LGPD no E-commerce: Privacidade e Dados

Por SAFIE · 3 de maio de 2026 · 4 min de leitura

Uma notícia publicada pelo G1 Economia em 3 de maio de 2026 chamou atenção: empresas norte-americanas estão adotando a prática de lacrar fisicamente os celulares de funcionários durante o expediente para reduzir distrações. A reportagem levanta, de imediato, uma pergunta relevante para o mercado brasileiro: isso seria legal no Brasil? E, mais do que isso, que tipo de controle sobre dados e dispositivos as empresas de e-commerce podem exercer sobre seus colaboradores e clientes sem violar a Lei Geral de Proteção de Dados (LGPD, Lei n. 13.709/2018)?

O tema vai além do controle de celulares. Ele toca em um ponto central para operações digitais: os limites do monitoramento, da coleta e do uso de dados pessoais, seja de funcionários, seja de consumidores. Para o e-commerce brasileiro, que opera integralmente no ambiente digital e lida com grandes volumes de dados sensíveis, essas fronteiras precisam estar bem definidas.

Este artigo analisa o que a LGPD permite e proíbe no contexto do comércio eletrônico, com foco nas obrigações práticas para gestores, não apenas para advogados ou especialistas em TI.

Contexto jurídico e regulatório

O que a LGPD exige do e-commerce

A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa física ou jurídica, pública ou privada, quando os dados forem coletados no Brasil ou quando o titular estiver no território nacional (art. 3º). Para o e-commerce, isso significa que cada cadastro, cada cookie, cada histórico de navegação e cada dado de pagamento está sob o escopo da lei.

O artigo 7º da LGPD lista as bases legais que autorizam o tratamento de dados. As mais comuns no e-commerce são: consentimento do titular, execução de contrato (como processar um pedido de compra), cumprimento de obrigação legal (como emissão de nota fiscal) e legítimo interesse do controlador, desde que não prejudique os direitos do titular. Usar uma base legal inadequada para justificar a coleta de dados é infração passível de sanção administrativa pela Autoridade Nacional de Proteção de Dados (ANPD).

Monitoramento de funcionários: o que é permitido

Voltando à notícia do G1, a prática americana de lacrar celulares toca na questão do monitoramento de trabalhadores. No Brasil, a Consolidação das Leis do Trabalho (CLT) permite ao empregador exercer poder diretivo sobre a prestação de serviços, mas esse poder encontra limite nos direitos fundamentais do trabalhador, incluindo privacidade e proteção de dados (art. 7º, X, da Constituição Federal). Lacrar fisicamente um celular pessoal de funcionário seria, na prática, uma restrição desproporcional ao direito de propriedade e à intimidade, sem respaldo legal claro no ordenamento brasileiro.

O monitoramento de dispositivos corporativos, por outro lado, é admitido quando há política interna clara, comunicação prévia ao funcionário e finalidade legítima, como proteção de dados de clientes e segurança da informação. O TST já consolidou entendimento (Súmula 428 e precedentes) de que o monitoramento de e-mail corporativo é lícito, desde que o empregado tenha sido informado previamente. O princípio é o mesmo para outros dispositivos e sistemas: transparência e proporcionalidade.

Impacto prático

Para uma loja virtual, as obrigações práticas da LGPD envolvem ao menos quatro frentes. A primeira é o aviso de privacidade, documento público que informa quais dados são coletados, para qual finalidade, por quanto tempo são retidos e com quem são compartilhados. Lojas que não publicam esse aviso ou o fazem de forma genérica já estão em desconformidade. A segunda frente é o registro de operações de tratamento, exigido pelo art. 37 da LGPD para controladores ou operadores que realizem tratamento em larga escala.

A terceira frente envolve cookies e rastreamento. O uso de cookies para fins publicitários ou analíticos exige consentimento específico, não apenas a exibição de um banner informativo. A quarta frente é a segurança da informação: o art. 46 da LGPD obriga o controlador a adotar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e situações acidentais de destruição, perda ou alteração. Uma falha de segurança que exponha dados de clientes deve ser comunicada à ANPD e aos titulares afetados em prazo razoável (art. 48), sob pena de agravamento das sanções.

As sanções previstas no art. 52 da LGPD incluem advertência, multa de até 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração, bloqueio ou eliminação dos dados e publicização da infração, o que na prática representa dano reputacional relevante para qualquer marca de e-commerce.

Considerações finais

A notícia sobre o lacramento de celulares nos EUA serve como ponto de partida para uma reflexão mais ampla: tanto no ambiente físico quanto no digital, o controle de dados e de comportamentos tem limites legais que precisam ser respeitados. No Brasil, esses limites são definidos pela LGPD, pela CLT, pela Constituição Federal e pela jurisprudência trabalhista. Para o e-commerce, ignorar essas fronteiras não é apenas um risco jurídico, mas um risco de negócio concreto, com impacto direto em faturamento, reputação e continuidade operacional.

Adequar-se à LGPD não exige grandes investimentos iniciais, mas exige comprometimento de gestão: revisar contratos com fornecedores que acessam dados de clientes, treinar equipes, atualizar políticas internas e manter registros atualizados. Empresas que tratam isso como prioridade tendem a converter conformidade em diferencial competitivo, especialmente em segmentos onde a confiança do consumidor é fator decisivo de compra.

Perguntas frequentes

O e-commerce precisa ter um DPO (Encarregado de Dados)?

A LGPD exige a indicação de um Encarregado de Dados (art. 41), mas a ANPD, por meio da Resolução CD/ANPD n. 2/2022, dispensou microempresas, empresas de pequeno porte e startups dessa obrigação, desde que não realizem tratamento de dados de alto risco. Para lojas virtuais de médio e grande porte, a indicação é obrigatória e o nome do DPO deve constar na política de privacidade.

Posso usar os dados de clientes para enviar e-mail marketing sem pedir consentimento?

Depende da base legal utilizada. O envio de e-mail marketing pode ser justificado pelo legítimo interesse do controlador (art. 7º, IX da LGPD), desde que o titular tenha uma relação prévia com a empresa e que o envio seja proporcional e esperado pelo contexto. Ainda assim, é obrigatório oferecer mecanismo fácil de descadastramento em toda comunicação.

Qual é o prazo para comunicar uma vazamento de dados à ANPD?

O art. 48 da LGPD exige comunicação à ANPD e aos titulares afetados em prazo razoável. A Resolução CD/ANPD n. 1/2021 estabelece que incidentes de segurança com dados pessoais devem ser reportados à ANPD em até 3 dias úteis após o controlador tomar conhecimento do evento, quando houver risco ou dano relevante aos titulares.

Empresa de e-commerce pode monitorar o uso do computador corporativo pelo funcionário?

Sim, desde que o monitoramento seja feito em dispositivo de propriedade da empresa, que o funcionário tenha sido informado previamente sobre a política de uso e monitoramento, e que a finalidade seja legítima, como proteção de dados de clientes ou segurança da informação. O monitoramento desproporcional ou sem comunicação prévia pode caracterizar violação à privacidade do trabalhador.

Cookies de rastreamento publicitário precisam de consentimento no Brasil?

Sim. O uso de cookies de terceiros para fins publicitários ou de rastreamento comportamental depende de consentimento específico do usuário, conforme art. 7º, I da LGPD. Não basta exibir um banner informativo: o usuário deve ter a opção de aceitar ou recusar, e a recusa não pode impedir o acesso ao conteúdo principal do site.