LGPD e privacidade no e-commerce

LGPD e privacidade no e-commerce: o que exige a lei

Por · · 4 min de leitura
LGPD e privacidade no e-commerce: o que exige a lei

Em julho de 2026, o Ministério Público do Trabalho (MPT) abriu investigação sobre um reality show promovido pela influenciadora Viih Tube, que prometia R$ 20 mil a funcionários participantes. Segundo a reportagem do G1 Economia, publicada em 02/07/2026, a ação levantou dúvidas sobre os direitos dos trabalhadores envolvidos, incluindo a exposição de dados pessoais e imagem sem amparo contratual claro.

O episódio pode parecer distante da realidade de uma loja virtual, mas não é. E-commerces que realizam campanhas com colaboradores, gravam depoimentos, utilizam dados de funcionários em ações de marketing ou monitoram equipes por sistemas digitais estão sujeitos às mesmas obrigações impostas pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018, a LGPD).

A LGPD não distingue se o dado pertence a um cliente ou a um colaborador. Qualquer operação com dados pessoais, seja coleta, armazenamento, compartilhamento ou divulgação, exige base legal válida, finalidade legítima e, em muitos casos, consentimento explícito do titular.

Contexto jurídico e regulatório

O que a LGPD determina para o e-commerce

A LGPD estabelece dez bases legais para o tratamento de dados pessoais (art. 7º). No e-commerce, as mais utilizadas são: consentimento do titular, cumprimento de obrigação legal, execução de contrato e interesse legítimo do controlador. Cada escolha de base legal precisa ser documentada e justificada.

O consentimento, quando utilizado, deve ser livre, informado, inequívoco e específico para uma finalidade. Não é válido um checkbox pré-marcado, uma cláusula genérica em contrato de adesão ou um aviso de privacidade que mistura dezenas de finalidades sem distinção. A Autoridade Nacional de Proteção de Dados (ANPD) já orientou, em suas notas técnicas, que o consentimento obtido de forma viciada não tem validade jurídica.

Para dados de trabalhadores, o cenário é ainda mais sensível. O art. 11 da LGPD trata de dados sensíveis (saúde, biometria, orientação sexual, entre outros) com restrições adicionais. Mas mesmo dados comuns de colaboradores, como nome, CPF, localização e imagem, exigem tratamento cuidadoso, especialmente quando usados em campanhas públicas, como ocorreu no caso investigado pelo MPT.

Direitos dos titulares que o e-commerce precisa respeitar

O art. 18 da LGPD lista os direitos dos titulares: confirmação de tratamento, acesso aos dados, correção, portabilidade, exclusão, revogação do consentimento e oposição ao tratamento. Lojas virtuais precisam ter canais funcionais para atender essas solicitações em prazo razoável, que a ANPD orienta ser de até 15 dias para resposta inicial.

A ausência desses canais ou a demora no atendimento configura infração administrativa. As multas previstas chegam a R$ 50 milhões por infração ou 2% do faturamento do grupo econômico no Brasil no último exercício, o que for menor (art. 52 da LGPD).

Impacto prático

Para uma operação de e-commerce, a conformidade com a LGPD começa antes de qualquer venda. O mapeamento de dados (também chamado de data mapping) identifica quais informações são coletadas, por qual razão, onde ficam armazenadas e com quem são compartilhadas. Sem esse mapeamento, é impossível saber se há base legal para cada operação de tratamento.

Plataformas de e-commerce integradas a marketplaces, ferramentas de CRM, sistemas de pagamento e plataformas de anúncios (como Meta Ads e Google Ads) compartilham dados de clientes com terceiros. Cada um desses compartilhamentos exige cláusula contratual específica com o operador, conforme o art. 39 da LGPD, que obriga o controlador a verificar se o operador oferece garantias suficientes de segurança.

No caso de campanhas com colaboradores, o que o episódio do MPT evidenciou é aplicável diretamente ao e-commerce: gravar, publicar ou compartilhar imagem, voz ou depoimentos de funcionários exige autorização por escrito, com finalidade específica e prazo definido. Essa autorização não pode ser condição para a manutenção do emprego, sob pena de vício no consentimento.

Considerações finais

A LGPD não é uma formalidade burocrática. É um conjunto de obrigações com impacto direto na operação, na reputação e nas finanças de qualquer e-commerce. O caso investigado pelo MPT serve como alerta: o uso inadequado de dados de pessoas, sejam clientes ou colaboradores, pode gerar autuações administrativas, ações civis e danos irreparáveis à imagem da marca.

Adequar-se à LGPD exige revisão de contratos, política de privacidade funcional, treinamento de equipe e um Encarregado de Dados (DPO) indicado formalmente. A SAFIE recomenda que esse processo seja conduzido com apoio jurídico especializado, antes que uma notificação da ANPD ou uma ação do MPT force a correção sob pressão.

Perguntas frequentes

O e-commerce pequeno também precisa seguir a LGPD?

Sim. A LGPD se aplica a qualquer pessoa física ou jurídica que trate dados pessoais no Brasil, independentemente do porte. Microempresas e MEIs que coletam dados de clientes, como nome, CPF e endereço de entrega, estão sujeitos às mesmas obrigações, embora a ANPD possa aplicar critérios proporcionais nas penalidades.

O que é consentimento válido para a LGPD no e-commerce?

É aquele que é livre (sem coerção), informado (com descrição clara da finalidade), inequívoco (ação positiva do usuário, como marcar um checkbox vazio) e específico (não pode abranger finalidades genéricas). Um checkbox pré-marcado ou uma cláusula genérica em contrato de adesão não constituem consentimento válido.

Qual a multa por descumprimento da LGPD?

As sanções administrativas previstas no art. 52 da LGPD incluem advertência, multa de até R$ 50 milhões por infração ou 2% do faturamento anual do grupo econômico no Brasil (o que for menor), bloqueio ou eliminação dos dados e divulgação pública da infração. A ANPD já aplicou sanções a empresas de diferentes setores.

O e-commerce pode usar dados de clientes para enviar e-mail marketing?

Pode, desde que haja base legal válida. Se o cliente consentiu com o recebimento no ato do cadastro, o envio é permitido. Se o e-mail é usado para marketing de produtos semelhantes aos que o cliente já comprou, pode-se argumentar interesse legítimo, mas é necessário oferecer opt-out fácil e documentar a justificativa.

Usar imagem de funcionário em campanha da loja precisa de autorização?

Sim. O uso de imagem, voz ou depoimento de colaborador em campanha publicitária exige autorização escrita, com finalidade e prazo definidos. Essa autorização não pode ser condicionada à manutenção do emprego. O caso investigado pelo MPT em julho de 2026 ilustra exatamente esse risco quando a autorização não é formalizada corretamente.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.