Voltar ao site SAFIE →
LGPD e privacidade no e-commerce

LGPD no E-commerce: O Que Sua Loja Precisa Saber

Por · · 3 min de leitura
LGPD no E-commerce: O Que Sua Loja Precisa Saber

Uma análise publicada pelo JOTA sobre organizações sociais e a racionalidade do modelo federal trouxe à tona uma questão relevante para além do setor público: a importância de não descaracterizar estruturas normativas consolidadas ao adaptá-las a contextos distintos. Essa lógica se aplica diretamente ao e-commerce quando o tema é a Lei Geral de Proteção de Dados (Lei n.º 13.709/2018), a LGPD.

Assim como o modelo federal das OS não pode ser flexibilizado arbitrariamente por entes subnacionais, o arcabouço da LGPD não comporta interpretações convenientes que esvaziem suas exigências. Lojas virtuais que operam no Brasil, independentemente do porte, estão sujeitas às mesmas regras de coleta, tratamento e armazenamento de dados pessoais.

Este artigo apresenta os principais pontos de atenção jurídica e operacional para quem vende online e ainda não estruturou sua conformidade com a LGPD.

Contexto jurídico e regulatório

O que a LGPD exige do e-commerce

A LGPD define dado pessoal como qualquer informação que identifique ou possa identificar uma pessoa natural. No e-commerce, isso inclui nome, CPF, endereço de entrega, e-mail, número de cartão de crédito, histórico de compras e até o endereço IP do dispositivo utilizado.

O artigo 7º da lei lista as bases legais que autorizam o tratamento de dados. Para o comércio eletrônico, as mais utilizadas são o consentimento do titular, a execução de contrato e o legítimo interesse do controlador. Cada operação de tratamento precisa estar ancorada em uma dessas bases, documentada e justificável perante a Autoridade Nacional de Proteção de Dados (ANPD).

Obrigações específicas para lojas virtuais

O e-commerce precisa, no mínimo: apresentar política de privacidade clara e acessível; obter consentimento específico para finalidades distintas (como marketing por e-mail separado do cadastro de compra); nomear um Encarregado de Dados (DPO), especialmente quando o volume de tratamento for significativo; e garantir que fornecedores e plataformas terceiras também estejam em conformidade.

O artigo 46 da LGPD exige que controladores e operadores adotem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados. Isso abrange desde a criptografia de dados em trânsito até políticas internas de acesso restrito por função.

A ANPD publicou, em 2023, o Regulamento de Doses Sancionatório (Resolução CD/ANPD n.º 4/2023), que detalha como as multas serão calculadas. O percentual de 2% incide sobre o faturamento do grupo econômico no Brasil, excluídos os tributos, no último exercício anterior à instauração do processo administrativo.

Impacto prático

Para o e-commerce de médio porte, o custo de não conformidade supera o custo de adequação. Uma multa de 2% sobre um faturamento anual de R$ 5 milhões representa R$ 100 mil por infração. Somar isso a danos reputacionais em redes sociais pode inviabilizar uma operação inteira.

Na prática, a adequação envolve três frentes simultâneas. A primeira é jurídica: revisão de contratos com plataformas de pagamento, logística e marketing digital para incluir cláusulas de responsabilidade por dados. A segunda é tecnológica: auditoria de ferramentas de analytics, pixels de rastreamento e cookies de terceiros. A terceira é contábil: provisionar o custo de conformidade como investimento recorrente, não como despesa extraordinária.

Empresas que operam em marketplaces também precisam atenção: o marketplace pode ser operador dos dados, mas a loja vendedora permanece corresponsável pelo tratamento em relação ao seu cliente. Essa cadeia de responsabilidade está expressa no artigo 42 da LGPD e não admite transferência total de obrigações por contrato.

Considerações finais

A LGPD completou seis anos de vigência e a ANPD vem ampliando sua capacidade fiscalizatória. O e-commerce brasileiro não pode mais tratar conformidade com dados pessoais como tarefa futura. Revisar políticas, treinar equipes, mapear o fluxo de dados e documentar bases legais são ações que precisam ser concluídas, não iniciadas.

O paralelo trazido pela análise do JOTA sobre organizações sociais é pertinente: estruturas normativas foram desenhadas com racionalidade específica e perdem eficácia quando fragmentadas por conveniência. A LGPD foi construída para proteger o titular de dados com consistência, e o e-commerce que entende essa lógica transforma conformidade em vantagem competitiva.

Perguntas frequentes

Minha loja virtual pequena também precisa seguir a LGPD?

Sim. A LGPD se aplica a qualquer operação de tratamento de dados realizada no Brasil, independentemente do porte da empresa. Microempresas e MEIs que coletam dados de clientes, mesmo que apenas nome e e-mail, estão sujeitas às obrigações da lei.

O que acontece se minha loja sofrer um vazamento de dados de clientes?

O artigo 48 da LGPD obriga o controlador a comunicar a ANPD e os titulares afetados em prazo razoável, que a ANPD regulamentou como 3 dias úteis para comunicação inicial. Além da multa administrativa, a loja pode responder civilmente por danos causados aos clientes.

Posso usar os dados do cliente que comprou na minha loja para enviar e-mail marketing?

Não automaticamente. A base legal para a compra (execução de contrato) não autoriza o uso dos dados para marketing. É necessário obter consentimento específico e destacado para essa finalidade, ou demonstrar legítimo interesse com avaliação documentada.

Quem é o DPO e minha loja precisa ter um?

O DPO (Data Protection Officer), chamado pela LGPD de Encarregado, é o responsável por receber demandas de titulares e se comunicar com a ANPD. A nomeação é obrigatória para controladores. Para pequenas operações, a ANPD admite que o próprio empresário exerça essa função, desde que identificado publicamente.

Plataformas de e-commerce como VTEX ou Shopify me deixam automaticamente em conformidade com a LGPD?

Não. A plataforma pode ser operadora dos dados, mas a loja permanece controladora e responsável pelas finalidades do tratamento. É preciso revisar os contratos com a plataforma, configurar corretamente cookies e rastreadores, e manter política de privacidade própria atualizada.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.