Uma privacy policy para Facebook lead ads é a página web ativa que você linka dentro de um lead form para divulgar como lida com os dados pessoais que coleta. Os Lead Ad Terms da Meta tornam essa URL obrigatória antes de qualquer lead ad rodar, e leis de privacidade como GDPR e CCPA exigem o mesmo aviso. Ela precisa explicar o que você coleta, como usa, com quem compartilha, os direitos do usuário e a data de vigência. O link não pode ser PDF, e sob o GDPR você e a Meta são controladores conjuntos.
Você montou o público, escreveu o criativo, desenhou o formulário, e então a Meta trava tudo em um único campo: Privacy Policy, Link URL. Você não consegue publicar o anúncio sem ele. Essa caixinha é onde muitas campanhas de leads emperram, porque ninguém explicou o que colocar ali, o que precisa dizer ou por que o link errado reprova o anúncio.
Uma privacy policy para Facebook lead ads não é opcional e não é formalidade. Ela é exigida duas vezes: uma pelos próprios Lead Ad Terms da Meta, e outra pela lei de privacidade em quase todo mercado onde você anuncia. A boa notícia é que os requisitos são estáveis e específicos, então depois de entendê-los você configura uma vez e para de se preocupar. Este guia é o passo a passo completo do lado de privacidade e opt-in do formato Facebook lead ads: o que a policy precisa divulgar, como adicionar a URL ao formulário, um exemplo que você pode adaptar e como resolver as reprovações que derrubam a maioria dos anunciantes.
Eu já lancei campanhas de leads em contas de agência e in-house, e a privacy policy é o motivo mais comum para um anúncio pronto ficar preso em análise. Quase sempre é um problema pequeno e corrigível. Vamos removê-lo de vez.
Facebook Lead Ads realmente exigem uma privacy policy?
Sim, e a obrigação vem de duas direções independentes.
A primeira é a Meta. Quando você aceita os Lead Ad Terms (o que precisa fazer por Página antes de qualquer lead ad rodar), você concorda que todo lead ad incluirá os avisos e mecanismos de escolha necessários para cumprir a lei aplicável, um aviso claro de que os dados enviados pelo formulário são regidos pela sua privacy policy, e um link para essa privacy policy. Os Terms, atualizados pela última vez em outubro de 2025, também proíbem segmentar menores e coletar informações sensíveis ou proibidas. O instant form aplica isso diretamente: o campo Privacy Policy URL é uma trava obrigatória, e o formulário não publica enquanto estiver vazio.
A segunda é a lei. No momento em que um usuário digita nome, email ou telefone no seu formulário, você está coletando dados pessoais, o que aciona obrigações de transparência sob GDPR, UK GDPR, CCPA, PIPEDA do Canadá, LGPD do Brasil e a maioria dos regimes modernos de privacidade. Essas leis exigem que você diga às pessoas o que coleta e por quê no ponto de coleta, exatamente o papel da policy linkada.
Então você nunca está escolhendo entre regras da Meta e lei. As duas se aplicam ao mesmo tempo, e uma única policy hospedada e compatível satisfaz ambas. O campo fica dentro do instant form da Meta, na seção Privacy, onde você colará sua URL mais adiante neste guia.
O que a Meta exige que sua privacy policy cubra
A Meta não dita o texto exato da sua policy e não exige uma customizada. A orientação oficial sobre privacy policies para lead ads lista os tópicos que espera que você aborde:
- O tipo de informação que você coleta
- Como você usa as informações coletadas
- Se você compartilha com afiliadas ou terceiros
- Se clientes podem revisar ou excluir as informações que você mantém
- Como você responde a solicitações legais
- Como notifica clientes sobre mudanças nas suas práticas de privacidade
- Como clientes podem entrar em contato com dúvidas
- A data de vigência da policy
Duas regras nessa orientação são esquecidas o tempo todo, e ambas causam reprovação. Primeiro, a policy URL não pode linkar diretamente para PDF, imagem ou download direto. Precisa ser uma página web real que abre dentro do app. Segundo, você não precisa de uma policy novinha: uma privacy policy comercial existente serve, desde que realmente cubra o lead ad.
Além da própria privacy policy, o formulário precisa respeitar as regras mais amplas da Meta sobre conteúdo e perguntas proibidas. Se você não tem certeza do que passa em análise na sua categoria, nosso resumo de Meta ad guidelines cobre o quadro maior de compliance ao redor dos seus lead forms.
Perguntas que você não pode fazer
Os Lead Ad Terms e Advertising Standards da Meta proíbem coletar dados sensíveis ou restritos em um instant form. Não solicite nada abaixo sem permissão prévia por escrito da Meta:
- Números de conta, nomes de usuário ou senhas
- Identificadores emitidos pelo governo (Social Security numbers, carteiras de motorista)
- Informações financeiras ou de seguro
- Informações de saúde
- Histórico criminal
- Raça ou etnia, religião, afiliação política, orientação sexual ou filiação sindical
Isso também molda sua policy: ela nunca deve sugerir que você coleta dados que não tem permissão para coletar. Aplique minimização de dados e peça apenas o que realmente precisa para cumprir a oferta.
Lance mais. Clique menos.
Suba centenas de criativos de uma vez, combine thumbnails com vídeos automaticamente e exporte direto para o Meta Ads Manager.
Teste Ads Uploader grátisNão precisa de cartão de crédito • Teste grátis de 7 dias
O que a lei exige: GDPR, CCPA e a armadilha do controlador conjunto
O checklist da Meta é o piso. A lei de privacidade adiciona a estrutura, e um detalhe surpreende quase todo anunciante.
Sob o GDPR, tanto a Meta quanto o anunciante são controladores de dados para lead ads. Vocês são controladores conjuntos. Essa é a posição declarada da própria Meta, e importa porque significa que você não pode apontar para a Meta e presumir que a plataforma carrega o peso de compliance. Cada parte é responsável por fornecer aviso e estabelecer uma base legal para o processamento. Em termos simples: você é responsável por dizer aos usuários como seus dados de lead são usados, e sua policy deve reconhecer que você compartilha dados com a Meta para entregar e medir seus anúncios.
O restante do GDPR é familiar. Você precisa de uma base legal (consentimento ou interesse legítimo, sendo consentimento típico para marketing de follow-up). Consentimento precisa ser livre, específico, informado e inequívoco, o que exclui caixas pré-marcadas e permissões agrupadas. Se pretende enviar email depois do envio, colete um opt-in separado de marketing em vez de embuti-lo no envio do lead. Usuários têm direitos de acessar, corrigir e excluir seus dados, e você geralmente tem 30 dias para responder.
Se você segmenta usuários da UE ou Reino Unido e roda o Meta Pixel no site, a ePrivacy Directive exige consentimento antes que rastreadores não essenciais disparem, por isso um cookie banner aparece para esses visitantes. Na Califórnia, CCPA e CPRA dão até 45 dias para responder a solicitações e exigem uma descrição clara dos direitos do consumidor, além de um mecanismo "Do Not Sell or Share My Personal Information" se algum compartilhamento de dados puder contar como venda ou compartilhamento. PIPEDA e LGPD impõem deveres de transparência comparáveis. O ponto é consistente em todas: diga às pessoas, por escrito, o que faz com os dados delas.
O que incluir: checklist cláusula por cláusula
Uma policy que satisfaz tanto a Meta quanto as principais leis de privacidade cobre estas seções. Trate como checklist, não como roteiro.
- Quem você é. Nome da empresa e um método real de contato (email ou endereço), mais contato de Data Protection Officer se tiver.
- O que você coleta. As categorias de dados que o formulário coleta (nome, email, telefone) e qualquer dado pré-preenchido ou de tracking.
- Como você usa. Cada finalidade explicada: cumprir a oferta, follow-up, email marketing se houver consentimento, retargeting, analytics.
- Base legal (UE/Reino Unido). Consentimento ou interesse legítimo para cada finalidade.
- Com quem você compartilha. Nomeie seu CRM, plataforma de email ou agência por nome ou categoria, e reconheça o papel da Meta na entrega e medição de anúncios.
- A cláusula de Meta Pixel e Business Tools. Se você roda o Pixel, os Business Tools Terms exigem um aviso claro de que Meta e terceiros usam cookies e tecnologias similares para medir e segmentar anúncios, além de como usuários podem optar por sair (link para páginas centrais de opt-out em aboutads.info/choices e youronlinechoices.eu, ou Facebook Ad Preferences).
- Direitos do titular dos dados. Como usuários acessam, corrigem, excluem ou retiram consentimento, com prazos de resposta (30 dias UE/Reino Unido, 45 dias Califórnia) e quaisquer direitos específicos por estado.
- Retenção e segurança. Por quanto tempo você mantém leads e que os protege com medidas razoáveis.
- Mudanças e data de vigência. A data de vigência e como notificará as pessoas sobre atualizações.

Escreva em linguagem simples. Uma parede de juridiquês é mais difícil para usuários confiarem e mais difícil para revisores da Meta validarem.
Um exemplo de seção de privacy policy para Lead Ads
Este é um esqueleto inicial, não aconselhamento jurídico. Substitua as partes entre colchetes e peça que um profissional revise antes de depender dele, especialmente para públicos da UE ou Califórnia.
Privacy Policy de [Business Name] Data de vigência: [date]
Informações que coletamos. Quando você envia um dos nossos formulários de lead do Facebook ou Instagram, coletamos os dados que você fornece, como nome, endereço de email e número de telefone.
Como usamos. Usamos essas informações para [deliver the offer you requested], para entrar em contato com você sobre [your inquiry] e, quando você concordou, para enviar comunicações de marketing. Você pode retirar o consentimento ou cancelar a inscrição a qualquer momento.
Com quem compartilhamos. Compartilhamos seus dados com [CRM/email provider] para gerenciar follow-up, e com Meta Platforms, Inc. para entregar e medir nossos anúncios. Não vendemos suas informações pessoais.
Tecnologias de tracking. Nosso site usa o Meta Pixel e ferramentas similares para medir performance de anúncios e mostrar anúncios relevantes. Você pode optar por sair via youronlinechoices.eu, aboutads.info/choices ou suas Facebook Ad Preferences.
Seus direitos. Você pode solicitar acesso, correção ou exclusão dos seus dados enviando email para [privacy@yourbusiness.com]. Respondemos em até [30/45] dias.
Mudanças. Podemos atualizar esta policy e publicaremos a nova data de vigência aqui.
Ancore o link que você cola no Facebook para a seção relevante da página, para que usuários mobile caiam diretamente nela.
Como adicionar sua Privacy Policy URL ao instant form
Depois que sua policy estiver ativa, adicionar leva menos de um minuto:
- No Ads Manager, crie sua campanha com objetivo de geração de leads, ou abra seu formulário no Meta Business Suite.
- No criativo do anúncio, crie ou edite o instant form.
- Abra a seção Privacy do editor de formulário.
- Clique em Add privacy policy e cole sua Link URL no campo. A página precisa estar ativa e mobile-friendly.
- Opcionalmente defina o Link Text. Deixar como "Privacy Policy" é a escolha mais clara.
- Salve o formulário e teste o link em um celular antes de publicar.

Use uma URL limpa, sem parâmetros de tracking. A validação de URL da Meta pode sinalizar links com query strings anexadas, e um link cheio de parâmetros é mais uma forma de cair em análise.
Economize horas em testes criativos
Pare de subir anúncios um por um. Processe criativos ilimitados em massa com correspondência automática de mídia e publicação direta via API.
Teste Ads Uploader grátisNão precisa de cartão de crédito • Teste grátis de 7 dias
"Não tenho site" e outros casos de borda
Esta é a pergunta que lota fóruns de marketing: alguém está rodando um lead ad para um projeto paralelo, serviço local ou cliente, e não tem domínio. Você ainda precisa de uma página de privacidade pública, acessível e que não seja PDF. Não há como contornar o campo URL, mas há várias formas fáceis de criar uma.
Em ordem aproximada de velocidade:
- Geradores gratuitos de policy hospedada. TermsFeed, iubenda, CookieYes e Privyr geram uma privacy policy e a hospedam em uma URL ativa que você pode colar direto no formulário. Versões básicas costumam ser gratuitas; customização e multi-idioma geralmente custam extra.
- Um site gratuito de uma página. Google Sites, uma página gratuita do Wix ou WordPress, ou GitHub Pages dão uma URL HTML. Publique o texto da policy ali e confirme que abre no mobile.
- O link de policy da própria Meta. Não use. Linkar para facebook.com/privacy descreve as práticas de dados da Meta, não as suas, e não divulga como você trata os leads. Isso costuma causar reprovação e, mesmo quando passa, deixa você fora de compliance.
Mais um ponto prático: uma única policy pode cobrir Facebook, Instagram, Messenger, WhatsApp e até lead gen em TikTok ou LinkedIn, desde que nomeie claramente e se aplique a cada plataforma que você usa. Você não precisa de um documento separado por canal. Se entidades legais diferentes são donas de contas de anúncios diferentes, esse é o caso em que policies separadas fazem sentido.
Por que seu Lead Ad foi rejeitado pela privacy policy
Quando um lead ad pronto volta com erro de privacy policy, quase sempre é uma destas causas:
- Link quebrado ou inacessível. A URL dá 404, tem erro de digitação ou exige login. Abra em uma janela anônima para confirmar que carrega para qualquer pessoa.
- Tipo de arquivo errado. Aponta para PDF, imagem, documento Word ou botão de download. Converta para uma página web normal.
- Sem policy visível. O link vai para sua homepage ou página de contato sem aviso de privacidade real. Linke diretamente para a página da policy, idealmente com "Privacy" na URL e no título.
- Texto copiado ou genérico. Um template que nunca menciona seus lead forms, seu uso de dados ou as ferramentas da Meta pode acionar revisão manual. Torne específico para sua campanha.
- Não é mobile-friendly. Lead ads rodam muito no mobile. Se a página é difícil de usar ou lenta no celular, a revisão pode falhar.
Confira o diagnóstico de anúncios da Meta para o motivo específico, corrija a página e reenvie. A maioria das reprovações de privacidade passa na primeira correção.
Configure uma vez, depois lance
O requisito de privacy policy parece um bloqueio na primeira vez que você encontra, mas é um setup único. Depois de ter uma policy ativa, mobile-friendly, que não seja PDF e divulgue suas práticas de dados e seu uso das ferramentas da Meta, você pode reutilizar a mesma URL em todo lead ad, toda plataforma e toda campanha. A parte difícil nunca foi a policy. É tudo depois: criar formulários, testar ofertas e lançar criativos no volume que realmente move seu custo por lead. Acerte o compliance uma vez para ele parar de custar dias de lançamento, e coloque energia nos testes que fazem a conta crescer.
Perguntas frequentes
As FAQs acima respondem às perguntas mais comuns sobre privacy policies para Facebook lead ads, incluindo se você pode reutilizar sua policy existente, o que fazer sem site, por que anúncios são rejeitados e o status de controlador conjunto da Meta sob o GDPR.
