Five Performance
Voltar para o blog
Compliance·18 de maio de 2026·10 min

LGPD para loja virtual não basta — o que Meta CAPI server-side resolve (e o que não resolve)

LGPD jurídica (banner, política, DPO) é só metade do problema. A outra metade é técnica — e a maioria das agências não toca nisso porque é caixa preta. Aqui explico o que CAPI server-side faz por LGPD (e o que não faz, pra você não confundir).

DM
Diego Melo
Fundador da Five Performance

LGPD jurídica (banner, política, DPO) é só metade do problema. A outra metade é técnica — e a maioria das agências não toca nisso porque é caixa preta. Aqui explico o que CAPI server-side faz por LGPD (e o que não faz, pra você não confundir).

Adequação LGPD "jurídica" — o que você já tem

Provavelmente seu advogado entregou:

  • Política de Privacidade
  • Termos de Uso
  • Banner de cookies (Aceitar / Recusar)
  • Encarregado de Dados (DPO) declarado
  • Consent Mode v2 configurado no GTM

Isso é necessário. Mas é só 50% do compliance real.

O que falta — adequação técnica

Os outros 50%:

  1. First-party cookies em tudo (CAPI server-side ajuda nisso)
  2. Mínima coleta de dados sensíveis (event matching só com email hasheado, não em texto puro)
  3. Retenção configurada por evento (não armazenar IP além de 6 meses pra analytics)
  4. Auditoria de logs de acesso (quem viu dado de cliente, quando)
  5. Criptografia em repouso E em trânsito (TLS 1.3 mínimo)
  6. Pseudonimização em dashboards (não mostrar email/CPF em Looker Studio)

Como CAPI server-side ajuda LGPD

1. Reduz dependência de cookies third-party

Pixel client-side carrega scripts da Meta direto no browser do usuário, com cookies da Meta. CAPI server-side envia eventos do seu servidor pra Meta, usando first-party cookies (do seu domínio). LGPD prefere first-party.

2. Permite controle de event matching parameters

Em CAPI server-side, VOCÊ decide quais campos enviar (email hasheado, telefone hasheado, IP, UA). Pixel client-side envia o que a Meta pede via JS — menos controle. Auditoria fica mais fácil.

3. Logs centralizados no GTM Server

Toda chamada CAPI passa pelo seu GTM Server, que loga. Em caso de pedido de acesso (Art. 18 LGPD), você consegue mostrar exatamente o que foi enviado pra Meta sobre cada usuário.

4. Consent Mode v2 conectado a CAPI

Eventos CAPI só disparam quando o usuário aceitou cookies. Conectar Consent Mode v2 ao CAPI server-side garante que não há vazamento de evento antes do consentimento.

O que CAPI NÃO resolve

  • Não substitui banner de cookies. Banner continua obrigatório (Art. 7º LGPD)
  • Não substitui Política de Privacidade. Continua obrigatória (Art. 9º)
  • Não anonimiza CPF. Se você coleta CPF na compra, precisa retenção e tratamento próprio
  • Não impede vazamento de banco de dados. Continua precisando de segurança da infraestrutura (Art. 46)
  • Não trata dados sensíveis (saúde, biometria). Esses têm regime próprio (Art. 11)

Checklist de adequação técnica LGPD em 2026

  • [ ] Consent Mode v2 com `region: ['BR']` antes do GTM
  • [ ] Banner de cookies com delay 1.2s + versão da política + timestamp no localStorage
  • [ ] Bridge `window.[marca]UpdateConsent()` conectada ao GTM
  • [ ] Meta CAPI server-side em subdomínio próprio (first-party)
  • [ ] Event matching só com dados hasheados (sha256)
  • [ ] GA4 com `anonymize_ip: true`, `allow_google_signals: false`
  • [ ] Headers HSTS + CSP + X-Frame-Options + Referrer-Policy
  • [ ] Política de retenção documentada por categoria de dado
  • [ ] Endpoint `/lgpd/exercicio-de-direitos` pra pedidos Art. 18

Como a Five entrega adequação técnica

No escopo do Five Sprint Performance (R$ 4.900 / 14 dias) e em qualquer projeto de LP/e-commerce/SaaS, entregamos os 9 itens acima como base. Não é "extra" — é o padrão.

Próximo passo

Pronto pra construir uma operação que vende?

Diagnóstico gratuito de 30 minutos. Saímos da call com escopo, prazo e investimento iniciais — você decide depois, sem pressão.

Agendar diagnóstico
Falar no WhatsApp