Voltar ao site SAFIE →
LGPD e privacidade no e-commerce

LGPD no e-commerce: o que muda com os decretos

Por · · 4 min de leitura
LGPD no e-commerce: o que muda com os decretos

Em junho de 2026, o debate sobre privacidade digital ganhou novo capítulo no Brasil. Conforme analisado pelo JOTA, normas editadas pelo governo federal para concretizar o julgado do STF sobre proteção de dados não criam obrigações novas: elas apenas reforçam e operacionalizam o que o Supremo já havia decidido e o que a Lei Geral de Proteção de Dados (Lei 13.709/2018) já determina.

Para quem opera um e-commerce, esse cenário tem uma implicação direta: ignorar a LGPD não é mais uma opção de baixo risco. A proteção de dados passou a ter status constitucional com a Emenda Constitucional 115/2022, e os decretos do Executivo funcionam como instrumento de concretização desse mandamento, sem ampliar nem reduzir o que a lei já exige.

Este artigo explica o contexto jurídico dessa movimentação normativa, traduz os impactos práticos para operações de comércio eletrônico e indica o que gestores e contadores precisam monitorar nos próximos meses.

Contexto jurídico e regulatório

O julgado do STF e a proteção de dados como direito fundamental

O Supremo Tribunal Federal reconheceu, nas ADIs 6387, 6388, 6389, 6393 e 6390, que a proteção de dados pessoais é um direito fundamental autônomo, derivado da dignidade da pessoa humana e da privacidade previstas no artigo 5º da Constituição Federal. Essa decisão precedeu e embasou a EC 115/2022, que incluiu expressamente a proteção de dados no rol constitucional.

O que os decretos federais editados a partir de 2023 fazem, portanto, não é criar novos deveres para as empresas: é estruturar como o Estado vai organizar internamente o tratamento de dados públicos e como a Autoridade Nacional de Proteção de Dados (ANPD) vai coordenar a fiscalização. Segundo a análise publicada pelo JOTA, normas do Executivo que extrapolassem esse limite estariam sujeitas a questionamento de constitucionalidade.

Para o setor privado, incluindo lojas virtuais de qualquer porte, a fonte primária de obrigações continua sendo a LGPD. A lei estabelece dez bases legais para o tratamento de dados (artigo 7º), define direitos dos titulares como acesso, correção e eliminação de dados, e impõe a figura do Encarregado de Dados (DPO) para empresas que tratam dados em larga escala ou dados sensíveis.

A ANPD, por sua vez, tem publicado regulamentos próprios com força vinculante para o setor privado, como a Resolução CD/ANPD nº 2/2022, que trata do regime de agentes de tratamento de pequeno porte. Esses atos da autarquia têm respaldo legal direto na LGPD e não dependem de decreto presidencial para produzir efeitos.

Impacto prático

Para um e-commerce, o principal risco não está nos decretos em si, mas na não conformidade com a LGPD já em vigor. A ANPD pode aplicar sanções administrativas que vão de advertência a multa de até 2% do faturamento bruto da empresa no último exercício, limitada a R$ 50 milhões por infração (artigo 52 da LGPD). Em 2024 e 2025, a autarquia iniciou processos administrativos sancionadores, sinalizando que a fase de orientação está sendo gradualmente substituída pela fase de fiscalização efetiva.

Na prática, lojas virtuais precisam revisar ao menos quatro pontos críticos: (1) a política de privacidade publicada no site, que deve informar quais dados são coletados, para qual finalidade e por quanto tempo serão mantidos; (2) o mecanismo de coleta de consentimento, especialmente para cookies e comunicações de marketing; (3) os contratos com fornecedores de tecnologia (plataformas de e-commerce, gateways de pagamento, ferramentas de CRM), que devem incluir cláusulas de responsabilidade pelo tratamento de dados; e (4) o plano de resposta a incidentes, exigido pelo artigo 48 da LGPD, que obriga a notificação à ANPD em caso de vazamento que possa causar risco aos titulares.

Do ponto de vista contábil, os custos de adequação à LGPD podem ser classificados como despesas operacionais ou, quando envolvem implementação de sistemas e processos, como ativos intangíveis ou investimentos em tecnologia da informação, conforme a NBC TG 04 e o Pronunciamento CPC 04. Ter esse mapeamento contábil correto é relevante tanto para fins fiscais quanto para demonstrar governança em processos de auditoria ou due diligence.

Considerações finais

A movimentação normativa em torno do julgado do STF não deve ser lida como um sinal de que as regras de privacidade estão mudando de forma radical. Ao contrário: ela confirma que a proteção de dados é um valor constitucional consolidado no Brasil, e que a LGPD é o instrumento central para sua aplicação no setor privado. Para o e-commerce, a mensagem é objetiva: adequação não é opcional e adiá-la aumenta o risco financeiro e reputacional.

Gestores de lojas virtuais devem tratar a conformidade com a LGPD como parte do planejamento operacional e contábil do negócio, e não como uma demanda exclusivamente jurídica. Mapear dados tratados, revisar contratos com fornecedores e manter registros das operações de tratamento são ações que reduzem exposição a sanções e constroem confiança com consumidores, um ativo intangível de valor crescente no comércio eletrônico brasileiro.

Perguntas frequentes

Os decretos do governo sobre proteção de dados criam novas obrigações para o meu e-commerce?

Não. Conforme análise publicada pelo JOTA, os decretos editados para concretizar o julgado do STF não criam obrigações novas para o setor privado. As obrigações do e-commerce decorrem diretamente da LGPD (Lei 13.709/2018) e dos regulamentos da ANPD, que têm respaldo legal próprio.

Qual é a multa máxima que meu e-commerce pode receber por descumprir a LGPD?

A LGPD prevê multa de até 2% do faturamento bruto do último exercício, limitada a R$ 50 milhões por infração (artigo 52). Além da multa, a ANPD pode aplicar advertência, publicização da infração, bloqueio ou eliminação dos dados envolvidos.

Minha loja virtual precisa ter um Encarregado de Dados (DPO)?

Depende do porte e do tipo de dados tratados. A ANPD, pela Resolução CD/ANPD nº 2/2022, flexibilizou algumas exigências para agentes de tratamento de pequeno porte. Ainda assim, toda empresa que trata dados pessoais deve indicar um canal de contato para os titulares, mesmo que não tenha um DPO formal dedicado.

Como devo registrar os custos de adequação à LGPD na contabilidade da minha empresa?

Custos recorrentes de conformidade, como consultorias e treinamentos, são despesas operacionais do período. Investimentos em sistemas de gestão de dados ou plataformas de consentimento podem ser capitalizados como ativos intangíveis ou investimentos em TI, conforme a NBC TG 04 e o CPC 04, dependendo dos critérios de reconhecimento aplicáveis.

O que fazer se meu e-commerce sofrer um vazamento de dados de clientes?

O artigo 48 da LGPD exige que o controlador comunique à ANPD e aos titulares afetados qualquer incidente que possa causar risco ou dano relevante. A notificação deve ocorrer em prazo razoável (a ANPD orienta até 72 horas para comunicação inicial) e deve descrever a natureza dos dados, os titulares afetados e as medidas adotadas para mitigar os danos.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.