Voltar ao site SAFIE →
LGPD e privacidade no e-commerce

LGPD e privacidade no e-commerce: o que muda

Por · · 4 min de leitura
LGPD e privacidade no e-commerce: o que muda

Em maio de 2026, o G1 Economia publicou uma reportagem detalhada sobre como veículos modernos, conectados à internet, coletam dados de localização, hábitos de condução e até conversas de seus ocupantes, muitas vezes sem que os proprietários saibam ou tenham dado consentimento explícito. A matéria (G1 Economia, 18/05/2026) trata de carros, mas o mecanismo é idêntico ao que acontece em plataformas de e-commerce todos os dias.

Lojas virtuais registram IP, geolocalização, histórico de navegação, itens visualizados, abandono de carrinho, dados de pagamento e, em muitos casos, informações sensíveis como CPF, data de nascimento e renda estimada. Boa parte desses registros ocorre de forma automatizada, sem que o consumidor perceba ou entenda o que está sendo coletado.

A diferença entre um carro espião e um e-commerce que descumpre a LGPD é apenas o dispositivo. A lógica jurídica é a mesma: coleta de dados pessoais sem base legal válida configura infração, independentemente do setor. Este artigo analisa as obrigações concretas que a LGPD impõe ao comércio digital e o que os gestores precisam fazer para estar em conformidade.

Contexto jurídico e regulatório

O que a LGPD exige do e-commerce

A Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor em setembro de 2020 e as sanções administrativas passaram a ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) a partir de agosto de 2021. A lei se aplica a qualquer operação de tratamento de dados pessoais realizada no Brasil, inclusive por empresas estrangeiras que ofereçam produtos ou serviços a consumidores brasileiros.

Para o e-commerce, as obrigações mais relevantes envolvem: (1) identificar a base legal para cada tipo de dado coletado, conforme o artigo 7º da LGPD; (2) elaborar e publicar uma Política de Privacidade clara e acessível; (3) implementar um canal funcional para que o titular exerça seus direitos, como acesso, correção, portabilidade e exclusão de dados; e (4) nomear um Encarregado de Proteção de Dados (DPO), obrigatório para empresas que realizam tratamento em larga escala.

Bases legais e consentimento

Um erro frequente é tratar o consentimento como única base legal disponível. A LGPD prevê dez hipóteses no artigo 7º, entre elas o legítimo interesse do controlador (inciso IX) e a execução de contrato (inciso V). Para finalizar uma compra, por exemplo, a loja pode tratar dados do comprador com base na execução contratual, sem precisar de consentimento adicional.

O consentimento, quando utilizado, deve ser livre, informado, inequívoco e específico para cada finalidade. Caixas pré-marcadas, termos genéricos ou consentimento embutido em contratos de adesão não atendem aos requisitos do artigo 8º da LGPD. A ANPD já publicou orientações sobre o tema no Guia Orientativo de Bases Legais (2021), disponível em gov.br/anpd.

Sanções aplicáveis

As penalidades previstas no artigo 52 da LGPD incluem advertência, multa simples de até 2% do faturamento do grupo no Brasil no último exercício (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação dos dados tratados irregularmente. A reputação da marca também é impactada, especialmente em um mercado onde a confiança do consumidor é ativo crítico.

Impacto prático

Para um e-commerce de médio porte com faturamento anual de R$ 10 milhões, uma multa de 2% representa até R$ 200 mil por infração. Se a empresa opera múltiplas frentes de coleta de dados sem base legal (formulários, cookies de rastreamento, integrações com ferramentas de marketing), cada fluxo pode ser tratado como infração independente pela ANPD.

Além da exposição financeira direta, há o risco de ações coletivas por parte de consumidores, com base no Código de Defesa do Consumidor combinado com a LGPD. O Superior Tribunal de Justiça já reconheceu, em julgamentos recentes, o dano moral coletivo em casos de vazamento de dados, o que amplia a responsabilidade civil das empresas que não adotam medidas técnicas e organizacionais adequadas.

Do ponto de vista contábil, os custos de adequação à LGPD devem ser tratados como investimento em conformidade regulatória e podem ser contabilizados como despesas operacionais. Empresas que integram a proteção de dados ao processo de desenvolvimento de produtos (o chamado 'privacy by design', previsto no artigo 46 da LGPD) tendem a reduzir custos de remediação no longo prazo e a demonstrar maturidade institucional para investidores e parceiros.

Considerações finais

O caso dos carros inteligentes descrito pelo G1 é um espelho do que acontece no ambiente digital: a coleta de dados ocorre de forma silenciosa, integrada a produtos e serviços, e o titular raramente tem clareza sobre o que está sendo registrado e para qual finalidade. No e-commerce, essa prática sem controle representa risco jurídico, financeiro e reputacional concreto.

A conformidade com a LGPD não é um projeto de uma vez só. Exige revisão periódica de processos, atualização de contratos com fornecedores e parceiros (especialmente os que acessam dados dos seus clientes), treinamento de equipe e monitoramento das orientações da ANPD. Empresas que tratam a proteção de dados como prioridade operacional constroem vantagem competitiva real, especialmente em segmentos onde a confiança do consumidor é determinante para a conversão.

Perguntas frequentes

Toda loja virtual precisa ter política de privacidade?

Sim. Qualquer e-commerce que colete dados pessoais de clientes, como nome, CPF, e-mail ou endereço, está sujeito à LGPD e deve publicar uma política de privacidade clara, acessível e específica sobre quais dados são coletados, para qual finalidade, por quanto tempo são armazenados e como o titular pode exercer seus direitos.

O que acontece se meu e-commerce sofrer um vazamento de dados?

A LGPD exige que incidentes de segurança com risco relevante aos titulares sejam comunicados à ANPD e aos próprios titulares em prazo razoável (a regulamentação da ANPD indica até 3 dias úteis para comunicação inicial à autoridade). Omitir o vazamento pode agravar as penalidades aplicáveis, que incluem multa, bloqueio de dados e publicização da infração.

Meu e-commerce precisa de um DPO (Encarregado de Dados)?

A LGPD não estabelece um limite de faturamento ou porte para a obrigatoriedade do DPO. A ANPD, pelo Regulamento de Agentes de Tratamento (Resolução CD/ANPD nº 2/2022), dispensou microempresas e empresas de pequeno porte de algumas obrigações, mas recomenda a designação de um responsável mesmo para operações menores. Para empresas de médio e grande porte, o DPO é obrigatório.

Cookies de rastreamento para marketing precisam de consentimento?

Cookies que vão além da funcionalidade técnica do site, como os usados para remarketing, perfis de comportamento ou compartilhamento com terceiros, exigem base legal adequada. O consentimento é a base mais utilizada para esse tipo de tratamento, e deve ser coletado antes da ativação dos cookies, por meio de um banner transparente e com opção real de recusa.

Qual a multa máxima que um e-commerce pode receber por infração à LGPD?

A multa simples prevista no artigo 52 da LGPD pode chegar a 2% do faturamento do grupo econômico no Brasil no último exercício fiscal, com teto de R$ 50 milhões por infração. A ANPD pode aplicar múltiplas sanções para infrações distintas, o que eleva significativamente o risco financeiro para empresas com processos de coleta de dados não mapeados.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.