LGPD e privacidade no e-commerce

LGPD e Privacidade no E-commerce: O Que Muda

Por · · 4 min de leitura
LGPD e Privacidade no E-commerce: O Que Muda

Um artigo publicado pelo JOTA em maio de 2025 trouxe à tona um problema que vai além do setor de saúde: a fragmentação regulatória em torno de dados pessoais no Brasil. O texto descreve o 'nó' formado entre Anvisa, CFM e LGPD no campo dos softwares médicos, onde três camadas normativas coexistem sem diálogo entre si. Essa mesma lógica, de sobreposição de regras sem coordenação clara, aparece no e-commerce sempre que dados sensíveis ou financeiros de consumidores são processados por múltiplas plataformas.

Para o comércio digital, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é o eixo central. Mas ela não opera sozinha: o Código de Defesa do Consumidor, as normas do Banco Central para meios de pagamento e as regulamentações setoriais do CADE e da Receita Federal criam um ambiente igualmente complexo. O empresário que enxerga a LGPD como 'mais uma lei' tende a subestimar o custo do não cumprimento.

Este artigo explica, de forma objetiva, o que a LGPD exige do e-commerce, quais são os riscos reais e como estruturar a conformidade de maneira eficiente, sem travar a operação.

Contexto jurídico e regulatório

O que a LGPD exige do e-commerce

A LGPD define dado pessoal como qualquer informação relacionada a uma pessoa natural identificada ou identificável (art. 5º, I). No e-commerce, isso inclui nome, CPF, endereço de entrega, e-mail, histórico de compras, IP de acesso e até preferências de navegação registradas por cookies.

A lei estabelece dez bases legais para o tratamento de dados (art. 7º). No varejo digital, as mais utilizadas são: o consentimento do titular, a execução de contrato e o legítimo interesse do controlador. A escolha da base legal correta não é trivial: usar 'consentimento' quando a base adequada seria 'execução de contrato' gera inconsistência jurídica e pode ser questionada pela Autoridade Nacional de Proteção de Dados (ANPD).

Papéis e responsabilidades: controlador, operador e encarregado

A loja virtual é, em regra, a controladora dos dados: decide o que coletar, como usar e por quanto tempo armazenar. Os parceiros de tecnologia, como plataformas de pagamento, ERPs e ferramentas de marketing, atuam como operadores e devem assinar contratos de processamento de dados (DPA) com cláusulas específicas de segurança e confidencialidade.

Empresas com grande volume de dados ou que tratem dados sensíveis (como informações de saúde em marketplaces de bem-estar) são obrigadas a indicar um Encarregado de Proteção de Dados (DPO), conforme o art. 41 da LGPD e a Resolução CD/ANPD nº 2/2022. Para micro e pequenas empresas, a ANPD flexibilizou algumas exigências, mas não as isentou das obrigações essenciais.

Sanções e o papel da ANPD

A ANPD pode aplicar multa simples de até 2% do faturamento do grupo econômico no Brasil, limitada a R$ 50 milhões por infração (art. 52). Além da multa financeira, a autoridade pode determinar bloqueio ou eliminação dos dados tratados irregularmente, o que, na prática, pode paralisar campanhas de marketing inteiras.

As primeiras sanções administrativas da ANPD foram publicadas em 2023 e 2024, com casos envolvendo empresas de médio porte que não tinham política de privacidade adequada nem canal de atendimento ao titular de dados. O padrão de fiscalização está amadurecendo e o e-commerce é um setor naturalmente exposto, dado o volume de transações e dados processados diariamente.

Impacto prático

Do ponto de vista contábil, os custos de adequação à LGPD devem ser tratados como investimento em conformidade regulatória, não como despesa pontual. Isso inclui: consultoria jurídica para mapeamento de dados (ROPA), adequação de contratos com fornecedores, implementação de ferramentas de gestão de consentimento (CMPs) e treinamento de equipe. Empresas que postergam essa adequação tendem a pagar mais caro quando precisam resolver um incidente de segurança ou responder a uma investigação da ANPD.

Um ponto crítico para o e-commerce é o uso de pixels de rastreamento e cookies de terceiros, como os do Google Analytics, Meta Pixel e plataformas de afiliados. Cada um desses scripts transfere dados dos visitantes para servidores externos, o que configura compartilhamento de dados e exige base legal específica, além de constar na política de privacidade. A Resolução CD/ANPD nº 4/2023 reforçou a necessidade de transparência ativa nesse ponto.

Para lojas que operam em marketplaces, a fragmentação regulatória descrita pelo JOTA no setor de saúde se replica aqui: o marketplace tem sua própria política de dados, o vendedor tem a sua e o consumidor frequentemente não sabe com quem está negociando de fato. Essa opacidade é um risco jurídico real e deve ser endereçada em contrato entre as partes, com definição clara de quem é controlador e quem é operador em cada etapa da jornada de compra.

Considerações finais

A LGPD não é uma burocracia a ser tolerada: é um conjunto de regras que define como o e-commerce pode ou não pode usar os dados dos seus clientes. Empresas que tratam isso com seriedade constroem uma operação mais sólida, com menos risco de sanções, menos vulnerabilidade a vazamentos e mais credibilidade junto ao consumidor. A conformidade começa com mapeamento, passa por contratos bem redigidos e termina em processos internos que funcionam no dia a dia.

O alerta trazido pelo JOTA sobre a sobreposição regulatória nos softwares de saúde vale como referência para qualquer setor digital: quando múltiplas normas incidem sobre a mesma operação sem diálogo entre si, o risco fica com o empresário que não se preparou. No e-commerce, a preparação é viável, mensurável e, na maioria dos casos, menos cara do que parece.

Perguntas frequentes

Minha loja virtual é pequena. A LGPD se aplica a mim?

Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais de clientes no Brasil, independentemente do porte. A ANPD prevê tratamento diferenciado para microempresas e MEIs em alguns procedimentos, mas não há isenção das obrigações básicas, como ter política de privacidade e atender solicitações dos titulares de dados.

Preciso de consentimento para usar cookies no meu e-commerce?

Depende do tipo de cookie. Cookies estritamente necessários para o funcionamento do site não exigem consentimento. Já cookies de rastreamento, publicidade e analytics de terceiros exigem consentimento informado e prévio, com opção real de recusa. O uso de uma CMP (Consent Management Platform) é a forma mais eficiente de gerenciar isso.

O que acontece se minha loja sofrer um vazamento de dados?

A LGPD exige que o controlador comunique a ANPD e os titulares afetados em prazo razoável, definido pela Resolução CD/ANPD nº 2/2022 como até 3 dias úteis após o conhecimento do incidente, nos casos de risco relevante. A omissão nessa comunicação agrava a situação e pode resultar em sanções adicionais.

Quais contratos preciso revisar para adequar meu e-commerce à LGPD?

Todos os contratos com fornecedores que acessam dados dos seus clientes precisam incluir cláusulas de proteção de dados (DPA). Isso inclui: plataformas de e-commerce, gateways de pagamento, ferramentas de e-mail marketing, ERPs, sistemas de logística e agências de marketing digital que tenham acesso a bases de dados de clientes.

Qual a diferença entre controlador e operador de dados no e-commerce?

O controlador decide por que e como os dados são tratados. No e-commerce, é a loja virtual. O operador executa o tratamento em nome do controlador, como um sistema de pagamento ou plataforma de automação de marketing. Essa distinção importa porque define quem responde perante a ANPD em caso de irregularidade.

Artigos relacionados

Mais artigos em breve.

Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.