English Español Português (Brasil) Français Deutsch Italiano Română
Log in Start free

Formulários de Contato em Conformidade com o GDPR: O que Toda Empresa Precisa Saber

Se você coleta dados pessoais por meio de um formulário de contato — e quase todo formulário de contato o faz — o Regulamento Geral sobre a Proteção de Dados se aplica a você caso algum dos seus visitantes esteja localizado na União Europeia. Isso se aplica independentemente de onde sua empresa está sediada.

A conformidade com o GDPR para formulários de contato não é tão complicada quanto pode parecer, mas exige elementos específicos que muitas empresas ignoram ou implementam incorretamente. Este guia aborda o que você precisa, por que isso existe e como implementá-lo corretamente.

Por que os Formulários de Contato Estão no Escopo

Um formulário de contato coleta dados pessoais — no mínimo um endereço de e-mail e, normalmente, um nome, o conteúdo da mensagem e às vezes um número de telefone ou empresa. Sob o GDPR, qualquer coleta de dados pessoais de residentes da UE exige:

  1. Uma base legal para o processamento
  2. Transparência — informar as pessoas sobre o uso de seus dados
  3. Minimização de dados — coletar apenas o que é necessário
  4. Segurança adequada — proteger os dados contra acesso não autorizado
  5. Respeito pelos direitos dos titulares dos dados — fornecer um mecanismo para que as pessoas acessem, corrijam ou excluam seus dados

A maioria dos formulários de contato na prática tem uma base legal e a intenção de coletar dados mínimos — mas falha em transparência e nos mecanismos de consentimento.

O Erro de Conformidade Mais Comum

Muitas empresas adicionam um checkbox de consentimento GDPR ao seu formulário de contato com algo como:

☐ Concordo com os Termos de Serviço e a Política de Privacidade

Isso não é consentimento GDPR válido por dois motivos:

  1. Consentimento agrupado: juntar o acordo com os termos de serviço e o consentimento de privacidade em um único checkbox não é permitido. São duas coisas diferentes e requerem concordância separada.
  2. Checkboxes pré-marcados: o GDPR exige opt-in ativo. Um checkbox pré-marcado não constitui consentimento.

O consentimento válido deve ser:

  • Dado livremente: o visitante deve poder enviar o formulário e entrar em contato sem ser forçado a fazer opt-in para marketing
  • Específico: cada finalidade requer sua própria declaração de consentimento
  • Informado: o visitante deve entender ao que está consentindo
  • Inequívoco: requer uma ação positiva (marcar uma caixa, não aceitar um padrão)

Base Legal para Envios de Formulários de Contato

Nem tudo em um formulário de contato requer consentimento. O GDPR prevê múltiplas bases legais para o processamento de dados pessoais:

Interesse Legítimo (Artigo 6(1)(f))

Se alguém preenche um formulário de contato e faz uma pergunta, o processamento do nome e e-mail para responder àquela pergunta se enquadra no interesse legítimo. Você tem um interesse legítimo em responder às consultas que recebe. O visitante tem um interesse legítimo em receber uma resposta. Isso não exige um checkbox de consentimento para o processamento central — está implícito no ato de enviar uma mensagem.

Consentimento (Artigo 6(1)(a))

Necessário para qualquer processamento além do escopo de responder à consulta:

  • Adicionar o visitante a uma lista de e-mail de marketing
  • Usar seus dados para criação de perfis ou analytics
  • Compartilhar seus dados com terceiros para fins de marketing
  • Contatá-lo sobre ofertas futuras não relacionadas à sua consulta

Esses casos requerem um checkbox de opt-in separado e explícito — não agrupado com o próprio envio.

Contrato (Artigo 6(1)(b))

Se o envio do formulário faz parte do início de uma relação contratual (por exemplo, solicitar um orçamento), o processamento dos dados necessários para cumprir esse contrato tem base legal sem exigir consentimento.

O que seu Formulário de Contato Precisa

1. Um Link para a Política de Privacidade

Todo formulário de contato deve incluir uma referência à sua política de privacidade. A abordagem mínima em conformidade é uma frase próxima ao botão de envio:

Ao enviar este formulário, suas informações serão processadas de acordo com nossa [Política de Privacidade].

O link deve apontar para uma política de privacidade atual e completa que descreva: quais dados são coletados, como são usados, por quanto tempo são retidos, com quem podem ser compartilhados e como os visitantes podem exercer seus direitos.

2. Um Checkbox Separado de Consentimento de Marketing (se aplicável)

Se você pretende adicionar os que enviam formulários a uma newsletter ou lista de marketing, isso requer um checkbox separado, desmarcado, com texto claro:

☐ Gostaria de receber atualizações ocasionais e novidades sobre produtos por e-mail. Posso cancelar a assinatura a qualquer momento.

Este deve ser separado do envio do formulário e deve estar desmarcado por padrão.

3. Minimização de Dados

Colete apenas os campos necessários para processar a consulta. Um formulário de contato não deve coletar data de nascimento, nacionalidade ou informações de saúde, a menos que o contexto específico do seu negócio exija. Cada campo coletado deve ser justificável.

4. Segurança em Trânsito e em Repouso

Os envios de formulários devem ser transmitidos via HTTPS. Os dados armazenados em seus servidores devem ser adequadamente protegidos. Se você estiver usando uma ferramenta de formulário de contato ou plataforma de help desk de terceiros, verifique o contrato de processamento de dados (DPA) e onde os dados são armazenados.

5. Um Contrato de Processamento de Dados com seu Processador

Se você usar qualquer plataforma de terceiros para receber ou armazenar envios de formulários (um CRM, um help desk, um provedor de e-mail), essa plataforma é um processador de dados sob o GDPR. Você é obrigado a ter um DPA assinado com eles. A maioria das plataformas de reputação fornece um DPA padrão mediante solicitação ou como um documento de autoatendimento em suas configurações.

Retenção de Dados: Por Quanto Tempo Você Pode Manter os Envios?

O GDPR exige que os dados pessoais não sejam mantidos por mais tempo do que o necessário para seu propósito. Para envios de formulários de contato, uma abordagem razoável:

  • Consultas ativas: reter durante a duração do relacionamento com o cliente
  • Consultas encerradas sem relacionamento com o cliente: excluir após 12–24 meses (ajuste conforme o contexto do seu negócio)
  • Registros de consentimento de marketing: reter enquanto a pessoa estiver na sua lista, mais tempo suficiente para demonstrar que o consentimento foi dado

Defina uma política de retenção por escrito e implemente-a — manualmente ou por meio de exclusão automatizada no seu help desk ou CRM.

Direitos dos Titulares dos Dados

Sua política de privacidade e seus processos devem suportar esses direitos, que qualquer residente da UE pode invocar em relação aos seus dados:

  • Direito de acesso: a capacidade de receber uma cópia dos dados que você possui
  • Direito ao apagamento ("direito de ser esquecido"): exclusão de seus dados pessoais
  • Direito à retificação: correção de dados imprecisos
  • Direito à limitação do processamento: limitar o que você faz com os dados
  • Direito de oposição: opor-se ao processamento com base em interesse legítimo

Para envios de formulários de contato especificamente, você deve ser capaz de localizar todos os dados associados a um determinado endereço de e-mail em todos os seus sistemas (tickets de help desk, CRM, listas de e-mail) e fornecê-los ou excluí-los mediante solicitação dentro de 30 dias.

Perguntas Frequentes

Preciso de um checkbox de consentimento para todo formulário de contato? Não. Se o processamento se baseia em interesse legítimo (responder à consulta), nenhum checkbox de consentimento é necessário para esse processamento. Um checkbox de consentimento é necessário apenas para processamento adicional — como adicionar a pessoa a uma lista de marketing.

Isso se aplica se minha empresa não está sediada na UE? Sim. O GDPR se aplica a qualquer organização que processe dados pessoais de indivíduos localizados na UE, independentemente da localização da organização.

E se um visitante de fora da UE enviar o formulário? O GDPR se aplica apenas a residentes da UE. No entanto, adotar práticas em conformidade com o GDPR para todos os envios de formulários é mais simples do que tentar detectar e diferenciar pela localização do visitante, e prepara você para regulamentações semelhantes em outras jurisdições (UK GDPR, PIPEDA no Canadá, LGPD no Brasil).

Como o Nura24 Suporta a Conformidade com o GDPR em Formulários de Contato

O módulo de página de contato do Nura24 inclui um componente nativo de checkbox de consentimento GDPR com texto de label configurável e um link obrigatório para a política de privacidade. O checkbox vem desmarcado por padrão e pode ser marcado como obrigatório, impedindo o envio do formulário sem consentimento explícito. O opt-in de marketing usa um checkbox adicional separado. Os envios de formulários são armazenados no sistema de ticketing do Nura24 com uma trilha de auditoria visível. Contratos de processamento de dados estão disponíveis para clientes do plano empresarial. Para empresas que operam na UE ou atendem clientes da UE, o Nura24 fornece os recursos estruturais de conformidade integrados à configuração do formulário de contato — sem necessidade de desenvolvimento personalizado.

← Back to blog