Em julho de 2026, o Ministério da Justiça iniciou investigação sobre os chamados smart toys, brinquedos equipados com inteligência artificial capazes de coletar voz, comportamento e dados pessoais de crianças. Segundo a Folha Mercado, a suspeita é de que esses produtos descumprem as normas da Autoridade Nacional de Proteção de Dados (ANPD), que intensificou a fiscalização do setor ao longo de 2026.
Para o e-commerce brasileiro, o episódio não é um alerta distante. Plataformas que vendem, importam ou distribuem produtos conectados são parte da cadeia de tratamento de dados, e a legislação vigente trata essa posição com rigor crescente. Ignorar a origem e o funcionamento dos dispositivos que se comercializa é um risco jurídico e financeiro real.
Este artigo analisa o enquadramento legal do caso, as obrigações específicas que recaem sobre lojas virtuais e os cuidados práticos que todo operador de e-commerce deve adotar ao lidar com produtos que coletam dados de usuários, especialmente crianças.
Contexto jurídico e regulatório
O que a LGPD determina sobre dados de crianças
A Lei 13.709/2018 (LGPD) dedica o artigo 14 ao tratamento de dados pessoais de crianças e adolescentes. A regra central é clara: o tratamento deve ser realizado no melhor interesse da criança e exige consentimento específico e destacado de pelo menos um dos pais ou responsável legal.
O artigo 14, parágrafo 1º, proíbe que controladores condicionem a participação em jogos, aplicações ou serviços ao fornecimento de informações pessoais além do estritamente necessário. Brinquedos que coletam áudio contínuo ou mapeiam comportamentos dificilmente se enquadram nesse critério sem uma base legal robusta e transparência plena ao responsável.
Responsabilidade de quem vende, não apenas de quem fabrica
A LGPD distingue controlador (quem decide sobre o tratamento) de operador (quem realiza o tratamento em nome do controlador). No entanto, o Código de Defesa do Consumidor (Lei 8.078/1990) impõe responsabilidade solidária a toda a cadeia de fornecimento por danos causados ao consumidor, o que inclui violações de privacidade decorrentes de defeito do produto.
Assim, uma loja virtual que revende um smart toy que coleta dados sem consentimento adequado pode ser responsabilizada perante o consumidor, ainda que não tenha fabricado o dispositivo. O STJ já pacificou que o comerciante integra a cadeia e responde objetivamente quando não há como identificar o fabricante ou quando este está no exterior sem representação legal no Brasil.
ANPD e as sanções previstas
A ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração, conforme o artigo 52 da LGPD. Além da multa, estão previstas advertência, bloqueio e eliminação dos dados tratados de forma irregular, suspensão parcial do banco de dados e proibição de atividades relacionadas ao tratamento.
Em casos envolvendo dados de crianças, a autoridade tende a aplicar as sanções em seu patamar mais elevado, por se tratar de hipervulnerável reconhecida pela legislação. A investigação de 2026 indica que a ANPD passou da fase normativa para a fase punitiva efetiva, o que muda o cálculo de risco para qualquer operador do setor.
Impacto prático
Para lojas virtuais, o primeiro impacto é na due diligence de fornecedores. Antes de incluir um produto conectado no catálogo, é necessário verificar a política de privacidade do fabricante, os dados coletados pelo dispositivo, a forma de armazenamento e os países envolvidos no fluxo de dados. Essa verificação deve ser documentada e atualizada periodicamente.
O segundo impacto é na comunicação com o consumidor. A loja tem obrigação de informar, na página do produto e no processo de checkout, que o item coleta dados pessoais. A omissão dessa informação configura prática abusiva tanto pela LGPD quanto pelo CDC. A política de privacidade genérica do site não substitui a informação contextual no ponto de venda.
Do ponto de vista contábil, as empresas precisam provisionar passivos contingentes relacionados a litígios de privacidade. O Pronunciamento Técnico CPC 25 (Provisões, Passivos Contingentes e Ativos Contingentes) exige o reconhecimento de provisão quando a obrigação é provável e mensurável. Com a ANPD em fase ativa de fiscalização, advogados e contadores devem reavaliar se os riscos de privacidade estão corretamente classificados nos balanços de 2026.
Considerações finais
O caso dos smart toys investigados pelo Ministério da Justiça em 2026 é um marco prático: ele demonstra que a LGPD deixou de ser uma lei de conformidade teórica e passou a gerar investigações, autuações e exposição pública para empresas que operam no Brasil. O e-commerce, por ser o principal canal de distribuição desses produtos, está no centro desse risco.
A resposta adequada não é evitar todos os produtos conectados, mas estruturar processos claros de verificação de fornecedores, informação ao consumidor e documentação de conformidade. Empresas que investem agora em governança de dados reduzem multas, litígios e, principalmente, o risco de dano irreparável à reputação junto ao consumidor brasileiro.