LGPD e PIX: vazamento de dados no e-commerce

Por SAFIE · 14 de maio de 2026 · 4 min de leitura

Em 12 de maio de 2026, o Banco Central do Brasil (BC) informou publicamente que a Credifit Sociedade de Crédito Direto sofreu um incidente de segurança com exposição de dados de 46 chaves PIX de seus clientes. A comunicação foi feita pelo próprio BC, conforme exige a regulamentação do arranjo de pagamentos instantâneos, e o caso foi noticiado pelo G1 Economia. Ainda que o número de chaves expostas pareça pequeno, o evento é juridicamente relevante por envolver dados pessoais e financeiros de titulares identificáveis.

Para o setor de e-commerce, episódios como esse funcionam como alerta prático. Lojas virtuais que utilizam PIX como meio de recebimento, que armazenam chaves de clientes ou que integram gateways de pagamento são, por definição, agentes de tratamento de dados pessoais e estão sujeitas à LGPD. A pergunta não é se o vazamento pode acontecer com o seu negócio, mas o que acontece juridicamente e financeiramente quando acontece.

Este artigo analisa as obrigações legais aplicáveis, as consequências de um incidente de segurança e as medidas concretas que operadores de e-commerce devem adotar para reduzir riscos e demonstrar conformidade.

Contexto jurídico e regulatório

O que diz a LGPD sobre incidentes de segurança

A Lei nº 13.709/2018 (LGPD) estabelece, no artigo 48, que o controlador deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados qualquer incidente de segurança que possa acarretar risco ou dano relevante. O prazo regulamentado pela ANPD, por meio da Resolução CD/ANPD nº 15/2024, é de 72 horas para a comunicação preliminar à autoridade, contadas do momento em que o controlador toma ciência do incidente.

No caso do PIX, há uma camada adicional de regulação. A Resolução BCB nº 1/2020 e suas atualizações determinam que as instituições participantes do arranjo notifiquem o Banco Central em caso de incidentes que afetem o ecossistema de pagamentos instantâneos. Foi exatamente esse mecanismo que gerou a comunicação pública sobre a Credifit. O e-commerce que opera como subcredenciado ou que processa dados de chaves PIX de clientes pode estar sujeito a ambas as regulações simultaneamente.

As penalidades previstas na LGPD para descumprimento das obrigações de segurança e comunicação incluem advertência, multa simples de até 2% do faturamento no Brasil (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais relacionados à infração. A ANPD já aplicou suas primeiras sanções em 2023 e 2024, sinalizando que o período de leniência regulatória foi encerrado.

Importante destacar que a LGPD adota responsabilidade objetiva em determinadas hipóteses: se o titular sofrer dano em razão do tratamento, o controlador precisa provar que não cometeu violação, e não o contrário. Esse modelo de inversão do ônus probatório eleva o custo de uma eventual ação judicial para o e-commerce desprotegido.

Impacto prático

Para lojas virtuais, o risco de exposição de dados no contexto do PIX é concreto. Quando um cliente informa sua chave PIX para receber um reembolso, ou quando a loja armazena dados de pagamento para facilitar compras futuras, esses registros precisam estar protegidos com criptografia, controle de acesso e política de retenção definida. A ausência de qualquer dessas medidas já configura tratamento inadequado, independentemente de ter havido vazamento.

Do ponto de vista contábil, os custos de um incidente de segurança vão muito além da eventual multa da ANPD. Um estudo do IBM Institute for Business Value, o 'Cost of a Data Breach Report 2024', aponta custo médio global de USD 4,88 milhões por violação de dados, considerando notificação, resposta ao incidente, honorários jurídicos, perda de clientes e danos à reputação. No Brasil, empresas de menor porte tendem a subestimar esses custos porque não os provisionam contabilmente como passivo contingente, o que pode distorcer a posição financeira real do negócio.

A recomendação prática é tratar a conformidade com a LGPD como um custo operacional recorrente, e não como um projeto pontual. Isso inclui: mapeamento de dados pessoais tratados (inclusive chaves PIX), contratos de processamento de dados com fornecedores e gateways, plano de resposta a incidentes com prazos definidos e treinamento periódico das equipes que acessam dados de clientes. Empresas que documentam essas medidas têm mais condições de demonstrar boa-fé diante da ANPD e reduzir sanções em caso de incidente.

Considerações finais

O vazamento comunicado pelo Banco Central envolvendo a Credifit é um caso de escala reduzida, mas com valor de precedente alto. Ele demonstra que o sistema regulatório brasileiro, tanto o do BC quanto o da ANPD, está operacional e que a comunicação de incidentes é uma obrigação real, não uma formalidade. Para o e-commerce, a lição é que qualquer dado pessoal tratado, inclusive uma chave PIX, representa uma responsabilidade jurídica e um passivo potencial que precisa ser gerenciado.

A SAFIE E-commerce recomenda que operadores de lojas virtuais realizem, com apoio jurídico e contábil especializado, um diagnóstico de conformidade com a LGPD que inclua os fluxos de pagamento digital. A prevenção é sempre menos custosa do que a resposta a um incidente, e a documentação da conformidade é, hoje, um diferencial competitivo e um escudo regulatório.

Perguntas frequentes

O e-commerce é obrigado a seguir a LGPD mesmo sendo uma empresa pequena?

Sim. A LGPD se aplica a qualquer pessoa física ou jurídica que realize tratamento de dados pessoais no Brasil, independentemente do porte. Microempresas e MEIs que coletam nome, e-mail, CPF ou dados de pagamento de clientes já são consideradas controladoras de dados e estão sujeitas às obrigações da lei, incluindo as penalidades em caso de descumprimento.

O que fazer se minha loja virtual sofrer um vazamento de dados de clientes?

O primeiro passo é acionar o plano de resposta a incidentes da empresa. Em seguida, o controlador tem 72 horas (conforme Resolução CD/ANPD nº 15/2024) para fazer a comunicação preliminar à ANPD. Os titulares afetados também precisam ser notificados quando houver risco relevante. Recomenda-se envolver advogado especializado em proteção de dados imediatamente após a constatação do incidente.

Guardar a chave PIX de um cliente para facilitar reembolsos é legal?

É legal desde que haja uma base legal adequada prevista na LGPD, como o legítimo interesse ou a execução de contrato, e que o dado seja armazenado com segurança, pelo prazo mínimo necessário, e descartado corretamente após o uso. Armazenar chaves PIX sem finalidade definida ou sem medidas de segurança configura tratamento irregular.

Qual é a multa máxima que a ANPD pode aplicar por vazamento de dados?

A LGPD prevê multa simples de até 2% do faturamento bruto da empresa no Brasil no último exercício, limitada a R$ 50 milhões por infração. Além da multa, a ANPD pode aplicar advertência, publicização da infração, bloqueio e eliminação dos dados pessoais tratados em violação à lei. As sanções podem ser cumulativas.

Contratar um gateway de pagamento transfere a responsabilidade pela proteção dos dados para ele?

Não completamente. O e-commerce permanece como controlador dos dados de seus clientes e é corresponsável pelo tratamento realizado pelo operador (gateway). É obrigatório firmar um contrato de processamento de dados que estabeleça as responsabilidades de cada parte, conforme exige o artigo 39 da LGPD. A ausência desse contrato é, por si só, uma irregularidade.