Voltar ao site SAFIE →
LGPD e privacidade no e-commerce

LGPD no E-commerce: Obrigações e Riscos

Por · · 4 min de leitura
LGPD no E-commerce: Obrigações e Riscos

Em maio de 2026, uma decisão do Tribunal de Contas da União (TCU) sobre o programa de crédito consignado do INSS voltou a colocar em pauta um tema que vai além das finanças públicas: o tratamento de dados pessoais sensíveis de cidadãos por plataformas digitais. O ministro Marcos Bemquerer autorizou a retomada de novos contratos enquanto o recurso do governo federal ainda tramita, mas o caso expôs a fragilidade dos controles de acesso a dados de beneficiários, segundo o G1 Economia (08/05/2026).

Para o e-commerce, a lição é direta: qualquer operação que envolva dados pessoais, sejam eles financeiros, cadastrais ou comportamentais, está sujeita à Lei Geral de Proteção de Dados (Lei n. 13.709/2018), a LGPD. A lei vigora plenamente desde setembro de 2020 e as sanções administrativas estão em vigor desde agosto de 2021.

Este artigo explica o que a LGPD exige de lojas virtuais, quais são os riscos reais de descumprimento e quais medidas práticas reduzem a exposição jurídica e contábil do negócio.

Contexto jurídico e regulatório

O que a LGPD exige do e-commerce

A LGPD define dado pessoal como qualquer informação que identifique ou possa identificar uma pessoa natural. No e-commerce, isso inclui nome, CPF, endereço de entrega, e-mail, histórico de compras, cookies de navegação e dados de cartão de crédito.

O tratamento desses dados só é lícito quando amparado por uma das dez bases legais previstas no artigo 7º da lei. As mais usadas no varejo digital são o consentimento do titular, a execução de contrato (para processar um pedido, por exemplo) e o legítimo interesse do controlador, desde que não sobreponha os direitos do titular.

Papel do encarregado e da Autoridade Nacional

A lei exige a indicação de um Encarregado pelo Tratamento de Dados (DPO, na sigla em inglês), responsável por receber demandas de titulares e comunicar-se com a Autoridade Nacional de Proteção de Dados (ANPD). Para pequenas empresas, a ANPD editou a Resolução CD/ANPD n. 2/2022, que simplifica algumas obrigações, mas não as elimina.

A ANPD já abriu processos administrativos e aplicou advertências a empresas de diferentes portes. O órgão pode impor multa simples de até 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração, conforme o artigo 52 da LGPD. Além da multa, a autoridade pode determinar bloqueio ou eliminação dos dados tratados irregularmente, o que pode paralisar operações inteiras.

Impacto prático

Do ponto de vista contábil, as sanções da LGPD devem ser provisionadas como passivos contingentes quando a probabilidade de perda é possível ou provável, seguindo o CPC 25 (Provisões, Passivos Contingentes e Ativos Contingentes). Empresas auditadas precisam evidenciar esses riscos nas notas explicativas, e investidores ou compradores em processos de M&A analisam o nível de conformidade com a lei como critério de valuation.

Na prática operacional, o e-commerce precisa revisar ao menos seis pontos: a política de privacidade publicada no site (deve ser clara e acessível antes da coleta de qualquer dado); o registro das atividades de tratamento (o 'mapa de dados'); os contratos com fornecedores que acessam dados de clientes, como plataformas de pagamento, ERPs e ferramentas de marketing; o mecanismo de coleta e gestão de consentimento para cookies e comunicações comerciais; o procedimento de resposta a solicitações de titulares (acesso, correção, exclusão), que deve ser atendido em até 15 dias; e o plano de resposta a incidentes de segurança, obrigatório pelo artigo 48 da LGPD.

O caso do INSS analisado pelo TCU ilustra o que acontece quando dados sensíveis circulam sem controle adequado: além do dano ao cidadão, gera crise institucional, paralisação de contratos e investigação de responsáveis. No e-commerce, um vazamento de dados de clientes pode resultar em ação coletiva, notificação da ANPD e perda de reputação com reflexo direto na taxa de conversão e no custo de aquisição de clientes.

Considerações finais

A conformidade com a LGPD não é um projeto pontual: é um processo contínuo de governança de dados. Lojas virtuais que tratam adequação à lei como custo tendem a subestimar o risco; as que tratam como investimento constroem vantagem competitiva, pois consumidores consultam políticas de privacidade antes de finalizar compras, especialmente em categorias sensíveis como saúde, finanças e produtos infantis.

O momento de estruturar a conformidade é antes do incidente, não depois. Revisar bases legais, nomear ou contratar um DPO, atualizar contratos com fornecedores e testar o plano de resposta a incidentes são ações que cabem no planejamento trimestral de qualquer operação digital responsável.

Perguntas frequentes

Pequenas lojas virtuais também precisam cumprir a LGPD?

Sim. A LGPD se aplica a qualquer empresa que trate dados de pessoas naturais no Brasil, independentemente do porte. A Resolução CD/ANPD n. 2/2022 simplifica algumas obrigações para agentes de pequeno porte, mas não dispensa a lei. Isso inclui MEIs e microempresas que vendem online.

Qual é a multa máxima que o e-commerce pode receber por descumprir a LGPD?

A multa simples pode chegar a 2% do faturamento bruto do grupo econômico no Brasil no último exercício fiscal, com limite de R$ 50 milhões por infração, conforme o artigo 52 da Lei n. 13.709/2018. A ANPD pode aplicar sanções cumulativas em caso de infrações distintas.

O e-commerce precisa de um DPO (Encarregado de Dados)?

A lei exige a indicação de um encarregado. Para pequenas empresas, esse papel pode ser exercido por um colaborador interno com capacitação adequada ou por um profissional externo contratado. O nome e o contato do encarregado devem ser publicados no site da empresa.

O que fazer quando um cliente pede para excluir seus dados?

O titular tem direito à eliminação dos dados tratados com base em consentimento, conforme o artigo 18 da LGPD. O e-commerce deve atender a solicitação em prazo razoável (a ANPD referencia 15 dias) e pode manter apenas os dados exigidos por obrigação legal, como registros fiscais pelo prazo prescricional tributário.

Usar ferramentas de terceiros, como Google Analytics ou plataformas de e-mail marketing, gera responsabilidade pela LGPD?

Sim. O e-commerce é o controlador dos dados de seus clientes e responde pelo tratamento realizado por operadores terceiros. É obrigatório incluir cláusulas de proteção de dados nos contratos com fornecedores e verificar se essas ferramentas oferecem garantias compatíveis com a LGPD.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.