LGPD e formulários no site: contato, currículos e coleta de dados — guia jurídico e prático

Formulário no site não é “só um campo de e-mail” — é tratamento de dados na LGPD

Quase todo site institucional tem pelo menos dois pontos de coleta: um formulário de contato (orçamento, dúvida, suporte) e, muitas vezes, uma página Trabalhe conosco ou envio de currículo por upload. Para o visitante, parece operação trivial. Para a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), cada campo preenchido é tratamento de dado pessoal: coleta, armazenamento, uso e, eventualmente, compartilhamento com equipe comercial, RH ou fornecedores de e-mail e CRM.

A empresa dona do site é, em regra, controladora desses dados. A hospedagem, a ferramenta de formulário, o serviço de e-mail transacional e o CRM são operadores — executam em nome dela. Tratar formulário como “detalhe de layout” sem aviso de privacidade, base legal documentada e controles técnicos expõe a PME a reclamações na ANPD, perda de contratos B2B e crise reputacional após vazamento ou uso indevido de currículos.

Este guia da ITC Service conecta o texto da lei ao que gestores, jurídico, marketing e TI precisam decidir na prática. Complemente com o LGPD: guia completo para empresas — lei, princípios, direitos e ANPD, as Bases legais LGPD: quando cada hipótese se aplica (com exemplos para empresas) e o LGPD na prática para PMEs: checklist de 12 pontos que TI precisa implementar.

O que a LGPD exige antes de publicar qualquer formulário

Independentemente de ser contato comercial ou banco de talentos, o controlador deve observar os princípios do art. 6º:

• Finalidade — informar para que o dado será usado (responder pedido, enviar proposta, avaliar candidatura).
• Necessidade — pedir só o estritamente necessário; evitar CPF, data de nascimento ou endereço completo se não houver motivo.
• Transparência — aviso de privacidade acessível, em linguagem clara, citando o formulário.
• Segurança — HTTPS, proteção contra bots, acesso restrito ao backend, backup e eliminação quando não precisar mais.
• Accountability — documentar base legal, prazo de retenção e quem acessa internamente.

Além disso, o titular tem direitos do art. 18 (acesso, correção, eliminação, revogação de consentimento quando aplicável). O canal para exercê-los deve constar na Política de Privacidade — não escondido no rodapé em fonte ilegível.

Formulário de contato: o que muda na LGPD

Quais dados costumam ser coletados

Nome, e-mail, telefone, empresa, cargo, cidade, mensagem livre e, em formulários mal desenhados, CPF ou anexos. Campos ocultos de UTM/campanha e endereço IP registrados pelo servidor também podem ser dados pessoais ou identificáveis — dependendo de como são cruzados.

Finalidades típicas

• Responder dúvida ou solicitação do titular.
• Elaborar proposta comercial ou agendar demonstração.
• Direcionar ao setor correto (suporte, vendas, financeiro).
• Registro de histórico de relacionamento (CRM).

Marketing posterior (newsletter, remarketing) não decorre automaticamente do contato — exige base legal própria, em geral consentimento separado e opt-in claro.

Bases legais mais usadas (art. 7º)

Situação	Base legal frequente	Observação
Visitante pede orçamento ou informação	Execução de contrato ou procedimentos preliminares (inciso V)	Dados mínimos para atender o pedido; não vale para spam posterior.
Lead genérico (“Fale conosco”)	Legítimo interesse (inciso IX) com teste de balanceamento	Documentar LIA; oferecer oposição; não usar para finalidade incompatível.
Checkbox “Quero receber novidades”	Consentimento (inciso I)	Opt-in separado; registro de data/hora; fácil revogação.
Obrigação setorial (ex.: registro de reclamação)	Obrigação legal (inciso II)	Raro em contato simples; comum em setores regulados.

Detalhamento de cada hipótese: Bases legais LGPD: quando cada hipótese se aplica (com exemplos para empresas).

Elementos que o formulário de contato deve ter

1. Link visível para a Política de Privacidade antes ou ao lado do botão Enviar.
2. Texto curto de finalidade: “Usaremos seus dados para responder sua mensagem.”
3. Checkbox de marketing desmarcado por padrão, se houver.
4. CAPTCHA ou rate limit anti-spam (protege titulares de phishing e protege a empresa de abuso).
5. Envio por HTTPS; nunca por e-mail SMTP sem TLS.
6. Notificação interna sem expor dados na URL (evitar GET com query string).

Formulário de currículos (“Trabalhe conosco”): outro jogo, mesma lei

Recolher currículos é tratamento de dados em contexto de relacionamento de trabalho — mesmo antes de existir contrato. Nome, e-mail, telefone, histórico profissional, formação, links de LinkedIn e, no PDF anexo, muito mais: endereço, foto, estado civil, filhos, referências.

Dados sensíveis: cuidado redobrado

Currículos frequentemente trazem, sem necessidade, informações que a LGPD classifica como sensíveis (art. 11): saúde (PCD declarada), origem racial inferida por foto, filiação sindical, etc. O controlador deve:

• Instruir o candidato a não enviar dados sensíveis desnecessários.
• Se precisar de dado sensível (vaga exclusiva PCD, por exemplo), usar base legal específica e consentimento destacado.
• Restringir acesso interno ao RH — não encaminhar currículos por WhatsApp pessoal ou grupo de gestores.

Bases legais em recrutamento

Etapa	Base legal usual
Candidatura espontânea ou a vaga publicada	Legítimo interesse do controlador em processo seletivo + transparência; ou execução de procedimentos preliminares à contratação (art. 7º, V)
Guardar currículo para “vagas futuras”	Consentimento específico ou legítimo interesse com prazo curto e oposição fácil
Verificação de antecedentes / referências	Execução de contrato ou procedimentos preliminares; informar o candidato
Diversidade e inclusão (dados sensíveis)	Consentimento específico e destacado (art. 11) ou hipótese legal aplicável — avaliar com jurídico

Retenção de currículos

A ANPD e a prática europeia convergem: não guardar eternamente. Políticas comuns (ajustar ao jurídico interno):

• Candidato não selecionado: eliminar ou anonimizar em 6 a 12 meses, salvo consentimento para banco de talentos.
• Banco de talentos: consentimento renovável; revisão anual.
• Contratado: dados migram para pasta de funcionário, com regras de RH e obrigações legais trabalhistas.

TI deve automatizar alerta de expurgo ou rotina trimestral — planilha de RH no Google Drive sem controle de acesso é risco recorrente.

Paralelo direto: contato comercial x currículo

Aspecto	Formulário de contato	Formulário / upload de currículo
Titular	Cliente, lead, parceiro	Candidato a emprego
Finalidade principal	Atendimento comercial ou suporte	Avaliação para processo seletivo
Base legal típica	Contrato/preliminar, legítimo interesse, consentimento (marketing)	Preliminar contratual, legítimo interesse; consentimento para banco de talentos
Campos recomendados	Nome, e-mail, telefone, mensagem	Nome, e-mail, telefone, vaga, link ou PDF; evitar CPF até fase avançada
Dados sensíveis	Raros na mensagem livre — monitorar	Frequentes no PDF — orientar candidato e filtrar
Quem acessa	Comercial, atendimento	RH, gestor da vaga (acesso mínimo)
Retenção	Enquanto relação comercial + prazo legal fiscal	Meses para não selecionados; anos se contratado (RH)
Marketing cruzado	Newsletter só com opt-in	Proibido usar e-mail de candidato para campanhas comerciais

Os dois fluxos compartilham a mesma infraestrutura (site, hospedagem, e-mail, possivelmente CRM/ATS). A diferença está na finalidade documentada e no prazo de guarda — não basta clonar o mesmo termo genérico.

Fundamento legal: artigos da LGPD que importam para formulários web

Art. 5º — definições

Tratamento inclui receber o POST do formulário, gravar no banco, encaminhar por e-mail, importar no CRM e apagar seis meses depois. Dado pessoal é qualquer informação relacionada a pessoa identificada ou identificável — e-mail corporativo com nome no remetente qualifica.

Art. 6º — princípios

Formulário com doze campos “porque o template veio assim” viola necessidade. Política de privacidade incompreensível viola transparência. Servidor sem TLS viola segurança.

Art. 7º e 11 — bases legais

Sem base legal aplicável, o tratamento é ilícito. Consentimento no rodapé genérico do site, sem destaque, não cobre marketing nem banco de currículos por anos.

Art. 8º — consentimento

Deve ser livre, informado, inequívoco e para finalidades específicas. Pré-marcação de checkbox de marketing é prática reprovável. Consentimento de candidato menor exige responsável legal.

Art. 18 — direitos do titular

Candidato pode pedir exclusão do currículo; lead pode revogar newsletter. Processo interno deve existir — TI apoia exportação e exclusão no banco/e-mail.

Art. 37 — registro de operações

Documentar: qual formulário, quais campos, onde armazena, quem acessa, prazo de retenção, operadores (hospedagem, SendGrid, RD Station, etc.).

Art. 39 e 46 — operador e segurança

Contrato com hospedagem e ferramentas deve prever proteção de dados. Medidas técnicas: firewall, backup, controle de acesso, logs, atualização de CMS/plugins.

Paralelo internacional: LGPD e GDPR nos formulários

A LGPD foi inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Empresas brasileiras com site acessível na Europa ou que tratam dados de europeus podem ter escopo extraterritorial. Pontos convergentes úteis para desenho de formulário:

• Privacy by design — coletar menos, proteger desde o código.
• Granularidade de consentimento — marketing separado de contato.
• Direito ao esquecimento — fluxo de exclusão documentado.
• Registro de consentimento — timestamp e versão do texto aceito.

Atender LGPD bem costuma aproximar o site de boas práticas GDPR — benefício em due diligence com clientes multinacionais.

Papel da TI, do site e dos operadores

Controlador (sua empresa)

Define campos, textos legais, quem recebe e-mail, prazo de retenção, se usa CRM. Jurídico/marketing redigem; TI implementa fielmente.

Operadores comuns

• Hospedagem / cloud do site — processa POST, pode guardar logs. ITC Hosting atua como operador com cláusulas de proteção e infraestrutura no Brasil.
• Plugin de formulário (Contact Form 7, WPForms, Gravity Forms) — pode armazenar envios no banco WordPress; verificar destino e retenção.
• E-mail transacional (SendGrid, Amazon SES, SMTP do cPanel) — operador de transporte.
• CRM / ATS (HubSpot, Pipedrive, Gupy, Solides) — operador ou co-controlador conforme contrato.
• reCAPTCHA / hCaptcha — Google ou outro como operador; informar na política de cookies se aplicável (Política de Cookies ITC).

Mapeamento completo: Operador de dados na LGPD: papel, contratos e importância na cadeia de fornecedores · Controlador na LGPD: o que é, obrigações e importância para empresas.

Implementação técnica recomendada

• Certificado SSL válido; HSTS quando possível.
• Validação server-side dos campos; sanitização anti-XSS e SQL injection.
• Não enviar currículo por e-mail sem criptografia TLS; preferir upload em área autenticada ou ATS.
• Restringir pasta de uploads (/wp-content/uploads/) contra listagem e execução de PHP.
• Logs de acesso ao painel onde se leem mensagens.
• Backup criptografado; teste de restore.
• Versionar política de privacidade e registrar qual versão estava ativa na data do envio.

Na criação ou reformulação do site, alinhar formulários no briefing: Processo de criação de site para empresas: do briefing à publicação.

Cookies, analytics e formulários

Se o formulário dispara evento de conversão no Google Ads ou Meta Pixel, cookies de marketing entram em jogo — em regra exigem consentimento prévio via banner, independentemente da base legal do contato em si. Analytics first-party com IP anonimizado ainda demanda transparência. Não misture “aceito cookies” com “autorizo tratamento de currículo” — são finalidades distintas.

Erros frequentes (e consequências)

• Formulário envia para caixa pessoal do dono — sem backup, sem controle de acesso, operador informal.
• Currículos públicos em pasta web — indexação acidental no Google; vazamento em massa.
• Mesmo checkbox para tudo — “Li e aceito” cobrindo marketing, compartilhamento e banco de talentos.
• Integração Zapier/Make sem DPA — dados fluem para EUA sem contrato.
• Spam de currículo por bot — milhares de PDFs com malware; LGPD não dispensa segurança da informação.
• Política copiada de template gringo — menciona CCPA/GDPR mas não canal ANPD nem realidade do site.
• Guardar lead de contato para sempre — viola necessidade; dificulta resposta a pedido de eliminação.

Checklist LGPD — formulário de contato

1. Finalidade escrita ao lado do formulário.
2. Link para Política de Privacidade atualizada.
3. Campos mínimos necessários.
4. Base legal documentada internamente (V, IX ou I para marketing).
5. Opt-in marketing separado, desmarcado por padrão.
6. HTTPS + anti-spam.
7. Destino definido (e-mail corporativo, CRM) — não caixa pessoal.
8. Prazo de retenção de leads documentado.
9. Contrato/DPA com hospedagem e ferramentas.
10. Canal para titular exercer direitos (e-mail DPO/privacidade).

Checklist LGPD — recolha de currículos

1. Página “Trabalhe conosco” com finalidade e prazo de guarda.
2. Orientação: não incluir dados sensíveis desnecessários.
3. Upload seguro ou ATS profissional — não pasta pública.
4. Acesso restrito ao RH; proibido compartilhar em apps pessoais.
5. Política de descarte de candidatos não selecionados (6–12 meses típico).
6. Consentimento específico se mantiver banco de talentos.
7. Separar totalmente de base comercial de marketing.
8. Registro de quem aprovou acesso de gestor à vaga X.
9. Procedimento para pedido de exclusão do candidato.
10. Alinhamento com jurídico trabalhista (CLT, EEO, LGPD).

Incidentes envolvendo formulários

Se backup expõe milhares de currículos, ou plugin desatualizado vaza mensagens de contato, o controlador deve acionar plano de resposta: conter, avaliar risco, comunicar ANPD e titulares se aplicável (art. 48), registrar lições aprendidas. Formulário comprometido também pode significar skimmer — script malicioso copiando campos antes do envio. Monitorar integridade de arquivos JS do site.

Como a ITC Service apoia empresas

Desenvolvemos e hospedamos sites com formulários alinhados às boas práticas LGPD: HTTPS gerenciado, plugins atualizados, políticas linkadas, infraestrutura no Brasil e contratos de operador. Não substituímos assessoria jurídica — trabalhamos com o jurídico do cliente para refletir a operação real na política de privacidade. Para SEO técnico e indexação saudável após publicar conteúdo: SEO e site pronto para Google: o que incluir na entrega.

Fale conosco · Atendimento no Rio Grande do Sul · Hospedagem e sites ITC.

Perguntas frequentes

Preciso de LGPD no formulário de contato do meu site?
Sim. Se você coleta nome, e-mail ou telefone de pessoas físicas, a LGPD se aplica. O formulário deve informar a finalidade, ter base legal e medidas de segurança — independentemente do porte da empresa.

Qual base legal usar no formulário de contato simples?
Em geral, execução de contrato ou procedimentos preliminares (art. 7º, V) quando o visitante pede orçamento ou informação, ou legítimo interesse (art. 7º, IX) com documentação de balanceamento. Marketing posterior exige consentimento separado.

Posso colocar checkbox “aceito receber novidades” já marcado?
Não é boa prática e conflita com o princípio do consentimento livre e inequívoco. O titular deve marcar ativamente (opt-in).

Formulário de contato precisa de CPF?
Só se houver necessidade real e proporcional (ex.: emissão de nota antes da conversa). Para dúvida ou orçamento inicial, CPF costuma ser excessivo e aumenta risco.

Quem é o controlador dos dados do formulário do site?
A empresa dona do site — quem decide para que servem os dados e com quem compartilha. A hospedagem e ferramentas são operadores. Veja Controlador na LGPD: o que é, obrigações e importância para empresas.

A hospedagem de site é operadora na LGPD?
Sim, ao processar e armazenar dados do formulário em servidores. Deve existir contrato com cláusulas de proteção de dados. A ITC atua nesse papel em projetos ITC Hosting.

Preciso pedir consentimento em todo formulário de contato?
Nem sempre. Consentimento é uma das bases legais, não a única. Muitos contatos comerciais se apoiam em procedimentos preliminares ou legítimo interesse. Consentimento é típico para newsletter e cookies de marketing.

Como tratar currículos enviados pelo site na LGPD?
Informe finalidade (processo seletivo), prazo de retenção, quem acessa e canal para exclusão. Restrinja acesso ao RH, evite dados sensíveis desnecessários e elimine candidatos não selecionados após prazo definido.

Qual a diferença entre formulário de contato e de currículo na LGPD?
A finalidade muda: atendimento comercial versus recrutamento. Bases legais, prazos de guarda, quem acessa internamente e proibição de usar currículo para marketing são distintos — embora a infraestrutura do site possa ser a mesma.

Posso guardar currículos para vagas futuras?
Somente com base legal clara — em geral consentimento específico para banco de talentos ou legítimo interesse com prazo curto e opção de oposição. Guardar indefinidamente aumenta risco.

Quanto tempo posso manter currículos de candidatos não aprovados?
A lei não fixa prazo único; políticas internas costumam adotar 6 a 12 meses, salvo consentimento para banco de talentos. Documente e cumpra — candidato pode pedir eliminação antes.

Currículo com foto e CPF viola a LGPD?
Coletar sem necessidade viola o princípio da necessidade. Foto pode expor dado sensível inferido; CPF só na fase avançada do processo, se imprescindível. Oriente o candidato no formulário.

Formulário WordPress grava no banco — isso é tratamento?
Sim. Plugins como Contact Form 7 podem salvar envios. Configure retenção, exclusão automática ou exportação para CRM seguro — e informe na política de privacidade.

Preciso de banner de cookies se só tenho formulário de contato?
Se usa apenas cookies estritamente necessários ao envio, o banner pode ser simplificado. Se usa Google Analytics, Ads ou pixels, consentimento prévio é necessário — veja Política de Cookies.

Como respondo se alguém pedir exclusão de dados enviados pelo formulário?
Confirme identidade, localize o registro (e-mail, CRM, backup), elimine ou anonimize e responda no prazo orientado pela ANPD. TI deve ter runbook para busca em banco e caixas de e-mail.

MEI ou microempresa precisa cumprir LGPD em formulários?
Sim. Porte pode influenciar sanção, não a obrigação de proteger dados pessoais.

Enviar formulário para WhatsApp pessoal do vendedor é LGPD?
É alto risco: operador informal, sem backup corporativo, mistura pessoal e profissional, dificulta direitos do titular. Prefira e-mail @empresa, CRM ou ticket.

Formulário de contato entra no relatório de impacto (RIPD)?
Formulário simples de baixo risco raramente exige RIPD isolado. Tratamento em larga escala de dados sensíveis de candidatos ou monitoramento invasivo pode exigir — consulte jurídico.

LGPD proíbe usar Google reCAPTCHA?
Não proíbe, mas Google é operador; informe na política e obtenha consentimento de cookies se aplicável à configuração usada.

Posso repassar leads do formulário para parceiro comercial?
Só com base legal, transparência prévia ou consentimento, contrato com operador/co-controlador e titular informado na política de privacidade.

Site institucional sem formulário ainda precisa de política de privacidade?
Se há logs, analytics, cookies ou e-mail corporativo, ainda há tratamento. Formulário intensifica a necessidade de aviso claro.

A ITC Service configura formulários em conformidade com a LGPD?
Implementamos boas práticas técnicas e de transparência (HTTPS, textos, links, hospedagem segura). Bases legais e textos jurídicos finais são validados com o jurídico do cliente. Solicite orçamento.