Guia completo para criar Termos de Uso e Política de Privacidade para apps mobile. Cobre LGPD, revisão da Apple e Google, consentimento granular, SDKs de terceiros e exclusão de conta.
Muitos fundadores de startups encaram a parte legal do desenvolvimento de software como um obstáculo burocrático. Uma etapa chata que fica entre o código pronto e o lançamento oficial. Infelizmente, tratar a conformidade legal como um mero detalhe de fim de projeto pode resultar em problemas bem maiores do que demorar 1 dia extra a lançar a app.
Existe um hábito perigoso rodando pelos fóruns de desenvolvedores. A ideia é simples: utiliza um gerador gratuito na internet (ou copia o texto daquele seu concorrente mais famoso), troca o nome da empresa, atualiza o rodapé e está tudo pronto para o lançamento.
Recentemente, houve uma onda massiva de rejeições na Google Play e na App Store motivadas exclusivamente por seções "Data Safety" inválidas ou incompatíveis com o comportamento real do código. Os revisores automatizados e humanos, em vez de apenas ler o que o texto promete, testam que realmente é isso que a sua app faz. Eles rodam o aplicativo em sandboxes, monitoram o tráfego de rede e comparam o que o seu app faz com o que o seu texto promete. E a Autoridade Nacional de Proteção de Dados (ANPD) começou a aplicar multas pesadas por falta de transparência na privacidade, mirando empresas que prometem uma coisa no papel e fazem outra nos bastidores.
Utilizar textos genéricos falha pois eles não cobrem a realidade técnica dos aplicativos mobile. Um gerador de internet não irá incluir que o seu app acessa o microfone em segundo plano para capturar comandos de voz ou que você usa a localização do GPS.
Cenário real: App de fitness com texto de e-commerce
Imagine que você cria um aplicativo de fitness focado em treinos de corrida. Na pressa do lançamento, você copia o texto de um grande e-commerce. Um e-commerce fala sobre endereço de entrega, cartão de crédito e histórico de compras. O seu app de fitness, no entanto, coleta batimentos cardíacos via integração com smartwatches e peso corporal. Pela LGPD, informações de saúde são classificadas como dados sensíveis — exigem um nível de proteção completamente diferente. O revisor da Apple vai aplicar a Guideline 5.1 e a suspensão é imediata.
Reverter uma suspensão por violação de privacidade nas lojas da Apple pode levar semanas de trocas de e-mails desgastantes. A documentação oficial da Apple sobre App Review Guidelines detalha as exigências de privacidade que todo desenvolvedor deve conhecer antes de submeter uma build.
Existe uma confusão constante sobre o papel de cada documento. Muitos desenvolvedores tratam os dois como sinônimos ou, pior, jogam tudo dentro de um único PDF interminável. Existe uma distinção legal estrita que você precisa entender antes de escrever a primeira linha.
Pense nos Termos de Uso como as regras da sua casa. Eles ditam o que o visitante pode ou não fazer enquanto estiver no seu espaço. Eles estabelecem as responsabilidades do usuário, proíbem comportamentos abusivos, definem regras de pagamento e protegem a sua propriedade intelectual. No Brasil, o Marco Civil da Internet (Lei 12.965/14) atua como a base primária para a construção dessas regras claras de convivência e uso do serviço.
A Política de Privacidade, por outro lado, é o seu pacto de confiança com o visitante. É a sua prestação de contas. Ela explica o que você faz com as informações que recolhe enquanto a pessoa está na sua casa. Aqui, a Lei Geral de Proteção de Dados (Lei 13.709/18) é a espinha dorsal absoluta. Ela dita como você deve tratar a coleta de dados e o uso de dados de forma lícita e transparente.
Por que separar os dois documentos?
Fundir ambos em um único documento quilométrico destrói a experiência do usuário e é um risco jurídico grave. A própria LGPD exige que o consentimento e as informações sobre o tratamento de dados pessoais tenham "destaque" em relação a outras cláusulas contratuais. Se as regras de privacidade estiverem perdidas na página 14 de um contrato genérico, o consentimento do usuário pode ser considerado nulo em um tribunal.
Estudos de usabilidade confirmam o peso dessa separação. Pesquisas do Nielsen Norman Group sobre o comportamento de leitura de textos legais mostram que os usuários não leem, eles escaneiam. Documentos separados, com títulos claros e listas em tópicos, reduzem a carga cognitiva e aumentam drasticamente as taxas de aceitação genuína.
Gere documentos legais para seu app
Use o gerador de documentos da Bywordy para criar Termos de Uso e Política de Privacidade personalizados — adaptados à LGPD e ao seu modelo de negócio.
Testar o gerador jurídicoEscrever para o usuário é metade do trabalho. A outra metade é escrever para passar pelos revisores da Apple e do Google. Ambas as plataformas criaram sistemas rígidos de declaração: a seção "Data Safety" no Google Play Console e os "Privacy Nutrition Labels" no App Store Connect.
O texto do seu documento precisa espelhar exatamente as caixas de seleção que você preenche nesses painéis. Se você marcar no App Store Connect que coleta o e-mail do usuário para fins de marketing, a sua política escrita deve ter um parágrafo idêntico confirmando isso. A documentação oficial do Google Play sobre Data Safety é clara: qualquer divergência entre o formulário preenchido na loja e o texto hospedado no seu site resulta em rejeição da atualização do app.
Você integra o Firebase para análise de falhas. Coloca o Facebook SDK para medir anúncios. Adiciona o AppsFlyer para atribuição. O dono do aplicativo é legalmente responsável por cada bit de informação sugado por essas ferramentas. O usuário não conhece o Mixpanel; ele conhece a sua marca.
Redija uma cláusula específica nomeando essas ferramentas de terceiros. A ANPD possui diretrizes muito claras sobre o compartilhamento de dados com terceiros e a responsabilidade solidária. Declare que você utiliza esses parceiros técnicos, classifique-os como "Operadores" e explique exatamente qual parte das informações coletadas é enviada para eles.
Em junho de 2022, a Apple apertou o cerco. O Google seguiu o mesmo caminho pouco tempo depois. Não basta mais ter um botão de "Sair" ou permitir que o usuário simplesmente desinstale o app. Você precisa oferecer um caminho claro, dentro do aplicativo, para solicitar a exclusão total e definitiva dos dados nos seus servidores.
O seu documento deve explicar esse processo. Um trecho como "Você pode solicitar a exclusão permanente da sua conta e de todos os dados associados acessando Perfil > Configurações > Excluir Conta" salva o seu app de uma rejeição certa.
Depender exclusivamente do consentimento do usuário para tudo é um erro clássico de principiante. O consentimento pode ser revogado a qualquer momento. Se a sua operação inteira depende dele, você construiu um castelo de cartas.
A LGPD oferece várias bases legais no seu Artigo 7º. A "Execução de Contrato" e o "Legítimo Interesse" são ferramentas poderosas que devem estruturar as suas cláusulas. Pegue o caso de um aplicativo de mobilidade urbana, como o Uber. O app precisa acessar o GPS do celular para buscar o passageiro. O motorista não consegue chegar ao destino sem essa informação. O tratamento dessa localização não precisa de um consentimento frágil; ele é estritamente necessário para a execução do contrato da corrida solicitada. A sua política deve mapear cada finalidade da coleta para a base legal correta, evitando engessar a operação.
Se o seu aplicativo usa login biométrico com FaceID ou TouchID, ou se é um app de saúde que rastreia o ciclo menstrual, o nível de exigência sobe. Para biometria, a política deve declarar de forma explícita que essas informações são processadas localmente no próprio dispositivo (on-device). Tranquilize os usuários e os auditores citando que a biometria nunca trafega para os servidores da empresa, mantendo-se restrita ao Secure Enclave do hardware da Apple ou ao equivalente no Android.
A seção sobre os direitos do usuário precisa ser um manual de instruções, não um labirinto jurídico. O Artigo 18 da LGPD lista direitos inegociáveis: acesso, correção de dados incompletos, anonimização, portabilidade e revogação do consentimento. Liste esses direitos com marcadores simples. Forneça um caminho prático para o exercício deles. Oferecer um portal automatizado dentro das configurações do app é o cenário ideal. Se isso não for tecnicamente viável no momento, forneça um e-mail de suporte dedicado que responda rápido. Dificultar esse acesso é o gatilho número um para denúncias aos Procons.
A realidade da infraestrutura moderna traz outro detalhe obrigatório. Quase 99% das startups brasileiras rodam suas aplicações em servidores da AWS, Google Cloud ou Microsoft Azure localizados nos Estados Unidos. Isso configura uma transferência internacional de dados. Essa cláusula é inegociável. Você precisa informar que os dados cruzam fronteiras e citar o uso de Cláusulas-Padrão Contratuais aceitas pela ANPD para legitimar esse fluxo. Para entender as exigências atualizadas de transferência internacional, consulte as orientações oficiais da ANPD sobre transferências internacionais.
No contexto de uma startup mobile, a cadeia de responsabilidade precisa estar cristalina no documento.
O regulamento de dosimetria e sanções da ANPD já mostrou que controladores são multados por vazamentos que ocorrem nos servidores de seus operadores. A responsabilidade final é sempre sua.
Dica prática de governança
Nunca coloque o nome e o e-mail pessoal de um funcionário específico no documento. Startups têm alta rotatividade. Crie um cargo genérico e um endereço de e-mail institucional dedicado, como dpo@suastartup.com.br ou privacidade@suastartup.com.br. Essa é uma recomendação da IAPP (International Association of Privacy Professionals) que poupa muita dor de cabeça operacional.
A era da caixa de seleção única e pré-marcada acabou.
O princípio de "Privacy by Default" (Privacidade por Padrão), exigido tanto pela LGPD quanto pelo GDPR europeu, inverteu a lógica. O estado inicial de qualquer coleta opcional deve ser desligado. A CNIL na França aplicou multas milionárias em empresas que usavam padrões obscuros para forçar consentimentos. No Brasil, a Senacon já notificou diversas plataformas pelo mesmo motivo.
Implemente "toggles" (chaves de ativação) granulares durante o onboarding do seu app. Separe categoricamente o que é essencial para o serviço funcionar do que é usado para melhorar algoritmos de anúncios. Dê ao usuário o poder de escolher.
Quando aquele pop-up do iOS aparece pedindo permissão para rastrear o usuário em apps de terceiros, a sua política de privacidade in-app já deve ter preparado o terreno. Os dois textos precisam estar em perfeita sintonia. E preste muita atenção nas regras da plataforma: nunca tente subornar os seus usuários. Oferecer moedas virtuais, vidas extras em jogos ou descontos em troca de um clique no botão "Permitir" do rastreamento viola diretamente as Human Interface Guidelines da Apple. Eles banem aplicativos permanentemente por consentimento incentivado.
Documentos legais são entidades vivas. Você vai lançar novas funcionalidades, integrar novos parceiros de pagamento e mudar a forma como a segurança de dados é gerenciada. O texto precisará de atualizações. A forma como você comunica essas mudanças define se os seus usuários vão ignorar o aviso ou desinstalar o seu aplicativo em massa.
Atualizações silenciosas destroem a confiança. Mensagens contextuais in-app constroem pontes.
O desastre do WhatsApp em 2021
O WhatsApp lançou uma atualização confusa da política de privacidade. A comunicação usava jargões pesados e não explicava o que seria compartilhado com o Facebook. O resultado foi um pânico global instantâneo. Em dias, milhões de usuários migraram para o Signal e o Telegram. O erro não foi a mudança legal, mas a total ausência de empatia na comunicação.
Use um playbook prático para o seu aviso de atualização. Quando enviar um e-mail ou uma notificação push, coloque um resumo TL;DR (Too Long; Didn't Read) logo no topo. Destaque em linguagem humana e direta exatamente o que mudou. Escreva coisas como:
As pessoas não têm medo de atualizações. Elas têm medo do que não entendem. O Edelman Trust Barometer demonstra ano após ano que a transparência proativa é o maior motor de retenção corporativa a longo prazo. Quando você trata os dados dos seus clientes com respeito, a conformidade legal deixa de ser um fardo imposto pelo governo. Ela se transforma na fundação mais sólida do seu produto.
Crie documentos legais profissionais em minutos
Pare de copiar textos genéricos. Gere Termos de Uso e Política de Privacidade personalizados para o seu app, com cláusulas alinhadas à LGPD e às exigências da Apple e do Google.
Gerar meus documentos agoraAprenda a criar termos e condições personalizados para sua loja no Shopify ou Nuvemshop. Cobre CDC, LGPD, direito de arrependimento, frete, trocas e integração no checkout.
Modelo prático de Acordo de Quotistas para LTDA. Cobre Tag Along, Drag Along, Lock-up, cláusula Shotgun, distribuição de lucros, validação e arquivamento conforme o Código Civil.