Voltar ao site SAFIE →
LGPD e privacidade no e-commerce

LGPD no e-commerce: o caso Claro e a ANPD

Por · · 4 min de leitura
LGPD no e-commerce: o caso Claro e a ANPD

Em 8 de junho de 2026, o G1 Economia noticiou que a Agência Nacional de Proteção de Dados (ANPD) abriu processo administrativo contra a Claro por compartilhamento irregular de dados pessoais de clientes com a Serasa. Segundo a reportagem, a operadora teria transferido informações sem observar os requisitos da Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), em especial a exigência de base legal válida para o tratamento compartilhado.

O caso não é isolado. É o sinal mais claro até agora de que a ANPD está operando em regime de fiscalização ativa, com capacidade de responsabilizar empresas de grande porte. Para operadores de e-commerce, o episódio tem implicação direta: práticas similares de compartilhamento de dados com bureaus de crédito, plataformas de marketing e parceiros logísticos estão sob o mesmo conjunto de regras.

Este artigo analisa o que motivou o processo, quais dispositivos da LGPD estão em jogo e quais medidas concretas o comércio digital precisa adotar para não ocupar o lugar da Claro na próxima notícia.

Contexto jurídico e regulatório

O que a LGPD exige para compartilhar dados com terceiros

O compartilhamento de dados pessoais com terceiros é um dos pontos mais sensíveis da LGPD. O artigo 7º da lei lista dez bases legais que autorizam o tratamento de dados, e todas elas exigem que a finalidade seja legítima, específica e informada ao titular. Não basta ter um contrato com o parceiro que recebe os dados.

No caso da Claro e da Serasa, a questão central é saber qual base legal a operadora invocou para justificar o repasse. As candidatas mais comuns nesse tipo de operação são o legítimo interesse (art. 7º, IX) e a execução de contrato (art. 7º, V). Ambas têm limites claros: o titular precisa ter sido informado, a finalidade precisa ser compatível com a relação original e o dado só pode ser o mínimo necessário, conforme o princípio da necessidade previsto no art. 6º, III.

Além disso, o artigo 49 da LGPD determina que os sistemas de tratamento de dados devem ser estruturados para atender aos princípios da lei desde a concepção (privacy by design). Compartilhar dados em volume indiscriminado com uma empresa de análise de crédito, sem critério de minimização, contraria esse dispositivo e pode configurar violação autônoma, independente de outros ilícitos.

A ANPD tem competência para aplicar sanções que vão de advertência a multa de até 2% do faturamento do grupo no Brasil no último exercício, limitada a R$ 50 milhões por infração, conforme o art. 52 da LGPD. Para uma empresa do porte da Claro, a exposição financeira potencial é relevante. Para um e-commerce médio, mesmo percentuais menores representam risco existencial.

Impacto prático

Para o e-commerce, o paralelo mais direto com o caso Claro é o compartilhamento de dados de clientes com plataformas de antifraude, bureaus de crédito, marketplaces e ferramentas de CRM terceirizadas. Todas essas integrações envolvem transferência de dados pessoais e exigem base legal documentada, contrato de operação de dados (art. 39 da LGPD) e registro no programa de governança da empresa.

Do ponto de vista contábil e de gestão de risco, a ausência de controles de privacidade deve ser tratada como passivo contingente. Empresas que operam sem política de privacidade atualizada, sem mapeamento de fluxos de dados e sem cláusulas contratuais de proteção de dados com fornecedores estão acumulando risco que não aparece no balanço, mas aparece na autuação. A abertura de processo administrativo pela ANPD, mesmo antes de sanção, já impacta reputação e pode afetar negociações com investidores e parceiros.

O checklist mínimo para um e-commerce em conformidade inclui: política de privacidade publicada e acessível, com indicação das finalidades e dos parceiros que recebem dados; contratos de operação com todos os fornecedores que processam dados por conta da empresa; registro de atividades de tratamento (art. 37 da LGPD); base legal definida para cada operação de compartilhamento; e canal de atendimento ao titular funcionando. Esses itens não são opcionais, são o piso mínimo esperado pela ANPD em qualquer fiscalização.

Considerações finais

O processo administrativo contra a Claro marca uma inflexão na atuação da ANPD: a agência saiu da fase normativa e entrou na fase punitiva de forma consistente. Empresas de qualquer porte que tratam dados pessoais precisam entender que o risco de sanção é real e que a conformidade com a LGPD é uma obrigação permanente, não um projeto pontual.

Para o comércio digital, o momento é de revisar contratos com parceiros, auditar integrações de dados e documentar as bases legais utilizadas. Investir em governança de dados agora custa menos do que responder a um processo administrativo depois, sem contar o impacto reputacional que acompanha qualquer notícia de vazamento ou uso irregular de informações de consumidores.

Perguntas frequentes

O que a ANPD pode fazer contra uma empresa que descumpre a LGPD?

A ANPD pode aplicar advertência, multa de até 2% do faturamento no Brasil (limitada a R$ 50 milhões por infração), bloqueio ou eliminação dos dados irregulares e publicização da infração, conforme o art. 52 da LGPD. O processo contra a Claro é um exemplo de como esse rito funciona na prática.

Meu e-commerce precisa de contrato com a plataforma de antifraude que uso?

Sim. Sempre que você compartilha dados pessoais de clientes com um fornecedor que processa esses dados por sua conta, esse fornecedor é considerado operador nos termos do art. 5º, VII da LGPD. O contrato precisa prever as obrigações de proteção de dados, conforme o art. 39 da lei.

Qual base legal usar para compartilhar dados de clientes com bureaus de crédito?

Depende do contexto. As bases mais utilizadas são execução de contrato (art. 7º, V), legítimo interesse (art. 7º, IX) e cumprimento de obrigação legal (art. 7º, II). Em qualquer caso, é preciso documentar a escolha, informar o titular na política de privacidade e garantir que apenas os dados necessários sejam compartilhados.

O que é privacy by design e como aplicar no e-commerce?

Privacy by design significa que a proteção de dados precisa ser incorporada aos sistemas e processos desde o início, não adicionada depois. No e-commerce, isso implica configurar formulários para coletar apenas os dados necessários, restringir acesso interno por função e revisar integrações antes de ativá-las, não depois de um incidente.

Uma pequena loja virtual também está sujeita às sanções da LGPD?

Sim. A LGPD se aplica a qualquer operação de tratamento de dados realizada no Brasil, independente do porte da empresa (art. 3º). A multa é calculada sobre o faturamento, o que significa que o valor varia, mas a obrigação é a mesma para todos.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.