O site é responsável pelos dados coletados por scripts de terceiros?

Sim. O Art. 42 da Lei 13.709/2018 estabelece responsabilidade solidária entre controlador e operador por danos causados pelo tratamento de dados. Ao inserir um script de terceiro no site, o controlador responde pelos dados coletados por aquele script perante o titular.

Google Analytics precisa de consentimento na LGPD?

Sim, quando utilizado com identificadores que permitem rastrear o visitante individualmente. O Google Analytics coleta cookies com identificadores únicos (_ga, _gid), que constituem dados pessoais conforme Art. 5º, I da Lei 13.709/2018. A base legal aplicável é o consentimento (Art. 7º, I).

O que é piggybacking de scripts e qual o risco?

Piggybacking ocorre quando um script de terceiro carrega scripts adicionais não autorizados pelo controlador do site. Isso amplia o compartilhamento de dados além do documentado, violando o princípio da transparência (Art. 6º, VI) e potencialmente o consentimento do titular.

Quais alternativas existem ao Google Analytics para conformidade?

Ferramentas como Plausible, Fathom e Umami não utilizam cookies e coletam apenas dados agregados, podendo se enquadrar no legítimo interesse (Art. 7º, IX) sem necessidade de consentimento. A escolha depende da análise de necessidade e proporcionalidade do controlador.

Scripts de Terceiros e LGPD: Responsabilidade e Conformidade

Atualizado em 17 de julho de 2025

Scripts de terceiros em sites (Google Analytics, Meta Pixel, chatbots) coletam dados pessoais dos visitantes e configuram compartilhamento com terceiros. O controlador do site responde solidariamente pelo tratamento realizado por esses scripts, conforme Art. 42 da Lei 13.709/2018.

O que são scripts de terceiros e por que importam para a LGPD

Scripts de terceiros são códigos JavaScript carregados de domínios externos que executam funcionalidades no site do controlador. Eles incluem ferramentas de analytics, pixels de rastreamento, chatbots, widgets de redes sociais e plataformas de publicidade. Cada script pode coletar dados pessoais dos visitantes de forma independente, criando fluxos de dados que o controlador do site deve gerenciar.

Tipos comuns de scripts em sites brasileiros

Os scripts de terceiros mais comuns em sites brasileiros incluem: Google Analytics (analytics), Meta Pixel/Facebook Pixel (marketing), Google Tag Manager (gerenciador de tags), Hotjar e Microsoft Clarity (mapas de calor e gravação de sessão), Intercom e Zendesk (chatbots de atendimento), Google Ads e Meta Ads (conversão de publicidade) e widgets de redes sociais (botões de compartilhamento).

Dados coletados por scripts de terceiros

Scripts de terceiros podem coletar: endereço IP, cookies com identificadores únicos, páginas visitadas e tempo de permanência, eventos de interação (cliques, scrolls, formulários), dados do dispositivo e navegador (user agent, resolução de tela), localização geográfica aproximada e, em alguns casos, dados inseridos em formulários. Muitos desses dados constituem dados pessoais conforme Art. 5º, I da LGPD.

Responsabilidade do controlador por scripts de terceiros

A inserção de scripts de terceiros no site cria uma relação de compartilhamento de dados pessoais entre o controlador do site e o terceiro fornecedor do script. A LGPD estabelece regras claras sobre responsabilidade nesse cenário, que o controlador deve compreender para gerenciar adequadamente os riscos.

Controlador vs. operador: quem responde

O controlador é quem decide sobre o tratamento de dados pessoais (Art. 5º, VI). Ao inserir um script de terceiro no site, o controlador está decidindo compartilhar dados dos visitantes com aquele terceiro. O fornecedor do script pode atuar como operador (quando processa dados sob instruções do controlador) ou como controlador conjunto (quando determina suas próprias finalidades para os dados recebidos, como no caso do Meta Pixel).

Responsabilidade solidária (Art. 42)

O Art. 42 da Lei 13.709/2018 estabelece que o controlador e o operador que causarem dano patrimonial, moral, individual ou coletivo em violação à LGPD são obrigados a repará-lo. A responsabilidade é solidária, o que significa que o titular pode acionar qualquer um dos agentes de tratamento. O controlador do site responde pelos danos causados por scripts de terceiros que ele inseriu.

Obrigação de informar o compartilhamento

O Art. 9º, V da LGPD exige que o controlador informe ao titular sobre o compartilhamento de dados e sua finalidade. Cada script de terceiro que coleta dados pessoais configura compartilhamento e deve ser declarado na política de privacidade, identificando o terceiro receptor, os dados compartilhados e a finalidade. A omissão dessa informação viola o princípio da transparência (Art. 6º, VI).

Auditoria de scripts: como identificar riscos

A auditoria de scripts de terceiros é essencial para identificar todos os fluxos de dados pessoais originados no site. Muitos controladores desconhecem a totalidade de scripts ativos em seus sites, especialmente quando há piggybacking (scripts que carregam outros scripts).

Ferramentas de varredura de tags

Ferramentas para auditoria de scripts incluem: DevTools do navegador (aba Network para identificar requisições a domínios externos), extensões como Ghostery e Privacy Badger (identificam trackers), Google Tag Assistant (verifica tags Google), Meta Pixel Helper (verifica pixel do Facebook) e scanners automatizados como BuiltWith e Wappalyzer (identificam tecnologias em uso no site).

Mapeamento de fluxos de dados para terceiros

O mapeamento deve documentar para cada script: domínio de origem, dados coletados (cookies, eventos, dados de formulário), destino dos dados (país/servidor), finalidade declarada pelo terceiro, base legal aplicável, existência de contrato de processamento de dados (DPA) e política de privacidade do terceiro. Esse mapeamento alimenta a política de privacidade e o registro de operações de tratamento.

Scripts que carregam outros scripts (piggybacking)

Piggybacking ocorre quando um script de terceiro carrega scripts adicionais não autorizados diretamente pelo controlador. Por exemplo, um widget de chat pode carregar scripts de analytics próprios, ou uma plataforma de anúncios pode carregar pixels de parceiros. Isso amplia o compartilhamento de dados além do documentado e pode violar o consentimento do titular. A auditoria deve identificar toda a cadeia de scripts carregados.

Boas práticas de conformidade

A conformidade com a LGPD no uso de scripts de terceiros exige uma abordagem proativa: gerenciar o carregamento condicionado ao consentimento, avaliar alternativas menos invasivas e documentar todas as operações de compartilhamento.

Gerenciamento via Tag Manager com consentimento

O Google Tag Manager (GTM) permite gerenciar o carregamento de scripts condicionado ao consentimento do titular. Configurando triggers baseados no estado do consentimento, scripts de analytics e marketing só são ativados após o titular aceitar a categoria correspondente. O GTM em si não coleta dados pessoais — ele apenas gerencia quando outros scripts são carregados.

Alternativas privacy-first

Alternativas privacy-first reduzem a necessidade de consentimento e simplificam a conformidade. Para analytics: Plausible, Fathom ou Umami (sem cookies, dados agregados). Para mapas de calor: soluções self-hosted ou com anonimização nativa. Para chat: soluções que não rastreiam visitantes antes da interação. A escolha deve considerar o princípio da minimização (Art. 6º, III) — se uma alternativa menos invasiva atende a finalidade, ela deve ser preferida.

Documentação e registro de operações

O controlador deve manter registro atualizado de todos os scripts de terceiros em uso, incluindo: inventário de scripts com versão e data de inclusão, DPA (Data Processing Agreement) firmado com cada fornecedor, avaliação de impacto quando aplicável, base legal documentada para cada compartilhamento e procedimento de revisão periódica. Esse registro integra o programa de governança em privacidade exigido pelo Art. 50 da LGPD.

Checklist de conformidade para scripts de terceiros

Checklist de conformidade para scripts de terceiros: (1) todos os scripts estão inventariados com finalidade documentada? (2) scripts de analytics e marketing são bloqueados antes do consentimento? (3) a política de privacidade declara todos os compartilhamentos? (4) existem DPAs firmados com os fornecedores de scripts? (5) há verificação periódica de piggybacking? (6) alternativas privacy-first foram avaliadas? (7) o consentimento é granular por categoria de script?

Scripts de terceiros comuns e dados coletados
Script	Categoria	Dados Coletados	Base Legal Recomendada
Google Analytics 4	Analytics	IP (anonimizado), cookies _ga/_gid, páginas visitadas, eventos	Consentimento (Art. 7º, I)
Meta Pixel (Facebook)	Marketing	IP, cookies, páginas visitadas, eventos de conversão, dados de formulário	Consentimento (Art. 7º, I)
Google Tag Manager	Gerenciador	Não coleta dados diretamente — gerencia outros scripts	N/A (depende dos scripts gerenciados)
Hotjar / Microsoft Clarity	UX/Heatmap	Movimentos do mouse, cliques, scrolls, gravação de sessão	Consentimento (Art. 7º, I)
Intercom / Zendesk Chat	Atendimento	Nome, email, histórico de conversas, IP, dados do navegador	Execução de contrato (Art. 7º, V) ou Consentimento
Plausible / Fathom	Analytics (privacy-first)	Dados agregados sem cookies ou identificadores pessoais	Legítimo interesse (Art. 7º, IX)

Indo além da auditoria pontual

Monitoramento vem depois.

A skill resolve o diagnóstico. O dashboard vai resolver o monitoramento contínuo, alertas e relatórios de conformidade. Cadastre-se para acesso antecipado.

Perguntas Frequentes

O site é responsável pelos dados coletados por scripts de terceiros?: Sim. O Art. 42 da Lei 13.709/2018 estabelece responsabilidade solidária entre controlador e operador por danos causados pelo tratamento de dados. Ao inserir um script de terceiro no site, o controlador responde pelos dados coletados por aquele script perante o titular.
Preciso informar na política de privacidade quais scripts uso?: Sim. O Art. 9º, V da Lei 13.709/2018 exige informação sobre compartilhamento de dados e sua finalidade. Cada script de terceiro que coleta dados pessoais configura compartilhamento e deve ser declarado na política de privacidade com identificação do terceiro e finalidade.
Google Analytics precisa de consentimento na LGPD?: Sim, quando utilizado com identificadores que permitem rastrear o visitante individualmente. O Google Analytics coleta cookies com identificadores únicos (_ga, _gid), que constituem dados pessoais conforme Art. 5º, I da Lei 13.709/2018. A base legal aplicável é o consentimento (Art. 7º, I).
O que é piggybacking de scripts e qual o risco?: Piggybacking ocorre quando um script de terceiro carrega scripts adicionais não autorizados pelo controlador do site. Isso amplia o compartilhamento de dados além do documentado, violando o princípio da transparência (Art. 6º, VI) e potencialmente o consentimento do titular.
Quais alternativas existem ao Google Analytics para conformidade?: Ferramentas como Plausible, Fathom e Umami não utilizam cookies e coletam apenas dados agregados, podendo se enquadrar no legítimo interesse (Art. 7º, IX) sem necessidade de consentimento. A escolha depende da análise de necessidade e proporcionalidade do controlador.

Indo além da auditoria pontual

Monitoramento vem depois.

A skill resolve o diagnóstico. O dashboard vai resolver o monitoramento contínuo, alertas e relatórios de conformidade. Cadastre-se para acesso antecipado.