A LGPD não se resume a banners de cookies. Para anunciantes que investem em Google Ads e utilizam ferramentas de detecção de fraude de cliques, existe um conjunto de obrigações práticas que a maioria está ignorando. Não por má-fé, mas por desconhecimento.
Quando você contrata uma solução anti-fraude, está compartilhando dados pessoais dos visitantes dos seus anúncios com um terceiro. Endereço IP, fingerprint de dispositivo, geolocalização, padrões de navegação: tudo isso é dado pessoal sob a Lei nº 13.709/2018. E a responsabilidade legal é sua.
Já cobrimos as bases legais da LGPD aplicadas à proteção de tráfego neste artigo. Aqui, o foco é diferente: vamos detalhar o que você, como anunciante, precisa fazer na prática para estar em conformidade ao usar ferramentas de detecção de fraude de cliques.
O que a LGPD Exige de Quem Anuncia Online
Sob a LGPD, o anunciante que contrata campanhas de Google Ads ou qualquer plataforma de mídia paga atua como controlador dos dados pessoais coletados. Isso significa que a responsabilidade sobre o tratamento desses dados recai diretamente sobre você, não sobre a plataforma ou o fornecedor de ferramentas.
Quando você adiciona uma ferramenta de proteção contra fraude ao seu site, o fornecedor dessa ferramenta passa a atuar como operador (processador de dados). A LGPD, nos artigos 37 a 40, estabelece que o controlador deve manter registros de todas as operações de tratamento realizadas e garantir que o operador processe dados estritamente dentro das instruções recebidas.
Na prática, isso cria três obrigações concretas para o anunciante:
- Contrato de Processamento de Dados (DPA): Um acordo formal com cada fornecedor que acessa dados dos seus visitantes.
- Registro de atividades de tratamento: Documentação de quais dados são coletados, para qual finalidade, por quanto tempo são retidos e quem tem acesso.
- Minimização de dados: Garantia de que apenas os dados estritamente necessários para detectar fraude estão sendo processados, nada além disso.
O ponto crítico é que mesmo a detecção de tráfego inválido exige o processamento de dados pessoais. Cada IP analisado, cada fingerprint coletado, cada padrão de navegação avaliado envolve informações que a ANPD classifica como dados pessoais. Ignorar essas obrigações não elimina o risco legal; apenas o adia.
DPAs: O Contrato que Você Provavelmente Não Tem
O Data Processing Agreement (DPA), ou Contrato de Processamento de Dados, é o documento que formaliza a relação entre o controlador (você, anunciante) e o operador (o fornecedor da ferramenta anti-fraude). Sem ele, qualquer compartilhamento de dados pessoais está juridicamente desprotegido.
A LGPD, no Art. 39, determina que o operador deve realizar o tratamento de dados segundo as instruções fornecidas pelo controlador. Um DPA bem estruturado deve conter, no mínimo:
- Finalidade específica do tratamento: Declaração clara de que os dados serão usados exclusivamente para detecção e prevenção de fraude de cliques.
- Tipos de dados processados: Lista dos dados tratados (endereço IP, dados de dispositivo, geolocalização, dados de sessão).
- Período de retenção: Por quanto tempo os dados serão armazenados e quando serão eliminados (ex: 90 dias).
- Medidas de segurança: Criptografia em trânsito e em repouso, controle de acesso, monitoramento de incidentes.
- Direitos de auditoria: Possibilidade de o controlador auditar as práticas do operador.
- Procedimentos para incidentes: Protocolo de notificação em caso de vazamento de dados.
Aqui está um sinal de alerta importante: se o fornecedor da sua ferramenta de proteção contra fraude não oferece um DPA, ele provavelmente não está em conformidade com a LGPD. Isso transfere o risco inteiramente para você, como controlador.
O ClickVault disponibiliza DPA para todos os clientes, com cláusulas específicas que cobrem o tratamento de dados para proteção de campanhas, alinhadas aos requisitos da LGPD e às melhores práticas internacionais inspiradas pelo GDPR europeu.
Audit Trails: Por Que Registrar Detecção de Fraude
A ANPD (Autoridade Nacional de Proteção de Dados) pode, a qualquer momento, solicitar evidências das atividades de tratamento de dados da sua empresa. Isso está previsto no Art. 38 da LGPD, que trata do relatório de impacto à proteção de dados pessoais.
No contexto de detecção de fraude, existe um agravante adicional: o Art. 20 da LGPD trata especificamente de decisões automatizadas. Quando uma ferramenta de proteção de tráfego bloqueia automaticamente um clique ou um IP, ela está tomando uma decisão automatizada que afeta o titular dos dados. O titular tem o direito de solicitar a revisão dessa decisão.
Para estar preparado, você precisa de registros que documentem:
- Quais dados foram coletados de cada visitante analisado
- Qual critério levou à classificação como tráfego fraudulento (ex: padrão de bot, datacenter, comportamento anômalo)
- Qual decisão foi tomada (bloqueio, sinalização, liberação)
- Por quanto tempo esses registros serão mantidos
O ClickVault gera audit trails automatizados para cada clique bloqueado, incluindo os sinais de detecção comportamental que fundamentaram a decisão. Isso permite que o anunciante demonstre conformidade sem precisar criar processos manuais de documentação.
Consent Management para Tracking de Conversão
Um erro comum entre anunciantes é tratar consentimento de cookies e detecção de fraude como a mesma coisa. Na prática, são situações jurídicas distintas com bases legais diferentes.
A detecção de fraude pode se apoiar no legítimo interesse do controlador (Art. 7, IX da LGPD), conforme detalhamos no artigo sobre LGPD e proteção de tráfego. O legítimo interesse dispensa consentimento, desde que o anunciante realize o Teste de Balanceamento (LIA) e mantenha documentação adequada.
Já o tracking de conversão, que envolve a instalação de cookies e pixels de rastreamento para medir resultados de campanhas, exige consentimento ativo do visitante. São finalidades distintas e devem ser tratadas separadamente no seu banner de consentimento.
Na configuração prática, isso significa:
- O script de detecção de fraude (como o firewall de cliques do ClickVault) pode carregar antes do consentimento, pois se apoia em legítimo interesse.
- Os pixels de conversão do Google Ads, Meta Ads e outras plataformas devem carregar apenas após o visitante aceitar cookies de analytics/marketing.
- Seu banner de consentimento precisa separar claramente as categorias: "essenciais/segurança" (inclui anti-fraude) e "analytics/marketing" (inclui conversão).
Configurar isso corretamente evita dois problemas: quebra da medição de conversões (se você bloquear tudo) e violação da LGPD (se você não bloquear nada).
Consequências de Não-Compliance
A LGPD prevê sanções administrativas que entraram em vigor e vêm sendo aplicadas pela ANPD com frequência crescente desde 2024. Para anunciantes, os riscos concretos são:
Multas financeiras: Até 2% do faturamento da pessoa jurídica no último exercício, limitado a R$50 milhões por infração (Art. 52, II). A ANPD já aplicou multas a empresas de diversos portes, incluindo pequenas e médias.
Obrigação de notificação: Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a empresa deve comunicar a ANPD e os titulares afetados "em prazo razoável" (Art. 48). Se o seu fornecedor de anti-fraude sofrer um vazamento e você não tiver um DPA com cláusulas de notificação, ficará sabendo tarde demais.
Publicização da infração: A ANPD pode determinar a divulgação pública da infração (Art. 52, IV), o que gera dano reputacional direto.
Bloqueio de dados: A ANPD pode determinar o bloqueio ou eliminação dos dados pessoais relacionados à infração (Art. 52, V e VI), o que pode interromper a operação da sua ferramenta de proteção contra fraude.
O custo de adequação é sempre menor que o custo de uma sanção. E a adequação começa com as obrigações práticas que listamos abaixo.
Checklist: 7 Obrigações do Anunciante sob LGPD
Se você utiliza ferramentas de detecção de fraude em suas campanhas, estas são as sete obrigações que precisa cumprir:
1. Tenha um DPA com cada fornecedor de ferramentas. Qualquer empresa que processe dados dos seus visitantes precisa de um contrato formal. Isso inclui ferramentas de anti-fraude, analytics, CRM e plataformas de anúncio.
2. Documente a base legal para coleta de dados de fraude. Realize e registre o Teste de Balanceamento de Legítimo Interesse (LIA). O documento deve demonstrar que seu interesse em detectar fraude não se sobrepõe aos direitos dos titulares.
3. Mantenha um Registro de Atividades de Tratamento (ROPA). A LGPD exige que controladores mantenham registros de todas as operações de tratamento (Art. 37). Inclua as atividades de detecção de fraude nesse registro.
4. Configure audit trails para decisões automatizadas. Cada bloqueio automático de clique deve ser documentado com os dados analisados, o critério utilizado e a decisão tomada. Isso atende ao Art. 20 da LGPD.
5. Separe consentimento de conversão de detecção de fraude. No seu banner de cookies, categorize anti-fraude como "segurança/essencial" (legítimo interesse) e tracking de conversão como "analytics/marketing" (consentimento).
6. Defina e publique uma política de retenção de dados. Determine por quanto tempo os dados de detecção de fraude serão mantidos (recomendação: 90 dias) e garanta a exclusão automática após esse período.
7. Tenha um plano de resposta a incidentes. Defina o que fazer em caso de vazamento de dados: quem comunicar, em qual prazo, como notificar a ANPD (Art. 48) e os titulares afetados.
Perguntas Frequentes
Ferramentas anti-fraude precisam de consentimento do usuário para funcionar?
Não necessariamente. A detecção de fraude pode operar sob a base legal de legítimo interesse (Art. 7, IX da LGPD), que dispensa consentimento. A condição é que o anunciante documente o Teste de Balanceamento e mantenha transparência na política de privacidade. Detalhamos esse ponto no artigo sobre LGPD e proteção de tráfego.
Qual a diferença entre controlador e operador no contexto de detecção de fraude?
O anunciante que contrata a ferramenta é o controlador, pois define a finalidade e os meios do tratamento de dados. O fornecedor da ferramenta (como o ClickVault) é o operador, pois processa os dados segundo as instruções do controlador. Ambos têm responsabilidades sob a LGPD, mas o controlador responde primariamente perante a ANPD e os titulares.
A LGPD se aplica mesmo se minha ferramenta anti-fraude é estrangeira?
Sim. A LGPD se aplica sempre que o tratamento de dados tiver como objetivo oferecer bens ou serviços a indivíduos localizados no Brasil, independentemente de onde a empresa está sediada (Art. 3, II). Se a ferramenta processa dados de visitantes brasileiros, a LGPD se aplica. Ferramentas estrangeiras que transferem dados para fora do Brasil precisam ainda de garantias adicionais, como cláusulas contratuais padrão.
Quanto tempo devo manter os dados de detecção de fraude?
A LGPD não define um prazo fixo, mas exige que os dados sejam mantidos apenas pelo tempo necessário para cumprir a finalidade do tratamento (Art. 15, I). Para detecção de fraude, uma política de retenção de 90 dias é considerada razoável: tempo suficiente para análise e para solicitações de reembolso ao Google Ads, sem acumular dados desnecessariamente.
Conclusão
A conformidade com a LGPD para anunciantes que utilizam detecção de fraude vai além de atualizar a política de privacidade. Exige contratos formais com fornecedores, registros de atividades de tratamento, audit trails para decisões automatizadas e uma separação clara entre consentimento de conversão e detecção de fraude.
A boa notícia é que nenhuma dessas obrigações impede a proteção eficaz das suas campanhas. Pelo contrário: uma operação documentada e transparente fortalece tanto a segurança jurídica quanto a qualidade da proteção contra fraude de cliques.
O ClickVault foi projetado para facilitar essa adequação, com DPAs disponíveis, audit trails automatizados e processamento de dados em conformidade com a LGPD desde a concepção.
Comece a proteger suas campanhas com conformidade total.
Leia também: