Vibe coding e RGPD: por que seu site feito por IA pode ser ilegal

Agentes de código como Claude Code e Codex entregam um site funcional em poucas horas, mas introduzem em silêncio violações do RGPD que você nunca pediu: cookies disparados antes do consentimento, dados pessoais guardados para sempre, nenhuma forma de o usuário apagá-los. Veja por que isso acontece com todos os agentes de código, quanto pode custar e o skill gratuito do Claude Code que escaneia seu projeto em busca de problemas de RGPD e os corrige.

Você descreve um aplicativo para um agente de código, ele escreve o código, você faz o deploy e poucas horas depois tem um produto real no ar. É essa a promessa do vibe coding, e na maioria das vezes ela se cumpre. O site carrega, o cadastro funciona, o painel está limpo. Tudo o que você consegue ver está em ordem.

O problema é tudo o que você não vê. Enquanto montava suas funcionalidades, o agente também tomou dezenas de pequenas decisões sobre cookies, rastreamento, armazenamento de dados e direitos dos usuários. Ninguém pediu para ele pensar na lei, então ele não pensou. Na hora em que você entrega, seu site novinho em folha talvez já esteja assentado sobre uma pilha de violações do RGPD, e você não faz ideia de que estão ali.

Isso não é um problema do Claude nem do Codex. É uma propriedade estrutural da forma como os agentes de código funcionam, e vale para todos eles. Vamos percorrer exatamente o que dá errado, quanto isso pode custar e o skill gratuito do Claude Code que encontra e corrige esses problemas antes que um regulador o faça.

O que um agente de código erra em silêncio

Um agente de código otimiza uma só coisa: fazer a funcionalidade funcionar. Peça estatísticas e ele cola um script de rastreamento. Peça um formulário de contato e ele armazena cada envio em uma tabela. Peça um login e ele mantém os registros dos usuários por tempo indefinido. Cada escolha é razoável isoladamente. Juntas, formam a lista clássica das violações que os reguladores mais sancionam.

Veja o que passa despercebido num site típico feito com vibe coding:

  • Cookies e rastreadores disparam antes do consentimento. Estatísticas, mapas incorporados, fontes, pixels sociais e ferramentas de sessão carregam no instante em que a página abre. Sob o RGPD e as regras da ePrivacy, cookies não essenciais exigem consentimento prévio e livre. Um site que os deposita já na primeira renderização está fora de conformidade, e um banner de cookies que só aparece depois de o rastreador ter disparado não resolve nada.
  • Os dados pessoais são guardados para sempre. O agente cria uma tabela users, uma tabela submissions, uma tabela logs e nunca adiciona uma política de retenção. O RGPD exige que você guarde dados pessoais apenas pelo tempo de que realmente precisa. "Para sempre, por via das dúvidas" é exatamente a violação do princípio de limitação de conservação que a lei foi escrita para impedir.
  • Não há como apagar seus dados. Os usuários têm direito ao apagamento, o chamado direito ao esquecimento. Quase nenhum app feito com vibe coding entrega um fluxo de "apagar minha conta" nem um processo documentado para atender a um pedido de apagamento. O dado entra e não existe nenhuma porta marcada como saída.
  • Nenhum caminho de acesso ou portabilidade. As pessoas podem pedir uma cópia de tudo o que você guarda sobre elas. Se sua única resposta é uma consulta manual ao banco de dados que você nunca testou, você não está cumprindo as obrigações de acesso e portabilidade.
  • Dados de terceiros saem da UE em silêncio. Aquele script de estatísticas ou aquela fonte hospedada que você adicionou em dois segundos podem enviar endereços IP e identificadores para servidores fora da UE, sem nenhum mecanismo legal de transferência em vigor.
  • Nenhum registro do que você coleta. O RGPD espera que você conheça e documente suas atividades de tratamento. Um app cujos fluxos de dados vivem apenas no histórico de chat esquecido do agente não tem registro nenhum.

Nada disso aparece numa demonstração. O app funciona perfeitamente. A camada legal simplesmente não está lá, e continua ausente até alguém reclamar ou um regulador bater à porta.

Comparação em duas colunas intitulada o que é entregue versus o que a lei exige. A coluna da esquerda lista o que um agente de código entrega com marcas de seleção verdes: a autenticação funciona, a interface está caprichada, os pagamentos estão no ar, o build está limpo. A coluna da direita lista o que o RGPD exige com marcas de alerta vermelhas que surgem uma a uma: consentimento antes dos cookies, um limite de retenção de dados, o direito ao apagamento, uma base legal documentada. Uma fenda pontilhada desce pelo meio para mostrar o espaço invisível entre um site que roda e um site que está em conformidade.

O agente preenche a coluna da esquerda sem falhas. A coluna da direita é a parte que ninguém pediu para ele construir, então ela fica vazia.

Por que todo agente de código faz isso, não só o Claude

É tentador culpar uma ferramenta só, mas a causa é mais profunda. Os agentes de código aprendem com código público, e a maior parte do código público nunca foi escrita pensando no RGPD. Quando um modelo viu dez mil exemplos de "adicionar Google Analytics" que jogam o script direto no <head>, é esse o padrão que ele reproduz. Os dados de treinamento codificam o mau hábito, então a saída o herda.

Há dados concretos sobre a versão mais ampla desse problema. O Veracode 2025 GenAI Code Security Report testou a saída de mais de 100 grandes modelos de linguagem em dezenas de tarefas de código e constatou que 45% do código gerado por IA introduziu uma vulnerabilidade de segurança. O mesmo estudo descobriu que o código escrito por IA carregava 2,74 vezes mais vulnerabilidades do que o código escrito por humanos e, de forma reveladora, que modelos mais novos e maiores não se saíram melhor. Isso é estrutural, não um bug que a próxima versão corrige.

A conformidade com a privacidade tem exatamente o mesmo formato que a segurança. Ambas são exigências invisíveis que o objetivo de "fazer funcionar" passa direto por cima. Então, seja pilotando Claude Code ou Codex, Antigravity CLI, Cursor ou qualquer outro agente, você está exposto ao mesmo ponto cego. A ferramenta muda, a lacuna permanece.

Quanto uma violação do RGPD pode realmente custar

É aqui que deixa de ser abstrato. As multas do RGPD têm teto no maior valor entre 20 milhões de euros ou 4% do faturamento anual mundial, e os reguladores começaram a usar o topo dessa faixa.

Só em 2025, a autoridade francesa de proteção de dados, a CNIL, aplicou 486 milhões de euros em multas, quase dez vezes o total de 2024. Duas decisões tomadas em um único dia de setembro respondem pela maior parte: 325 milhões de euros contra o Google por falhas em cookies e na transparência publicitária, e 150 milhões de euros contra a Shein por rastreadores depositados sem consentimento. As categorias exatas de erro que um agente de IA entrega por padrão são as mesmas que rendem penalidades de nove dígitos.

É fácil ler esses números e supor que os reguladores só vão atrás de gigantes. Não vão. A CNIL tem um procedimento simplificado voltado justamente para casos pequenos e factuais: um banner de cookies fora de conformidade, um pedido de acesso ignorado, uma política de senhas fraca. Esses são os achados do dia a dia de uma pequena empresa, e são exatamente o que um site feito com vibe coding erra. O tamanho da sua empresa muda o tamanho da multa, não o fato de você poder ser multado.

Gráfico de barras verticais intitulado onde caíram as multas do RGPD em 2025. Três barras sobem a partir de uma linha de base à medida que surgem na animação: 150 milhões de euros contra a Shein por rastreadores colocados sem consentimento, 325 milhões de euros contra o Google por falhas em cookies e transparência, e a barra mais alta em 486 milhões de euros, o total aplicado pelo regulador francês em 2025, quase dez vezes o ano anterior. Um selo no canto observa o teto legal de 20 milhões de euros ou 4 por cento do faturamento global por violação.

As multas de destaque atingem as grandes empresas, mas as violações por trás delas, cookies sem consentimento e falta de transparência, são as mesmas que um agente de código entrega num site pequeno por padrão.

O que o RGPD realmente pede (em termos claros)

Você não precisa virar advogado para fechar a maior parte da lacuna. O grosso da conformidade do dia a dia se resume a um punhado de comportamentos concretos que seu código tem ou não tem:

  • Consentimento antes de cookies não essenciais. Nada que rastreie, faça perfil ou meça deve rodar até o usuário ter concordado ativamente. Cookies estritamente necessários são a única exceção.
  • Uma base legal para cada dado que você coleta. Consentimento, contrato ou interesse legítimo, decidido antes de armazenar qualquer coisa, não depois.
  • Minimização de dados. Colete apenas o que a funcionalidade realmente precisa. O instinto do agente de logar tudo é o oposto disso.
  • Limites de retenção. Cada categoria de dado pessoal precisa de um tempo de vida definido e de uma forma de apagá-lo quando esse prazo chegar.
  • Os direitos do titular dos dados. Acesso, retificação, apagamento e portabilidade precisam de um caminho real e funcional, não de uma promessa numa política de privacidade.
  • Um aviso de privacidade claro e um registro de tratamento. As pessoas devem conseguir ver o que você coleta e por quê, e você deve conseguir provar isso.

Releia essa lista lado a lado com a seção sobre o que os agentes erram e a sobreposição é quase perfeita. A boa notícia é que, por serem comportamentos concretos no nível do código, uma ferramenta consegue escaneá-los.

A solução: um skill gratuito do Claude Code que escaneia e repara

Aqui está o que a checklist manual não pode lhe dar: uma passada automática sobre o seu código de verdade. Um desenvolvedor chamado Jeremy Longshore publicou um skill gratuito e de código aberto para o Claude Code chamado scanning-for-gdpr-compliance (listado em alguns marketplaces como GDPR Compliance Scanner) que faz exatamente isso. Ele vive no repositório claude-code-plugins-plus e roda inteiramente dentro do Claude Code, então não há serviço externo para criar conta.

O skill lê seu projeto como faria um auditor de privacidade. Ele inspeciona fluxos de dados, locais de armazenamento, atividades de tratamento, mecanismos de consentimento, políticas de retenção, controles de acesso e como você lida com os direitos do titular dos dados. Depois, faz três coisas que importam:

  1. Ele detecta. Verificações baseadas em regras sinalizam os padrões acima: rastreadores disparando antes do consentimento, dados pessoais sem limite de retenção, ausência de caminhos de apagamento, tratamentos não documentados.
  2. Ele classifica por gravidade. Os achados voltam pontuados e priorizados, então um rastreador que vaza identificadores fica acima de uma linha faltando no seu aviso de privacidade. Você corrige primeiro as coisas perigosas em vez de se afogar numa lista plana.
  3. Ele corrige no seu código. Como roda dentro do agente, ele não se limita a produzir um relatório para você tratar depois. Ele pode aplicar diretamente as mudanças recomendadas, transformando "você tem um problema aqui" em uma edição de verdade na mesma passada.

Instalá-lo cabe em uma linha. Com o marketplace de plugins, você adiciona a fonte e instala o skill:

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

Depois, dispare um scan em linguagem natural. O skill responde a frases como:

scan GDPR compliance
check data privacy
validate GDPR

Você também pode instalá-lo colocando a pasta do skill no diretório .claude/skills/ do seu projeto, a forma padrão pela qual o Claude Code descobre skills. De qualquer maneira, o scan roda sobre o seu repositório real, não sobre uma checklist no abstrato.

Diagrama de pipeline da esquerda para a direita intitulado escanear, classificar, corrigir. Uma caixa rotulada seu código alimenta uma caixa rotulada o skill de RGPD escaneia, que alimenta uma pilha de três níveis de gravidade rotulados crítico, alto e médio que acendem em sequência, e que então desemboca numa caixa rotulada correção aplicada no código, terminando numa caixa verde rotulada mais perto da conformidade. Um pequeno marcador percorre o caminho para mostrar um projeto atravessando o fluxo.

Código na entrada, achados priorizados no meio, edições reais de código na saída. O mesmo ciclo que você já usa para funcionalidades, apontado para a conformidade.

Uma palavra honesta de cautela, porque a confiança se constrói aqui: um scan não é um aval jurídico. O skill captura as violações mecânicas, no nível do código, que compõem a maior parte do risco do dia a dia, os cookies, a retenção, o fluxo de apagamento ausente, e te deixa drasticamente mais perto da conformidade em minutos. Ele não substitui um advogado especializado em proteção de dados para qualquer coisa sensível, uma Avaliação de Impacto sobre a Proteção de Dados, ou o tratamento de dados de saúde. Encare-o como a primeira passada técnica que remove as violações óbvias, e depois traga a revisão humana para os casos limítrofes.

Por que isso fica mais difícil quando você roda uma frota de agentes

Um desenvolvedor com um agente tem um único código para manter honesto. No momento em que você roda vários agentes em paralelo, cada um entregando funcionalidades no mesmo produto, a superfície para violações silenciosas se multiplica. Um agente adiciona um script de estatísticas, outro sobe uma tabela de logs, um terceiro liga um widget de terceiros, e nenhum humano jamais revisou as implicações de privacidade do conjunto.

É a mesma razão pela qual contexto e consistência são difíceis em escala, um tema ao qual sempre voltamos, seja o assunto rodar agentes de código em paralelo ou vibe coding sem se afogar. A solução tem o mesmo formato: tornar o padrão parte da configuração compartilhada, em vez de algo que você lembra de checar no fim.

No AgentsRoom, o cockpit multiagente, os skills e as regras que você configura uma vez se aplicam a cada agente na sala, em Claude Code, Codex e os demais provedores que você pilota a partir de um só lugar. Ligue uma passada de conformidade ao seu fluxo de trabalho uma única vez e cada agente a herda, em vez de torcer para que cada um lembre, por conta própria, de uma regra que ninguém lhe ensinou. A disciplina que mantém uma única sessão limpa é o que mantém uma frota inteira longe de problemas regulatórios.

Uma checklist prática de conformidade para sites feitos por IA

Antes de considerar qualquer site feito por IA como pronto, passe-o por esta lista. A maior parte o scanner vai capturar, mas saber o que você está procurando torna o relatório legível:

  • Nenhum cookie ou rastreador não essencial dispara antes de o usuário consentir.
  • Todo armazenamento de dados pessoais tem um período de retenção definido e um mecanismo de exclusão.
  • Os usuários conseguem solicitar e receber uma cópia dos seus dados.
  • Os usuários conseguem apagar a conta e ter seus dados eliminados.
  • Um aviso de privacidade explica o que você coleta, por quê e com que base legal.
  • Scripts de terceiros e transferências de dados para fora da UE têm um mecanismo lícito.
  • Você consegue produzir um registro das suas atividades de tratamento, se solicitado.

Se você não consegue marcar todas as caixas, seu site feito por IA carrega risco de RGPD, e uma única reclamação basta para trazê-lo à tona.

O essencial

O vibe coding é genuinamente rápido, e é essa velocidade que é a armadilha. O agente preenche tudo o que você vê e pula tudo o que você não vê, que é exatamente onde mora o RGPD. Cookies antes do consentimento, dados guardados para sempre, nenhuma forma de apagá-los: esses não são casos exóticos, são a saída padrão de todo agente de código, e são as mesmas falhas que os reguladores multaram na casa das centenas de milhões de euros em 2025.

A solução não é parar de usar agentes. É adicionar a passada que falta. Rode o skill gratuito scanning-for-gdpr-compliance sobre o seu projeto, deixe que ele classifique e repare as violações óbvias, e depois faça um humano revisar o que restou. Alguns minutos de scan saem bem mais baratos do que descobrir a lacuna pela carta de um regulador.

Construindo com mais de um agente? Baixe o AgentsRoom para rodar Claude Code, Codex e outros a partir de um único cockpit, veja o que cada um suporta na matriz de compatibilidade de provedores, e leia como manter o ritmo em vibe coding sem se afogar.

Baixar AgentsRoom

Rode seus agentes Claude em todos os seus projetos, de uma única janela.

GratisBaixar AgentsRoom

App complementar: acompanhe seus agentes em qualquer lugar

Baixar na
App Store
Disponivel no
Google Play

Use Claude, Codex, Antigravity CLI ou outro provedor de IA.

Instalar a extensão
Chrome Web Store

Envie bugs e pedidos direto para o seu backlog público.

Uma visão do AgentsRoom em ação.

Multi-projetos
Multi-provedor
Multi-agentes
Status ao vivo
Diff e commit
App mobile
Preview ao vivo
Equipes de agentes
Testes no navegador
Dev guiada por backlog
Biblioteca de prompts
Biblioteca de skills
Ver todas as funcionalidades