O Checklist de 15 Passos

1. Instale uma CMP Certificada

Sua plataforma de gerenciamento de consentimento deve ser Google Certified e registrada na IAB Europe. Isso garante a conformidade tanto com o Consent Mode V2 quanto com o TCF 2.3.

2. Audite Todos os Cookies e Rastreadores

Escaneie seu site em busca de cada cookie, pixel, SDK e item de armazenamento local. Classifique cada um como estritamente necessário, de análise ou de publicidade. Remova qualquer coisa que você não consiga justificar.

3. Configure Seu Banner de Consentimento

Garanta botões de Aceitar/Rejeitar iguais, linguagem clara no idioma nativo do visitante e nenhuma caixa pré-marcada. O banner deve aparecer antes que qualquer rastreamento não essencial seja acionado.

4. Defina o Consentimento Padrão como Negado

Para visitantes do EEE, todas as categorias de consentimento não essenciais devem ter como padrão a recusa. Apenas cookies estritamente necessários podem ser acionados sem consentimento.

5. Publique uma Política de Privacidade

Sua política de privacidade deve explicar quais dados você coleta, por quê, a base legal, quem os recebe, os períodos de retenção e como os usuários podem exercer seus direitos.

6. Publique uma Política de Cookies

Liste cada cookie, sua finalidade, duração e se é primário ou de terceiros. Vincule isso a partir do seu banner de consentimento.

7. Ative o Google Consent Mode V2

Configure o modo Advanced para que as tags do Google sejam acionadas em modo restrito antes do consentimento e, em seguida, mudem para o rastreamento completo após o consentimento.

8. Ative o IAB TCF 2.3

Se você executa publicidade programática, sua CMP deve gerar TC Strings válidas. Verifique com a ferramenta de validação TCF da IAB.

9. Assine Acordos de Processamento de Dados

Cada terceiro que recebe dados pessoais do seu site precisa de um DPA. Google, Meta, provedores de análise, plataformas de email — todos eles.

10. Mantenha um Registro de Atividades de Processamento

Documente cada operação de processamento de dados: quais dados, qual finalidade, qual base legal, quais destinatários, qual período de retenção.

11. Implemente os Direitos dos Titulares dos Dados

Estabeleça processos para solicitações de acesso, solicitações de exclusão, portabilidade de dados e objeções. Responda dentro de 30 dias.

12. Configure a Retenção de Dados

Não mantenha dados pessoais por mais tempo do que o necessário. Defina períodos de retenção no Google Analytics, no seu CRM, na plataforma de email e nos bancos de dados.

13. Proteja Seus Dados

HTTPS em todos os lugares, bancos de dados criptografados, controles de acesso, auditorias de segurança regulares. Violações de dados devem ser relatadas à sua autoridade supervisora dentro de 72 horas.

14. Treine Sua Equipe

Todos que lidam com dados pessoais precisam de treinamento em GDPR — marketing, vendas, suporte, engenharia. Documente o treinamento.

15. Agende Auditorias Regulares

Revise sua conformidade trimestralmente. Novos cookies aparecem quando você adiciona ferramentas. Políticas precisam ser atualizadas. Taxas de consentimento precisam ser monitoradas.

O Custo da Não Conformidade

FlexyConsent Cobre os Passos 1-8 Automaticamente