Compliance · RGPD

RGPD para sites de imprensa: o checklist do publisher.

Última atualização: 6 de maio de 2026 · Todas as afirmações têm como fonte o Regulamento (UE) 2016/679 (RGPD), as orientações da CNIL e as diretrizes do EDPB.

O que é o RGPD, em um parágrafo

O Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) estabelece o marco jurídico para o tratamento de dados pessoais de residentes da UE. Ele se aplica independentemente de onde o controlador ou o operador esteja estabelecido, desde que o tratamento esteja relacionado à oferta de bens ou serviços a pessoas na UE, ou ao monitoramento do comportamento delas (Artigo 3.2). Para sites de imprensa que oferecem contribuição dos leitores, isso significa que cada conta de leitor, cada comentário anônimo com IP rastreado, cada cadastro de newsletter, cada reação a um artigo está sujeito ao RGPD.

O que conta como dado pessoal em um site de imprensa

O RGPD define dado pessoal de forma extremamente ampla (Artigo 4.1): qualquer informação relacionada a uma pessoa natural identificada ou identificável. Para um site de imprensa, isso inclui:

  • Dados da conta do leitor: nome, e-mail, hash da senha, foto de perfil, biografia
  • Dados de engajamento: comentários, votos, curtidas, compartilhamentos, tempo gasto nos artigos
  • Dados técnicos: endereços IP, fingerprints de dispositivo, identificadores de navegador, cookies de sessão
  • Dados inferidos: tags de interesse derivadas do comportamento de leitura, resultados de pontuação de audiência
  • Dados de assinatura e pagamento, quando aplicável

As seis bases legais (Artigo 6)

Você só pode tratar dados pessoais se puder se apoiar em pelo menos uma das seis bases legais listadas no Artigo 6:

  • Consentimento (6.1.a), explícito, granular, revogável. Usado para marketing, perfilamento, dados opcionais.
  • Contrato (6.1.b), necessário para entregar um serviço para o qual o usuário se inscreveu. Usado para criação de conta, processamento de assinatura.
  • Obrigação legal (6.1.c), necessário para cumprir uma lei (por exemplo, obrigações de retenção).
  • Interesses vitais (6.1.d), raramente se aplica a publishers.
  • Interesse público (6.1.e), principalmente para o setor público / mídia de serviço público.
  • Legítimo interesse (6.1.f), o seu interesse, ponderado em relação aos direitos do usuário. Usado para prevenção de fraude, análise anônima, segurança.

Para comentários e contribuição dos leitores, a combinação mais comum é contrato (você está entregando um serviço de participação ao qual o usuário aderiu) somado ao legítimo interesse (segurança, antispam, fraude).

Os oito direitos do leitor (Artigos 12–22)

Você precisa permitir que o usuário exerça os seguintes direitos, em linguagem clara e no prazo de um mês (Artigo 12.3):

  • Direito de acesso (Art. 15) — o usuário pode solicitar uma cópia de todos os dados que você tem sobre ele
  • Direito de retificação (Art. 16) — corrigir dados imprecisos
  • Direito de eliminação / direito ao esquecimento (Art. 17) — apagar dados quando não há fundamento legítimo para mantê-los
  • Direito de limitação (Art. 18) — restringir o tratamento em circunstâncias específicas
  • Direito de portabilidade dos dados (Art. 20) — exportar dados estruturados para trocar de serviço
  • Direito de oposição (Art. 21) — recusar o tratamento baseado em legítimo interesse
  • Direito de não estar sujeito a decisões totalmente automatizadas (Art. 22)
  • Direito de apresentar reclamação a uma autoridade de controle (Art. 77) — na França, a CNIL

Transferências internacionais (Capítulo V)

Se o seu sistema de comentários ou a sua base de dados de leitores estiver hospedado fora da UE, o RGPD exige salvaguardas nos termos dos Artigos 44–50. Após a decisão Schrems II (TJUE, 16 de julho de 2020), as transferências para os Estados Unidos se apoiam no EU-US Data Privacy Framework (em vigor desde julho de 2023), com medidas suplementares adicionais frequentemente exigidas pelo EDPB. Muitos publishers consideram mais simples manter os dados inteiramente na UE.

Papéis: quem é o controlador, quem é o operador

Para os dados de leitores do seu site de imprensa:

  • Você (o publisher) é o controlador — você decide por que e como os dados são tratados (Art. 4.7).
  • Seu sistema de comentários / ferramenta de moderação (Logora, Disqus, Viafoura, etc.) é normalmente um operador — ele trata os dados em seu nome, conforme as instruções de um Acordo de Tratamento de Dados (Art. 28).

O DPA é obrigatório nos termos do Artigo 28.3. Ele deve especificar o objeto, a duração, a natureza, a finalidade, os tipos de dados, as categorias de titulares dos dados, e as suas obrigações e direitos como controlador. Sem um DPA assinado, você não pode usar legalmente um operador terceiro para dados pessoais.

O que isso significa na prática para as operações do seu publisher

  • Política de privacidade no seu site, em linguagem clara, listando cada atividade de tratamento (Artigos 13–14)
  • Banner de cookies apenas quando necessário — cookies que não rastreiam nem segmentam estão isentos (orientações da CNIL sobre a Diretiva ePrivacy)
  • DPAs assinados com cada operador terceiro: sistema de comentários, ferramenta de moderação, análise, ad tech, serviço de e-mail
  • Registros de tratamento (Artigo 30) — um registro interno listando todas as atividades de tratamento
  • Nomeação de um DPO (Artigo 37) se você realizar tratamento em larga escala ou monitoramento sistemático
  • Notificação de violação de dados em até 72 horas à autoridade (Artigo 33) e aos usuários afetados quando houver alto risco

Como a Logora lida com isso

  • Acordo de Tratamento de Dados assinado com cada cliente, estruturado conforme o Artigo 28.3
  • Hospedagem somente na UE na OVH, França — nenhuma transferência para fora da UE, nunca
  • Dados de primeira parte — as contas dos leitores pertencem à base de dados do publisher, não à Logora
  • Sem cookies de rastreamento de terceiros por padrão; qualquer análise é anônima e sem cookies
  • Exportação de direito de acesso integrada ao espaço de administração — um clique para atender a uma solicitação do Artigo 15
  • Tratamento do direito de eliminação por usuário, com a exclusão em cascata para comentários e votos conforme a política de retenção do publisher

Fontes

Precisa auditar a configuração dos dados dos seus leitores? Agende uma conversa de 60 min com a nossa equipe.

Guias
Moderação Melhores práticas Carta de moderação
Exemplos
Casos de uso Documentação Painel de administração
Sobre nós
Equipe Blog Parceiros Posicionamento Contato
Legal
Aviso legal Termos Privacidade
Sem cookies de tracking. Infraestrutura soberana na OVH (França).
Criado para a democracia por Logora
⌘K / Ctrl+K para abrir