É um arquivo YAML que você joga na raiz do site pra declarar, de forma estruturada, como trata dados pessoais. Vive em /.well-known/lgpd.md. Humanos leem, crawlers parseiam, ferramentas de auditoria validam automaticamente. Simples assim.

Substitui a política de privacidade?

Não. A política de privacidade continua sendo o documento legal que a LGPD exige. O lgpd.md é o complemento técnico — pega aquela mesma informação e estrutura num formato que máquinas conseguem consumir. Um não vive sem o outro.

Todo site que coleta dados pessoais de gente no Brasil. O dev coloca o arquivo no deploy, o DPO valida se o que está declarado bate com o que o código realmente faz. Cada um no seu papel.

Como validar meu arquivo lgpd.md?

Pega o JSON Schema em /schema e roda com ajv, yq ou qualquer validador que suporte JSON Schema. Dá pra integrar no CI/CD sem drama. O validador online em lgpd.app também vai suportar validação direta em breve.

Padrão aberto de conformidade LGPD para websites

O problema

A LGPD exige transparência sobre tratamento de dados. Beleza. Mas na prática? Cada site resolve de um jeito: PDF genérico jogado no rodapé, banner de cookie que ninguém configurou direito, política copiada de template gringo. Nenhum desses formatos é machine-readable. Nenhum permite auditoria automatizada. Zero.

O DPO gasta horas abrindo site por site. O dev não tem um padrão claro pra declarar o que o código faz com dados pessoais. Crawlers de compliance batem na parede. No fim, conformidade vira papel assinado que ninguém verifica em escala.

A solução

Um arquivo YAML na raiz do site. Campos definidos por uma spec aberta. Validável contra JSON Schema. Qualquer pessoa que abrir o arquivo entende o que está ali — e qualquer ferramenta que precisar auditar conformidade faz isso programaticamente, sem scraping, sem gambiarra.

A filosofia é a mesma do robots.txt, security.txt e humans.txt: arquivo texto, local previsível, propósito óbvio. Sem SDK pra instalar. Sem dependência pra gerenciar. Sem lock-in. Você é dono do arquivo.

Como funciona

Crie um arquivo lgpd.md na raiz do projeto ou em /.well-known/lgpd.md — tanto faz, as duas localizações funcionam
Preencha os campos obrigatórios: quem é o controlador, quem é o DPO, que dados coleta, com que base legal, quem são os terceiros, e como o titular exerce seus direitos
Rode a validação contra o JSON Schema — se passar, o formato tá correto
Faça deploy normalmente. O arquivo é servido como qualquer asset estático — sem servidor especial, sem rota extra

Pronto. A partir daí, qualquer ferramenta de auditoria acessa seusite.com.br/.well-known/lgpd.md e verifica a conformidade de forma programática. DPOs não precisam mais abrir cada site manualmente.

Como começar

Três passos. Sem npm install, sem criar conta, sem dependência externa nenhuma.

Pegue um dos exemplos como ponto de partida — escolha o mais parecido com o seu caso
Adapte os campos pro seu cenário real: que dados coleta de verdade, que bases legais aplica, que terceiros usa
Jogue o arquivo em /.well-known/lgpd.md e mande o deploy

Exemplo mínimo — o esqueleto de um lgpd.md funcional:

---
versao: "1.0"
ultima_atualizacao: "2025-01-15"
controlador:
  nome: "Empresa Exemplo Ltda"
  cnpj: "12.345.678/0001-90"
  endereco: "Rua Exemplo, 100 — São Paulo/SP"
dpo:
  nome: "Maria Silva"
  email: "[email protected]"
dados_coletados:
  - tipo: "email"
    finalidade: "Comunicação com o usuário"
    base_legal: "consentimento"
    retencao: "Enquanto a conta estiver ativa"
direitos_titular:
  acesso: true
  correcao: true
  exclusao: true
  portabilidade: true
  url_exercicio: "https://exemplo.com.br/privacidade/direitos"
---

Pra validar, use o JSON Schema com qualquer validador compatível (ajv, yq, VS Code com extensão YAML).

Quem mantém

lgpd.md é um padrão aberto mantido por quem usa. Código, spec e schema estão no repositório GitHub. Issues e PRs são o canal — se algo não faz sentido, abre lá.

O projeto nasceu de uma necessidade real: padronizar declarações de conformidade LGPD em sites brasileiros sem depender de nenhum vendor. Não tem empresa por trás, não tem produto pago atrelado. Governança aberta, documentada no repo.

Última atualização: 14 de julho de 2025

Perguntas Frequentes

O que é lgpd.md?: É um arquivo YAML que você joga na raiz do site pra declarar, de forma estruturada, como trata dados pessoais. Vive em /.well-known/lgpd.md. Humanos leem, crawlers parseiam, ferramentas de auditoria validam automaticamente. Simples assim.
Substitui a política de privacidade?: Não. A política de privacidade continua sendo o documento legal que a LGPD exige. O lgpd.md é o complemento técnico — pega aquela mesma informação e estrutura num formato que máquinas conseguem consumir. Um não vive sem o outro.
Quem deve usar?: Todo site que coleta dados pessoais de gente no Brasil. O dev coloca o arquivo no deploy, o DPO valida se o que está declarado bate com o que o código realmente faz. Cada um no seu papel.
Como validar meu arquivo lgpd.md?: Pega o JSON Schema em /schema e roda com ajv, yq ou qualquer validador que suporte JSON Schema. Dá pra integrar no CI/CD sem drama. O validador online em lgpd.app também vai suportar validação direta em breve.