LGPD e privacidade no e-commerce: o que muda

Por SAFIE · 22 de junho de 2026 · 4 min de leitura

A proteção de dados regulatórios está deixando de ser tema restrito a setores altamente regulados, como o financeiro e o farmacêutico, e passando a integrar debates em áreas antes distantes desse universo. Uma análise publicada pelo JOTA sobre o papel da proteção de dados regulatórios (PDR) na agricultura brasileira evidencia esse movimento: a governança de dados começa a ser tratada como ativo estratégico em praticamente todos os segmentos econômicos.

No e-commerce, essa realidade é ainda mais evidente. Lojas virtuais coletam CPF, endereço, histórico de compras, dados de navegação e informações de pagamento de milhões de consumidores todos os dias. Cada um desses dados é protegido pela Lei Geral de Proteção de Dados (Lei n. 13.709/2018), a LGPD, e exige tratamento adequado sob pena de sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Este artigo explica, de forma objetiva, quais são as obrigações que sua loja virtual precisa cumprir, quais os riscos financeiros do descumprimento e como estruturar uma rotina de conformidade que proteja o negócio sem paralisar a operação.

Contexto jurídico e regulatório

O que a LGPD exige do e-commerce

A LGPD estabelece dez bases legais que autorizam o tratamento de dados pessoais. No e-commerce, as mais utilizadas são o consentimento (art. 7º, I), a execução de contrato (art. 7º, V) e o legítimo interesse (art. 7º, IX). Cada operação de coleta precisa estar ancorada em pelo menos uma dessas bases, devidamente documentada.

A lei impõe ainda o princípio da minimização: só devem ser coletados os dados estritamente necessários para a finalidade declarada. Solicitar informações além do necessário, como renda mensal em um cadastro simples de cliente, já configura violação ao princípio da necessidade previsto no art. 6º, III da LGPD.

Papel da ANPD e sanções aplicáveis

A ANPD publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD n. 4/2023), que detalha como as multas são calculadas. A penalidade máxima é de 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração. Infrações continuadas podem gerar autuações múltiplas.

Além da multa, a ANPD pode aplicar advertência com prazo para correção, bloqueio ou eliminação dos dados envolvidos na infração e suspensão parcial do funcionamento do banco de dados. Para um e-commerce de médio porte, o bloqueio do banco de dados equivale, na prática, à interrupção total das operações.

Obrigações documentais e o DPO

Empresas que realizam tratamento de dados em larga escala, o que inclui praticamente todo e-commerce com volume relevante de transações, devem nomear um Encarregado pelo Tratamento de Dados Pessoais (DPO, na sigla em inglês). O DPO pode ser interno ou externo, pessoa física ou jurídica, mas sua identidade e dados de contato precisam ser publicamente informados, normalmente na política de privacidade do site.

O Registro das Operações de Tratamento (ROT), equivalente ao "mapeamento de dados", também é exigido. Esse documento lista todas as atividades de tratamento realizadas, as bases legais utilizadas, os dados coletados, os fornecedores que acessam esses dados e os prazos de retenção. Sem o ROT atualizado, a empresa não consegue responder adequadamente a uma fiscalização da ANPD nem a uma solicitação de titular de dados.

Impacto prático

Na prática, a adequação à LGPD envolve três frentes simultâneas: jurídica, tecnológica e contábil. Do ponto de vista jurídico, é necessário revisar contratos com fornecedores de tecnologia (plataformas de e-commerce, gateways de pagamento, ferramentas de CRM e marketplaces), inserindo cláusulas de proteção de dados e definindo quem é controlador e quem é operador em cada relação.

Na frente tecnológica, o e-commerce precisa implementar mecanismos de consentimento granular nos formulários de cadastro e cookies, garantir que o titular possa exercer seus direitos (acesso, correção, exclusão e portabilidade) em até 15 dias, conforme prazo orientativo da ANPD, e registrar logs das operações de tratamento. Plataformas como VTEX, Shopify e WooCommerce oferecem módulos nativos para parte dessas funções, mas a configuração correta depende de análise jurídica prévia.

Na frente contábil, os custos de adequação à LGPD devem ser classificados corretamente. Gastos com consultoria jurídica, ferramentas de gestão de consentimento e treinamento de equipe são despesas operacionais dedutíveis para fins de IRPJ e CSLL, desde que devidamente documentados com nota fiscal e vinculados à atividade da empresa. Eventuais multas da ANPD, por outro lado, não são dedutíveis, conforme o art. 41, II da Lei n. 8.981/1995, o que reforça o incentivo econômico para a conformidade preventiva.

Considerações finais

A proteção de dados deixou de ser uma formalidade burocrática e passou a integrar o modelo de gestão de riscos de qualquer negócio digital. Para o e-commerce brasileiro, isso significa tratar a LGPD com a mesma seriedade dispensada às obrigações tributárias: com processos documentados, responsáveis definidos e revisão periódica. A ANPD tem intensificado suas atividades fiscalizatórias em 2025 e 2026, e o histórico de adequação da empresa é considerado atenuante no cálculo das sanções.

Investir em conformidade agora é menos custoso do que remediar uma infração. Uma multa de R$ 50 milhões, somada ao impacto reputacional de uma violação de dados amplamente noticiada, pode comprometer anos de construção de marca. A SAFIE E-commerce acompanha a evolução regulatória nessa área e recomenda que empresas de qualquer porte realizem ao menos um diagnóstico de adequação anual, preferencialmente com apoio jurídico especializado.

Perguntas frequentes

A LGPD se aplica a pequenas lojas virtuais e MEIs?

Sim. A LGPD não faz distinção por porte empresarial. Qualquer empresa que colete dados pessoais de clientes brasileiros, independentemente do tamanho, está sujeita à lei. A ANPD prevê, no entanto, tratamento diferenciado para microempresas e empresas de pequeno porte na aplicação de algumas obrigações formais, como o ROT simplificado, conforme a Resolução CD/ANPD n. 2/2022.

O e-commerce é obrigado a ter política de privacidade?

Sim. A política de privacidade é exigida pelo art. 9º da LGPD, que obriga o controlador a informar ao titular, de forma clara e acessível, quais dados são coletados, para qual finalidade, com quem são compartilhados e por quanto tempo são retidos. A ausência ou a omissão de informações relevantes nesse documento pode ser enquadrada como infração.

O que acontece se um cliente pedir a exclusão dos seus dados?

O titular tem o direito à eliminação dos dados tratados com base no consentimento, conforme o art. 18, VI da LGPD. O e-commerce deve atender à solicitação dentro do prazo orientativo de 15 dias estabelecido pela ANPD. Há exceções: dados necessários ao cumprimento de obrigação legal (como os exigidos pela legislação fiscal por 5 anos) podem ser mantidos mesmo após o pedido de exclusão.

Como tratar os dados de clientes compartilhados com marketplaces?

Quando um e-commerce opera em marketplaces como Mercado Livre, Amazon ou Shopee, é preciso definir contratualmente as responsabilidades de cada parte pelo tratamento dos dados dos compradores. Em geral, o marketplace atua como controlador independente, mas o lojista também pode ser considerado controlador dos dados que acessa e utiliza para processar pedidos. Essa relação deve estar mapeada no ROT.

Multa da ANPD pode ser deduzida no imposto de renda da empresa?

Não. Multas de caráter punitivo, incluindo as aplicadas pela ANPD, são indedutíveis para fins de apuração do IRPJ e da CSLL, com base no art. 41, II da Lei n. 8.981/1995. Apenas multas de natureza compensatória, como as de mora contratual, admitem dedutibilidade. Esse é mais um motivo financeiro concreto para investir na conformidade antes de ser autuado.