Levolu
Voltar ao Blog
LGPD para desenvolvedores de SaaS: o que ninguém te conta antes da primeira notificação
14/05/2026Levolu6 min de leituraTecnologia

LGPD para desenvolvedores de SaaS: o que ninguém te conta antes da primeira notificação

Compliance · LGPD

LGPD para desenvolvedores de SaaS: o que ninguém te conta antes da primeira notificação

Um SaaS solo com 16 mil usuários recebeu uma notificação de três páginas listando falhas de conformidade. Não veio da ANPD — veio de um advogado. E poderia ter virado R$ 50 milhões em multa.

Introdução O despertar para a realidade da LGPD

Muito desenvolvedor que opera um SaaS pequeno acha que está fora do radar. Que ANPD, advogado e processo são problema de empresa grande. É falsa percepção de segurança — e dura até a primeira notificação chegar no e-mail.

Se você coleta nome, e-mail ou até IP de um brasileiro, você está sujeito à LGPD. Não importa se é um indie hacker, um freelancer ou uma startup de três pessoas. A lei "morde" e as consequências financeiras e reputacionais são irreversíveis para quem decide ignorar.

Este artigo é o relato técnico do que normalmente aparece nessas notificações — baseado em um caso real — e o passo a passo do que você precisa ter em ordem antes que algum concorrente, usuário irritado ou advogado curioso abra uma denúncia formal na ANPD com o seu domínio anexado.

Parte 1 A exposição cresce junto com o sucesso

O risco de um SaaS é proporcional ao tráfego. Quanto mais gente entra, mais dado é coletado, e mais alvo você vira — tanto para ataque técnico quanto para denúncia jurídica.

16.000
usuários ativos
126.000
page views / mês
6,4M
requisições / mês
566.000
ataques bloqueados

Esses números são de um SaaS solo brasileiro real, em ascensão, que faturou mais de R$ 14 mil acumulados. Atingiu visibilidade pública — e atraiu o que vinha junto.

Parte 2 A LGPD e o perigo das multas milionárias

A LGPD é a versão brasileira da GDPR europeia. Se você coleta dado de brasileiro, precisa explicar a finalidade, oferecer exclusão e proteger o que armazena. As sanções vão até R$ 50 milhões por infração, limitadas a 2% do faturamento do grupo no Brasil.

⚠ Como a denúncia chega

A ANPD não fica caçando indie hacker. Quem te denuncia é: usuário insatisfeito que pediu pra excluir conta e não conseguiu; advogado em busca de caso rastreando sites sem política de privacidade; ou — o mais comum — um concorrente que descobriu sua irregularidade no "building in public" e abriu denúncia formal pra travar seu produto.

Resumo: estar em conformidade virou vantagem competitiva. Estar fora virou alvo fácil. A LGPD é hoje uma ferramenta de disputa de mercado.

Parte 3 Dados pessoais não são variável de ambiente

O erro mental do desenvolvedor é tratar dado pessoal com o mesmo descaso que trata uma env var de dev: coleta, joga no banco, esquece. Nunca define quanto tempo mantém. Nunca define quem pode ler. Nunca apaga.

O básico que falta na maioria dos SaaS
  • Termos de uso publicados no domínio
  • Política de privacidade detalhada
  • Banner de cookies que de fato bloqueia scripts antes do aceite
  • Botão visível para o usuário deletar a conta e os dados
  • Definição de prazo de retenção de cada tipo de dado

"Apenas codar" é a mentalidade que custa multa. Coleta de dado via Google OAuth (nome, e-mail, foto) sem informar a finalidade já é infração de transparência — mesmo que tudo no seu back-end esteja perfeito.

Parte 4 Autenticação federada exige transparência

"Login com Google" é fácil de implementar e cômodo pro usuário. Tecnicamente são duas linhas. Juridicamente, é coleta automática de nome, e-mail e foto de perfil — e isso aciona obrigações que muito dev nunca leu.

A primeira coisa apontada em uma notificação de não conformidade é inexistência de política de privacidade. Sem ela, você está coletando dado sem dizer:

  • qual a base legal do tratamento (consentimento? execução de contrato?)
  • por quanto tempo o dado fica armazenado
  • com quem ele é compartilhado (Sentry, GA, mailing, etc.)
  • como o titular exerce o direito de exclusão

Transparência é o pilar central da lei. A ausência de uma página de privacidade pública é o caminho mais curto para uma autuação.

Parte 5 Cookies e Google Analytics: o erro silencioso

O padrão "coloca o script do GA4 no head e mostra um bannerzinho de cookies que não bloqueia nada" é ilegal pela LGPD. A lei exige opt-in: o script só carrega depois que o usuário aceitou explicitamente.

✗ Errado
GA4 carregado no <head> + banner avisando "este site usa cookies". O tracking já começou antes do clique no botão.
✓ Certo
Scripts de analytics e marketing carregados dinamicamente só depois do window.consent.analytics === true. Banner com botões claros "Aceitar" e "Recusar" — recusar é tão fácil quanto aceitar.

Se seu SaaS já está rastreando o usuário antes do "aceito", você está coletando dado de navegação sem base legal. Qualquer denúncia pega por aqui.

Parte 6 IPs em texto claro e o perigo do Sentry mal configurado

Endereço IP, quando combinado com qualquer outro dado de cadastro, é dado pessoal pela LGPD. Armazenar IP em texto claro indefinidamente, sem política de retenção, é falha grave.

⚠ Sentry com sendDefaultPii: true

Configuração default em muitos projetos: o Sentry passa a enviar headers HTTP, dados de sessão e informações do navegador para servidores fora do Brasil. Isso é exportação de dado pessoal para terceiros sem consentimento — exatamente o tipo de prática que a notificação detalha linha por linha.

A correção: sendDefaultPii: false, mascarar IPs no log com hash, definir TTL de logs (ex.: 30 dias) e listar no privacy policy quais provedores recebem dados.

Parte 7 O checklist mínimo para sair da zona de risco

Não dá pra resolver tudo de uma vez, mas existe um mínimo viável. Esse checklist cobre o que mais aparece em notificação:

  1. Publicar Política de Privacidade no domínio (rodapé, acessível em todas as páginas)
  2. Publicar Termos de Uso com base legal de cada tratamento
  3. Banner de cookies com opt-in real — scripts só sobem após aceite
  4. Botão de excluir conta com cascata de dados no banco
  5. Anonimizar IPs (hash ou truncamento) e definir TTL nos logs
  6. Sentry com PII desligada e provedores listados na privacy policy
  7. Endpoint de exportação dos dados do usuário (direito de portabilidade)
  8. Canal de contato do encarregado (DPO) — pode ser um e-mail dedicado

O caso que motivou este texto teve um final feliz: a notificação não veio de um órgão punitivo, e sim de um advogado especialista em proteção de dados que mandou o relatório de graça pra ajudar. Building in public funciona — mas é exceção. Não conte com isso. Resolva antes da denúncia.

Conclusão Conformidade é estratégia, não burocracia

Em um mercado saturado de SaaS feitos às pressas, quem leva privacidade a sério transmite confiança — e isso vira argumento de venda. Conformidade não compete com produto; ela diferencia o produto.

A notificação judicial, quando chega, não vem com tutorial. Vem com prazo. Trate a regularização como parte do produto: PR, code review, regressão. Documente como qualquer outra feature.

A lição

Proteja o código, mas proteja os dados de quem faz o seu negócio crescer. Privacidade não é a parte chata do produto — é a parte que mantém o produto vivo no longo prazo.

Gostou do conteúdo?

Fale com a Levolu e descubra como podemos aplicar essas estratégias no seu negócio.

Falar no WhatsApp
#lgpd#saas#privacidade#compliance#indie-hacker