LGPD e privacidade no e-commerce

LGPD no E-commerce: O Que Sua Loja Precisa Saber

Por · · 4 min de leitura
LGPD no E-commerce: O Que Sua Loja Precisa Saber

Em abril de 2025, o JOTA publicou análise detalhada sobre o que chamou de 'três camadas, nenhum diálogo': a sobreposição regulatória entre Anvisa, Conselho Federal de Medicina e LGPD no campo dos softwares de saúde. O diagnóstico é preciso, mas o problema descrito não é exclusivo do setor de saúde. Qualquer operação digital que processe dados pessoais enfrenta, em grau menor ou maior, a mesma fragmentação normativa.

No e-commerce, o cenário é igualmente complexo. Uma loja virtual coleta dados em múltiplas etapas: cadastro, pagamento, navegação, histórico de compras, geolocalização para entrega e, em alguns casos, dados sensíveis como informações de saúde em marketplaces de farmácias ou suplementos. Cada uma dessas etapas tem implicações distintas sob a Lei nº 13.709/2018 (LGPD).

Este artigo apresenta os principais pontos de atenção da LGPD para lojas virtuais, com foco em obrigações práticas, riscos mensuráveis e providências que podem ser adotadas imediatamente.

Contexto jurídico e regulatório

O que a LGPD exige do e-commerce

A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada no Brasil, independentemente do porte da empresa ou do meio utilizado. Para o e-commerce, isso inclui coleta por formulários, cookies, pixels de rastreamento, integrações com plataformas de pagamento e ferramentas de CRM.

A lei exige que cada operação de tratamento tenha uma base legal definida, conforme o artigo 7º. As bases mais usadas no varejo digital são o consentimento (artigo 7º, inciso I), a execução de contrato (inciso V) e o legítimo interesse (inciso IX). Usar a base errada ou não documentar a escolha é uma infração, mesmo que os dados sejam tratados de forma segura.

Dados sensíveis e o risco ampliado

O artigo 11 da LGPD impõe restrições adicionais ao tratamento de dados sensíveis, categoria que inclui informações sobre saúde. Marketplaces de farmácias, suplementos, equipamentos médicos e até lojas de produtos de bem-estar podem estar coletando dados que se enquadram nessa categoria sem perceber.

A Autoridade Nacional de Proteção de Dados (ANPD) já sinalizou, em suas diretrizes e resoluções publicadas entre 2021 e 2024, que o tratamento de dados sensíveis exige consentimento específico e destacado, além de medidas técnicas e organizacionais reforçadas. A ausência dessas medidas eleva o risco de autuação e o valor das sanções aplicáveis.

Sanções e base de cálculo

A ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil referente ao último exercício, excluídos tributos, com limite de R$ 50 milhões por infração. O cálculo é feito sobre o faturamento do grupo econômico no país, não apenas da filial ou CNPJ autuado, o que amplia significativamente o impacto para grupos com múltiplas empresas.

Além da multa, a ANPD pode determinar bloqueio ou eliminação dos dados tratados irregularmente, o que representa risco operacional direto para lojas que dependem de bases de clientes para campanhas de retenção e remarketing.

Impacto prático

O ponto levantado pelo JOTA sobre a fragmentação regulatória tem reflexo direto no e-commerce: muitos lojistas estruturam suas políticas de privacidade com base apenas na LGPD, sem considerar normas setoriais aplicáveis. Uma farmácia online, por exemplo, pode estar sujeita também às regulamentações da Anvisa sobre sigilo de receituário e às resoluções do CFF (Conselho Federal de Farmácia), além da LGPD.

Na prática, a conformidade exige um mapeamento de dados (data mapping) que identifique quais dados são coletados, com qual finalidade, por quanto tempo são armazenados e com quais terceiros são compartilhados. Esse mapeamento deve ser documentado e revisado periodicamente, e é a base para qualquer resposta a incidentes ou a requisições de titulares.

Do ponto de vista contábil, os custos de conformidade com a LGPD podem ser classificados como despesas operacionais (contratação de DPO, consultoria jurídica, adequação de sistemas) ou como investimentos em infraestrutura de segurança da informação, dependendo da natureza e da vida útil dos ativos gerados. Essa distinção afeta o resultado e o planejamento tributário da empresa, e deve ser feita com orientação contábil especializada.

Considerações finais

A LGPD não é uma formalidade a ser cumprida com uma política de privacidade genérica publicada no rodapé do site. É um conjunto de obrigações contínuas que afetam processos, contratos, sistemas e a relação comercial com clientes e fornecedores. O alerta do JOTA sobre o desalinhamento entre reguladores no setor de saúde serve como lembrete de que a conformidade no Brasil exige atenção a múltiplas normas simultaneamente.

Para lojas virtuais, o caminho mais seguro é tratar a adequação à LGPD como parte do planejamento de negócios: com orçamento definido, responsável nomeado (o DPO, exigido pela lei), processos documentados e revisão periódica. Empresas que adotam essa postura reduzem riscos regulatórios e constroem credibilidade com consumidores que valorizam a proteção de seus dados.

Perguntas frequentes

A LGPD se aplica a pequenas lojas virtuais e microempresas?

Sim. A LGPD se aplica a qualquer pessoa natural ou jurídica que realize tratamento de dados pessoais no Brasil, independentemente do porte. A ANPD prevê tratamento diferenciado para microempresas e pequenos negócios em algumas obrigações acessórias, mas as bases legais, os direitos dos titulares e as sanções se aplicam a todos.

O que é o DPO e minha loja virtual é obrigada a ter um?

DPO (Data Protection Officer) é o encarregado de proteção de dados, exigido pelo artigo 41 da LGPD. A lei obriga qualquer controlador de dados a indicar um encarregado. Ele pode ser um funcionário interno, um prestador de serviço externo ou uma pessoa jurídica. A ANPD admite flexibilidade para pequenas empresas, mas a indicação é obrigatória e o contato do DPO deve ser publicado na política de privacidade.

Quais dados coletados por uma loja online são considerados sensíveis pela LGPD?

O artigo 5º, inciso II da LGPD define dados sensíveis como aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde ou vida sexual, dado genético ou biométrico. No e-commerce, dados de saúde aparecem em farmácias online, lojas de suplementos ou plataformas de bem-estar e exigem tratamento com base legal específica e medidas de segurança reforçadas.

Como a ANPD calcula a multa por infração à LGPD?

A multa pode chegar a 2% do faturamento da empresa ou grupo econômico no Brasil referente ao último exercício fiscal, excluídos tributos, com teto de R$ 50 milhões por infração. A ANPD considera a gravidade da infração, a boa-fé do infrator, a adoção de medidas mitigadoras e o porte da empresa ao fixar o valor final.

Minha loja usa cookies e pixels de rastreamento. Preciso de consentimento do usuário?

Sim, na maioria dos casos. Cookies e pixels que coletam dados pessoais (como identificadores de dispositivo ou comportamento de navegação vinculado a um usuário) são formas de tratamento de dados sob a LGPD. A base legal mais adequada para cookies não essenciais é o consentimento, que deve ser livre, informado, inequívoco e revogável. Banners de consentimento genéricos ou pré-marcados não atendem aos requisitos da lei.

Artigos relacionados

Mais artigos em breve.

Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.