Voltar ao site SAFIE →
LGPD e privacidade no e-commerce

LGPD no E-commerce: o que muda com a ANPD

Por · · 4 min de leitura
LGPD no E-commerce: o que muda com a ANPD

Uma análise publicada pelo JOTA sobre competências regulatórias infralegais traz à tona um debate relevante para o setor digital: até onde pode chegar o poder normativo da ANPD sem que haja nova lei aprovada pelo Congresso? A resposta a essa pergunta tem efeito direto sobre quem vende pela internet, porque são as resoluções, guias e regulamentos da ANPD que definem, na prática, como a LGPD deve ser aplicada.

No e-commerce, cada etapa da jornada do cliente envolve coleta de dados: cadastro, pagamento, entrega, atendimento pós-venda e remarketing. Isso significa que praticamente toda operação de uma loja virtual está sujeita ao escrutínio da ANPD, mesmo quando a empresa é de pequeno porte.

Este artigo explica o que são as competências regulatórias infralegais da ANPD, por que elas importam para o comércio eletrônico e quais medidas práticas reduzem o risco de autuação.

Contexto jurídico e regulatório

O que são competências regulatórias infralegais?

Normas infralegais são aquelas editadas por órgãos da administração pública sem necessidade de aprovação do Legislativo. Resoluções, portarias, guias orientativos e regulamentos internos da ANPD se enquadram nessa categoria.

A LGPD (Lei 13.709/2018) atribuiu à ANPD a função de 'elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais' (art. 55-J, I). Com base nessa delegação legal, a autoridade editou normas como o Regulamento de Fiscalização (Resolução CD/ANPD nº 1/2021), o Regulamento de Comunicação de Incidentes (Resolução CD/ANPD nº 4/2023) e guias setoriais que detalham obrigações específicas.

O debate jurídico levantado pelo JOTA é preciso: há limites para esse poder normativo. A ANPD não pode criar obrigações que extrapolem o texto da LGPD nem restringir direitos sem amparo legal explícito. Porém, dentro desse espaço, a autoridade tem liberdade considerável para regulamentar prazos, formatos, procedimentos e critérios de avaliação de conformidade.

Por que isso afeta diretamente o e-commerce?

O comércio eletrônico é um dos setores com maior volume de dados pessoais tratados no Brasil. Segundo o relatório 'E-commerce Radar 2024' da ABComm, o setor movimentou R$ 185 bilhões em 2023, com mais de 395 milhões de pedidos, cada um deles associado a dados de identificação, localização e comportamento de compra.

Quando a ANPD edita um guia sobre cookies, uma resolução sobre bases legais para marketing direto ou um regulamento sobre transferência internacional de dados, essas normas impactam sistemas, contratos e processos de quem opera lojas virtuais. A empresa que não acompanha esse fluxo regulatório corre o risco de estar em desconformidade sem sequer saber.

A Resolução CD/ANPD nº 2/2022, por exemplo, simplificou requisitos para microempresas e startups, mas criou exigências próprias de registro de operações e nomeação de encarregado (DPO) que muitos pequenos lojistas ainda desconhecem.

Impacto prático

No plano operacional, o e-commerce precisa mapear todas as categorias de dados coletados e relacioná-las às bases legais previstas nos arts. 7º e 11 da LGPD. Consentimento, legítimo interesse e execução de contrato são as bases mais usadas no varejo digital, mas cada uma tem requisitos distintos de documentação e reversibilidade.

Do ponto de vista contábil, a adequação à LGPD gera custos que devem ser reconhecidos como despesas operacionais ou investimentos em intangíveis, dependendo da natureza do gasto. Contratos com plataformas de tecnologia, ferramentas de gestão de consentimento (CMPs) e honorários de consultoria jurídica especializada são exemplos de itens que precisam de registro adequado no plano de contas da empresa.

Em caso de incidente de segurança com vazamento de dados, a LGPD exige comunicação à ANPD e aos titulares afetados em prazo de até 3 dias úteis (conforme a Resolução CD/ANPD nº 4/2023). Descumprir esse prazo pode resultar em advertência ou multa, e o impacto reputacional pode ser ainda maior do que a sanção financeira.

Considerações finais

O avanço das competências regulatórias infralegais da ANPD não é um problema em si: é o funcionamento normal de uma autoridade regulatória madura. O problema é a empresa que trata a LGPD como evento único de adequação e não como processo contínuo de conformidade. Resoluções novas, guias setoriais e decisões de fiscalização da ANPD alteram o que é exigido, e o e-commerce precisa de rotinas internas para absorver essas mudanças.

A SAFIE recomenda que lojistas virtuais revisem políticas de privacidade pelo menos uma vez por ano, mantenham registro de operações de tratamento atualizado e contratualizem responsabilidades de proteção de dados com todos os fornecedores que acessam dados de clientes. Esses três passos, por si só, já reduzem de forma significativa o risco regulatório.

Perguntas frequentes

Pequenas lojas virtuais precisam cumprir a LGPD?

Sim. A LGPD se aplica a qualquer pessoa física ou jurídica que trate dados pessoais no Brasil, independentemente do porte. A Resolução CD/ANPD nº 2/2022 prevê requisitos simplificados para microempresas e startups, mas não as isenta das obrigações principais, como base legal para tratamento, política de privacidade e comunicação de incidentes.

O que é o DPO e o e-commerce é obrigado a ter um?

O DPO (Data Protection Officer), chamado pela LGPD de 'encarregado', é o responsável por intermediar a comunicação entre a empresa, os titulares de dados e a ANPD. Empresas de qualquer porte podem ser obrigadas a indicar um DPO, mas a ANPD permitiu que microempresas e startups usem canais simplificados de contato em substituição à nomeação formal, conforme a Resolução CD/ANPD nº 2/2022.

Qual é a multa máxima prevista na LGPD para e-commerce?

A LGPD prevê multa de até 2% do faturamento da empresa no Brasil no seu último exercício, limitada a R$ 50 milhões por infração (art. 52, II). Além da multa, a ANPD pode aplicar advertência, bloqueio ou eliminação dos dados e até proibição parcial ou total da atividade de tratamento.

Como tratar dados de clientes para fins de marketing sem violar a LGPD?

O uso de dados para marketing direto pode se apoiar em consentimento explícito do titular ou em legítimo interesse do controlador, desde que esse interesse não sobreponha os direitos do consumidor. Em ambos os casos, o cliente deve ser informado e ter o direito de cancelar o recebimento a qualquer momento. O uso de dados de terceiros comprados em listas, sem consentimento rastreável, representa risco elevado de autuação.

O que fazer quando há um vazamento de dados na loja virtual?

A empresa deve acionar seu plano de resposta a incidentes, conter o vazamento e notificar a ANPD e os titulares afetados em até 3 dias úteis, conforme a Resolução CD/ANPD nº 4/2023. A notificação deve descrever a natureza dos dados afetados, o número estimado de titulares e as medidas adotadas para mitigar o dano. Atrasar ou omitir essa comunicação agrava a infração.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.