular e como atendê-los

O usuário pode pedir, a qualquer momento:

• Saber quais dados você tem dele.
• Atualizar dado incorreto.
• Excluir dado (com ressalvas legais, como nota fiscal que precisa ser guardada pelo prazo legal).
• Portabilidade para outro serviço.
• Opor-se a certos tratamentos.

Na prática, oferecer um canal (normalmente e-mail) para receber e responder esses pedidos em prazo razoável (até 15 dias é um bom padrão) já cobre boa parte da exigência. Manter registro de pedidos atendidos é importante em caso de fiscalização.

5. Segurança do dado armazenado

Você é responsável pelo dado que está sob sua guarda. Isso inclui:

• Usar ferramentas com autenticação forte (senha forte, 2FA onde possível).
• Não compartilhar senha de painel de checkout, e-mail marketing, anúncios.
• Manter backup dos dados críticos.
• Revogar acesso de ex-colaboradores ou prestadores imediatamente.
• Em caso de incidente (vazamento, invasão, perda), comunicar ANPD e titulares conforme a gravidade.

Plataformas de checkout e a LGPD

Hotmart, Kiwify, Eduzz e Braip são operadoras — tratam dados em nome do produtor para executar a venda. Elas têm suas próprias políticas e contratos de tratamento de dados. O produtor continua sendo o controlador, ou seja, responsável pelo uso final daquele dado.

Ao usar essas plataformas, o infoprodutor precisa:

• Informar o usuário que o dado passará por essas plataformas (na sua política).
• Não utilizar o dado para além do que foi declarado (ex.: usar e-mail da lista de um produto para disparar oferta de outro sem consentimento é problemático).
• Manter transparência sobre ferramentas de rastreamento (pixel de Meta, Google Analytics, UTMs).

Cookie banner: precisa?

Sim, se o site usa cookies não essenciais (analytics, remarketing, pixel). A prática recomendada é banner que:

• Informa o uso de cookies.
• Permite aceitar, recusar ou configurar.
• Não carrega cookies não essenciais antes da escolha.

Soluções gratuitas ou baratas (CookieYes, Cookiebot em planos de entrada, plugins WordPress) resolvem para a maioria das operações.

E-mail marketing frio: o que vale

Disparar para lista comprada, raspada ou adicionada sem opt-in viola a lei. Problema que vem junto: provedor de e-mail suspende, domínio entra em blacklist, reputação queima.

Caminho limpo: construir base com opt-in real. Para prospecção B2B, dá para se apoiar em legítimo interesse com cuidado (contato comercial inicial, opt-out fácil, sem insistência), mas é zona cinzenta — quanto mais sensível o tema, mais arriscado.

O que acontece se ignorar

A ANPD pode aplicar, entre outras sanções:

• Advertência.
• Multa de até 2% do faturamento (com teto de R$ 50 milhões por infração).
• Bloqueio ou eliminação dos dados tratados.
• Suspensão do funcionamento do banco de dados.

Na prática, para infoprodutor pequeno, o risco maior não costuma ser a ANPD — é a denúncia de um concorrente, ex-funcionário ou consumidor insatisfeito que gera abertura de processo e acorda o problema.

Rotina mínima de conformidade

Pacote base para o infoprodutor médio:

1. Política de Privacidade publicada e linkada em todos os formulários.
2. Termos de Uso da sua plataforma/área de membros.
3. Opt-in explícito em todas as capturas.
4. E-mail de contato para pedidos de titulares.
5. Cookie banner no site.
6. Registro de base legal de cada tipo de tratamento (planilha simples já ajuda).
7. Acordo com prestadores (operadores) com cláusula de LGPD — em geral, ferramentas e plataformas sérias já trazem no próprio contrato de adesão.
8. Revisão anual do que foi implementado.

O dado de venda também é dado pessoal

Dado de venda por plataforma — quem comprou, quando, quanto pagou — é dado pessoal e precisa ser tratado com a mesma diligência. Exportar CSV de Hotmart/Kiwify/Eduzz/Braip e salvar em pasta compartilhada sem controle é risco de vazamento acidental.

Organizar dado de venda com governança é parte da conformidade. Se você vende em várias plataformas e cada painel fica aberto em aba diferente, o risco de exposição acidental cresce. O Synchro Hub centraliza a leitura dessas vendas em um painel único, com autenticação própria, reduzindo a necessidade de exportar planilhas avulsas e deixando o produtor em uma posição melhor em caso de auditoria. Experimente grátis.

Conclusão

LGPD para infoprodutor não é burocracia paralisante. É um conjunto de práticas que, implementadas uma vez, rodam sem atrito na operação. O risco real não vem de fiscalização oficial inicial — vem de má-prática acumulada (base comprada, falta de política, vazamento de planilha) que vira problema grande em algum momento. Vale a ordem certa: construir a conformidade básica agora, com calma, em vez de tentar remediar na pressa quando alguém reclamar.

Para operar a receita com governança de dado consistente em todas as plataformas que você usa, conheça o Synchro Hub. Hotmart, Kiwify, Eduzz e Braip em um painel único, sem multiplicar exportações. Comece gratuitamente.

Quer ver tudo em sintonia? Conheça a Synchro Hub.