LGPD e privacidade no e-commerce

LGPD e privacidade no e-commerce: brinquedos com IA

Por · · 4 min de leitura
LGPD e privacidade no e-commerce: brinquedos com IA

Em julho de 2026, o Ministério da Justiça iniciou investigação sobre os chamados smart toys, brinquedos equipados com inteligência artificial capazes de coletar voz, comportamento e dados pessoais de crianças. Segundo a Folha Mercado, a suspeita é de que esses produtos descumprem as normas da Autoridade Nacional de Proteção de Dados (ANPD), que intensificou a fiscalização do setor ao longo de 2026.

Para o e-commerce brasileiro, o episódio não é um alerta distante. Plataformas que vendem, importam ou distribuem produtos conectados são parte da cadeia de tratamento de dados, e a legislação vigente trata essa posição com rigor crescente. Ignorar a origem e o funcionamento dos dispositivos que se comercializa é um risco jurídico e financeiro real.

Este artigo analisa o enquadramento legal do caso, as obrigações específicas que recaem sobre lojas virtuais e os cuidados práticos que todo operador de e-commerce deve adotar ao lidar com produtos que coletam dados de usuários, especialmente crianças.

Contexto jurídico e regulatório

O que a LGPD determina sobre dados de crianças

A Lei 13.709/2018 (LGPD) dedica o artigo 14 ao tratamento de dados pessoais de crianças e adolescentes. A regra central é clara: o tratamento deve ser realizado no melhor interesse da criança e exige consentimento específico e destacado de pelo menos um dos pais ou responsável legal.

O artigo 14, parágrafo 1º, proíbe que controladores condicionem a participação em jogos, aplicações ou serviços ao fornecimento de informações pessoais além do estritamente necessário. Brinquedos que coletam áudio contínuo ou mapeiam comportamentos dificilmente se enquadram nesse critério sem uma base legal robusta e transparência plena ao responsável.

Responsabilidade de quem vende, não apenas de quem fabrica

A LGPD distingue controlador (quem decide sobre o tratamento) de operador (quem realiza o tratamento em nome do controlador). No entanto, o Código de Defesa do Consumidor (Lei 8.078/1990) impõe responsabilidade solidária a toda a cadeia de fornecimento por danos causados ao consumidor, o que inclui violações de privacidade decorrentes de defeito do produto.

Assim, uma loja virtual que revende um smart toy que coleta dados sem consentimento adequado pode ser responsabilizada perante o consumidor, ainda que não tenha fabricado o dispositivo. O STJ já pacificou que o comerciante integra a cadeia e responde objetivamente quando não há como identificar o fabricante ou quando este está no exterior sem representação legal no Brasil.

ANPD e as sanções previstas

A ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração, conforme o artigo 52 da LGPD. Além da multa, estão previstas advertência, bloqueio e eliminação dos dados tratados de forma irregular, suspensão parcial do banco de dados e proibição de atividades relacionadas ao tratamento.

Em casos envolvendo dados de crianças, a autoridade tende a aplicar as sanções em seu patamar mais elevado, por se tratar de hipervulnerável reconhecida pela legislação. A investigação de 2026 indica que a ANPD passou da fase normativa para a fase punitiva efetiva, o que muda o cálculo de risco para qualquer operador do setor.

Impacto prático

Para lojas virtuais, o primeiro impacto é na due diligence de fornecedores. Antes de incluir um produto conectado no catálogo, é necessário verificar a política de privacidade do fabricante, os dados coletados pelo dispositivo, a forma de armazenamento e os países envolvidos no fluxo de dados. Essa verificação deve ser documentada e atualizada periodicamente.

O segundo impacto é na comunicação com o consumidor. A loja tem obrigação de informar, na página do produto e no processo de checkout, que o item coleta dados pessoais. A omissão dessa informação configura prática abusiva tanto pela LGPD quanto pelo CDC. A política de privacidade genérica do site não substitui a informação contextual no ponto de venda.

Do ponto de vista contábil, as empresas precisam provisionar passivos contingentes relacionados a litígios de privacidade. O Pronunciamento Técnico CPC 25 (Provisões, Passivos Contingentes e Ativos Contingentes) exige o reconhecimento de provisão quando a obrigação é provável e mensurável. Com a ANPD em fase ativa de fiscalização, advogados e contadores devem reavaliar se os riscos de privacidade estão corretamente classificados nos balanços de 2026.

Considerações finais

O caso dos smart toys investigados pelo Ministério da Justiça em 2026 é um marco prático: ele demonstra que a LGPD deixou de ser uma lei de conformidade teórica e passou a gerar investigações, autuações e exposição pública para empresas que operam no Brasil. O e-commerce, por ser o principal canal de distribuição desses produtos, está no centro desse risco.

A resposta adequada não é evitar todos os produtos conectados, mas estruturar processos claros de verificação de fornecedores, informação ao consumidor e documentação de conformidade. Empresas que investem agora em governança de dados reduzem multas, litígios e, principalmente, o risco de dano irreparável à reputação junto ao consumidor brasileiro.

Perguntas frequentes

O e-commerce que vende brinquedos com IA pode ser multado pela ANPD?

Sim. Se a loja virtual integra a cadeia de fornecimento de um produto que coleta dados pessoais sem base legal adequada, ela pode ser enquadrada como operadora ou cocontroladora e responder às sanções do artigo 52 da LGPD, que chegam a R$ 50 milhões por infração.

Qual é a base legal para coletar dados de crianças em produtos conectados?

O artigo 14 da LGPD exige consentimento específico e destacado de pelo menos um dos pais ou responsável legal. Não é suficiente um aceite genérico nos termos de uso. O tratamento deve ser limitado ao mínimo necessário e sempre no melhor interesse da criança.

A loja precisa informar ao consumidor que o produto coleta dados?

Sim. A omissão dessa informação no ponto de venda configura prática abusiva pela LGPD e pelo Código de Defesa do Consumidor. A política de privacidade geral do site não substitui a informação contextual na página do produto e no checkout.

Como a empresa deve tratar contabilmente o risco de multas da ANPD?

Pelo CPC 25, quando a obrigação de pagar é provável e o valor pode ser estimado com razoabilidade, a empresa deve reconhecer uma provisão no passivo. Com a ANPD em fase ativa de fiscalização, o risco deve ser reclassificado de contingência remota para possível ou provável, dependendo da exposição concreta da empresa.

O que é due diligence de privacidade para produtos conectados?

É o processo de verificar, antes de incluir um produto no catálogo, quais dados ele coleta, como são armazenados, para quais países são transferidos e se o fabricante possui política de privacidade compatível com a LGPD. Essa verificação deve ser documentada e revisada periodicamente.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.