Voltar ao site SAFIE →
LGPD e privacidade no e-commerce

LGPD no E-commerce: o que o vazamento do INSS ensina

Por · · 4 min de leitura
LGPD no E-commerce: o que o vazamento do INSS ensina

Em maio de 2026, a Folha de S.Paulo noticiou que uma falha de segurança na plataforma digital do INSS (Instituto Nacional do Seguro Social) permitiu o vazamento de dados de milhares de segurados. O incidente foi formalmente comunicado à ANPD (Agência Nacional de Proteção de Dados), conforme exige a Lei nº 13.709/2018, a LGPD. O caso voltou a colocar em pauta a fragilidade de sistemas que armazenam informações pessoais sensíveis.

Para o e-commerce, o episódio serve como alerta direto. Uma loja virtual típica coleta nome, CPF, endereço, telefone, e-mail, dados de cartão de crédito e histórico de compras. Esse conjunto de informações é exatamente o tipo de dado que a LGPD protege e que atrai ataques cibernéticos. A questão não é se um incidente pode acontecer, mas o que a empresa fez para preveni-lo e como reagirá caso ocorra.

Este artigo analisa as obrigações legais impostas pela LGPD ao comércio digital, as consequências financeiras de um vazamento e as medidas práticas que reduzem o risco jurídico e contábil do negócio.

Contexto jurídico e regulatório

O que a LGPD exige do e-commerce

A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada no Brasil, independentemente do porte da empresa. Isso inclui microempreendedores individuais que operam lojas em marketplaces. O artigo 46 da lei determina que os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas.

No contexto do e-commerce, as principais obrigações são: obter consentimento claro para coleta de dados (artigo 7º), informar ao titular a finalidade do uso (princípio da finalidade, artigo 6º), manter um registro das operações de tratamento (artigo 37) e comunicar incidentes à ANPD e aos titulares afetados em prazo razoável (artigo 48). A ANPD regulamentou esse prazo por meio da Resolução CD/ANPD nº 2/2022, fixando até 72 horas para comunicação de incidentes graves.

O encarregado de dados (DPO, na sigla em inglês) é figura obrigatória para operações de maior volume, mas a ANPD flexibilizou a exigência formal para agentes de pequeno porte por meio da Resolução CD/ANPD nº 2/2022. Ainda assim, mesmo empresas desobrigadas do DPO formal precisam ter um ponto de contato identificado para responder a solicitações de titulares e a eventuais notificações do regulador.

A base legal mais utilizada no e-commerce é a execução de contrato (artigo 7º, V), que dispensa consentimento para dados necessários à entrega do pedido. Já o uso de dados para remarketing, análise de comportamento ou envio de ofertas exige consentimento específico ou outro fundamento legal claramente identificado na política de privacidade.

Impacto prático

As sanções previstas no artigo 52 da LGPD incluem advertência, multa simples de até 2% do faturamento da empresa no Brasil no último exercício (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação dos dados. Para uma loja com faturamento anual de R$ 1 milhão, a multa máxima por infração seria de R$ 20 mil. Para uma operação de R$ 10 milhões, chega a R$ 200 mil. Esses valores se acumulam por infração distinta identificada.

Além da sanção administrativa, o e-commerce exposto a um vazamento enfrenta ações civis de titulares prejudicados, com base no Código de Defesa do Consumidor e no próprio artigo 42 da LGPD, que prevê reparação de danos materiais e morais. Há também o impacto contábil indireto: custos com resposta ao incidente (forense digital, comunicação, assessoria jurídica), perda de conversão por queda de confiança e eventual desligamento de parceiros de pagamento sensíveis à reputação do vendedor.

Do ponto de vista contábil, empresas que passam por auditorias ou due diligence para captação de investimento precisam demonstrar conformidade com a LGPD como item de governança. A ausência de uma política de privacidade estruturada, de contratos com fornecedores que tratem dados (as chamadas cláusulas de controlador e operador do artigo 39) e de registros de tratamento pode inviabilizar rodadas de aporte ou parcerias estratégicas.

Considerações finais

O vazamento de dados do INSS não é um problema exclusivo do setor público. É um lembrete de que qualquer sistema que armazena dados pessoais é um alvo potencial. Para o e-commerce, a conformidade com a LGPD não é apenas uma obrigação legal: é um componente de gestão de risco que afeta diretamente o resultado financeiro e a continuidade do negócio.

O caminho prático começa com um mapeamento dos dados coletados (o chamado RoPA, registro de operações de tratamento), seguido da revisão de contratos com plataformas, gateways de pagamento e prestadores de logística. A política de privacidade precisa ser real, não apenas um texto padrão copiado. Empresas que tratam a proteção de dados como prioridade operacional reduzem sua exposição jurídica e constroem um diferencial competitivo tangível.

Perguntas frequentes

Minha loja virtual precisa ter política de privacidade?

Sim. A LGPD exige que o titular dos dados seja informado sobre a finalidade do tratamento, os dados coletados e os direitos que possui. A política de privacidade é o documento que formaliza essas informações e deve estar acessível no site antes de qualquer coleta de dado.

Em quanto tempo devo comunicar um vazamento de dados à ANPD?

A Resolução CD/ANPD nº 2/2022 estabelece que incidentes de segurança com risco ou dano relevante aos titulares devem ser comunicados à ANPD em até 72 horas após a ciência do ocorrido. O prazo começa a contar a partir do momento em que a empresa toma conhecimento do incidente.

Quais são as multas previstas na LGPD para e-commerce?

A multa simples pode chegar a 2% do faturamento bruto da empresa no Brasil no último exercício fiscal, limitada a R$ 50 milhões por infração. Cada violação distinta pode gerar uma multa separada, além de sanções como publicização do caso e bloqueio dos dados tratados ilegalmente.

Lojas em marketplaces também precisam seguir a LGPD?

Sim. A LGPD se aplica a qualquer agente que realize operações de tratamento de dados pessoais no Brasil, incluindo vendedores em marketplaces. O fato de a plataforma ter sua própria política de privacidade não isenta o lojista de suas responsabilidades sobre os dados que coleta e utiliza.

O que é o DPO e meu e-commerce é obrigado a ter um?

O DPO (Data Protection Officer), chamado de encarregado na LGPD, é o responsável por intermediar a comunicação entre a empresa, os titulares dos dados e a ANPD. A ANPD flexibilizou a obrigação formal para agentes de pequeno porte, mas mesmo sem o cargo formal, a empresa precisa ter um contato identificado para atender solicitações de titulares e notificações do regulador.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.