Posso usar os exemplos diretamente sem modificar?

Não. Os dados são fictícios — CNPJs, emails, URLs inventados. Troque pelos dados reais do seu controlador, DPO e políticas antes de publicar. Um lgpd.md com informação falsa é pior do que não ter nenhum.

Qual a diferença entre o exemplo mínimo e o completo?

O mínimo só tem campos obrigatórios da spec. O completo inclui processadores terceiros, cookies detalhados e transferência internacional — use esse se sua operação não for trivial.

Meu site não se encaixa em nenhum exemplo. O que faço?

Pega o mais parecido e adapta. Os exemplos são ilustrativos — quem manda é a spec. Vai em /spec pra ver todos os campos disponíveis.

Preciso declarar todos os cookies individualmente?

Categorias de cookies precisam ter nome, finalidade e se exigem consentimento. Cookies estritamente necessários podem ser agrupados. Analytics e marketing, lista um por um.

Exemplos de arquivos lgpd.md

Exemplos prontos pra copiar

Cada exemplo abaixo é um lgpd.md completo que passa na validação do JSON Schema. Escolha o cenário mais próximo do seu, troque os dados fictícios pelos reais e jogue em /.well-known/lgpd.md.

Blog Pessoal

Blog de tech com newsletter e analytics. Coleta pouca coisa, não usa terceiros complicados — o cenário mais direto pra quem quer começar.

---
# lgpd.md — Blog pessoal de tecnologia
version: "1.0"
last_updated: "2025-01-10"

controlador:
  nome: "João Silva"
  email: "[email protected]"
  site: "https://meublog.com.br"

dados_coletados:
  - tipo: "email"
    finalidade: "Envio de newsletter semanal"
    base_legal: "consentimento"
    retencao: "Até cancelamento da inscrição"
  - tipo: "cookies_analytics"
    finalidade: "Métricas de acesso via Plausible Analytics"
    base_legal: "interesse_legitimo"
    retencao: "24 meses"

terceiros: []

direitos_titular:
  canal_contato: "[email protected]"
  prazo_resposta: "15 dias"

cookies:
  essenciais: true
  analytics: true
  marketing: false

transferencia_internacional: false

E-commerce

Loja online com cadastro, pagamento via gateway gringo, cookies de remarketing e envio pelos Correios. O dia a dia de quem vende produto físico no Brasil.

---
# lgpd.md — E-commerce de moda feminina
version: "1.0"
last_updated: "2025-01-12"

controlador:
  nome: "Moda Viva Ltda"
  cnpj: "12.345.678/0001-90"
  email: "[email protected]"
  site: "https://modaviva.com.br"
  dpo:
    nome: "Carla Mendes"
    email: "[email protected]"

dados_coletados:
  - tipo: "dados_cadastrais"
    finalidade: "Criação de conta e gestão de pedidos"
    base_legal: "execucao_contrato"
    retencao: "5 anos após último pedido"
  - tipo: "dados_pagamento"
    finalidade: "Processamento de transações via gateway"
    base_legal: "execucao_contrato"
    retencao: "5 anos (obrigação fiscal)"
  - tipo: "endereco_entrega"
    finalidade: "Envio de produtos"
    base_legal: "execucao_contrato"
    retencao: "2 anos após entrega"
  - tipo: "cookies_marketing"
    finalidade: "Remarketing e personalização de anúncios"
    base_legal: "consentimento"
    retencao: "12 meses"
  - tipo: "historico_navegacao"
    finalidade: "Recomendação de produtos"
    base_legal: "interesse_legitimo"
    retencao: "6 meses"

terceiros:
  - nome: "Stripe Brasil"
    finalidade: "Processamento de pagamentos"
    dados_compartilhados: ["dados_pagamento"]
    pais: "EUA"
  - nome: "Correios"
    finalidade: "Logística de entrega"
    dados_compartilhados: ["endereco_entrega"]
    pais: "Brasil"
  - nome: "Meta Ads"
    finalidade: "Remarketing"
    dados_compartilhados: ["cookies_marketing"]
    pais: "EUA"

direitos_titular:
  canal_contato: "[email protected]"
  prazo_resposta: "10 dias"
  portal_titular: "https://modaviva.com.br/minha-conta/privacidade"

cookies:
  essenciais: true
  analytics: true
  marketing: true
  banner_consentimento: true

transferencia_internacional:
  ocorre: true
  paises: ["EUA"]
  mecanismo: "Cláusulas contratuais padrão (SCCs)"

SaaS B2B

Plataforma de gestão de projetos com múltiplos usuários por workspace, SSO, cinco terceiros e transferência internacional pros EUA. O cenário mais pesado — DPO dedicado, exportação de dados e exclusão automatizada.

---
# lgpd.md — Plataforma SaaS B2B de gestão de projetos
version: "1.0"
last_updated: "2025-01-15"

controlador:
  nome: "TaskFlow Tecnologia S.A."
  cnpj: "98.765.432/0001-10"
  email: "[email protected]"
  site: "https://taskflow.io"
  dpo:
    nome: "Ricardo Almeida"
    email: "[email protected]"
    telefone: "+55 11 91234-5678"

dados_coletados:
  - tipo: "dados_cadastrais_empresa"
    finalidade: "Onboarding e gestão de workspace"
    base_legal: "execucao_contrato"
    retencao: "Duração do contrato + 2 anos"
  - tipo: "dados_usuarios"
    finalidade: "Autenticação e controle de acesso"
    base_legal: "execucao_contrato"
    retencao: "Duração do contrato + 90 dias"
  - tipo: "conteudo_projetos"
    finalidade: "Armazenamento de tarefas, comentários e arquivos"
    base_legal: "execucao_contrato"
    retencao: "Duração do contrato + 30 dias"
  - tipo: "logs_acesso"
    finalidade: "Auditoria de segurança e compliance"
    base_legal: "obrigacao_legal"
    retencao: "5 anos"
  - tipo: "dados_uso_produto"
    finalidade: "Melhoria do produto e suporte proativo"
    base_legal: "interesse_legitimo"
    retencao: "24 meses"
  - tipo: "dados_faturamento"
    finalidade: "Cobrança e emissão de notas fiscais"
    base_legal: "obrigacao_legal"
    retencao: "5 anos (obrigação fiscal)"

terceiros:
  - nome: "AWS"
    finalidade: "Infraestrutura cloud (hosting e storage)"
    dados_compartilhados: ["conteudo_projetos", "dados_usuarios"]
    pais: "EUA"
  - nome: "Auth0"
    finalidade: "Autenticação e SSO"
    dados_compartilhados: ["dados_usuarios"]
    pais: "EUA"
  - nome: "Stripe"
    finalidade: "Processamento de pagamentos"
    dados_compartilhados: ["dados_faturamento"]
    pais: "EUA"
  - nome: "Datadog"
    finalidade: "Monitoramento e observabilidade"
    dados_compartilhados: ["logs_acesso"]
    pais: "EUA"
  - nome: "Intercom"
    finalidade: "Suporte ao cliente"
    dados_compartilhados: ["dados_cadastrais_empresa", "dados_usuarios"]
    pais: "EUA"

direitos_titular:
  canal_contato: "[email protected]"
  prazo_resposta: "7 dias úteis"
  portal_titular: "https://taskflow.io/settings/privacy"
  exportacao_dados: true
  exclusao_automatizada: true

cookies:
  essenciais: true
  analytics: true
  marketing: false
  banner_consentimento: true

transferencia_internacional:
  ocorre: true
  paises: ["EUA"]
  mecanismo: "Cláusulas contratuais padrão (SCCs) + avaliação de impacto"

Próximos passos

Copia o exemplo que mais se parece com o seu cenário
Troca tudo que é fictício pelo real — controlador, dados coletados, terceiros, bases legais que você realmente aplica
Valida contra o JSON Schema pra ter certeza que o formato tá certo
Deploy em /.well-known/lgpd.md e pronto

Última atualização: 14 de julho de 2025

Perguntas Frequentes

Posso usar os exemplos diretamente sem modificar?: Não. Os dados são fictícios — CNPJs, emails, URLs inventados. Troque pelos dados reais do seu controlador, DPO e políticas antes de publicar. Um lgpd.md com informação falsa é pior do que não ter nenhum.
Qual a diferença entre o exemplo mínimo e o completo?: O mínimo só tem campos obrigatórios da spec. O completo inclui processadores terceiros, cookies detalhados e transferência internacional — use esse se sua operação não for trivial.
Meu site não se encaixa em nenhum exemplo. O que faço?: Pega o mais parecido e adapta. Os exemplos são ilustrativos — quem manda é a spec. Vai em /spec pra ver todos os campos disponíveis.
Preciso declarar todos os cookies individualmente?: Categorias de cookies precisam ter nome, finalidade e se exigem consentimento. Cookies estritamente necessários podem ser agrupados. Analytics e marketing, lista um por um.