Voltar às publicações Análise · lgpd-compliance

LGPD e e-commerce: o que todo lojista virtual precisa saber em 2026

Lojas virtuais coletam dados pessoais em cada etapa da jornada do cliente. Saiba quais obrigações da LGPD se aplicam ao seu negócio e como implementá-las.



O comércio eletrônico opera sobre uma camada densa de dados pessoais, CPF, endereço, histórico de compras, comportamento de navegação, dados de pagamento. A LGPD não fez distinção entre o lojista físico e o virtual: ambos respondem como controladores, e o e-commerce, por sua natureza, concentra riscos que exigem atenção específica.

Papel Controlador de dados

O lojista decide como e por que os dados são coletados, responde pela conformidade.

Risco Multa até 2% do faturamento

Por infração, limitada a R$ 50 milhões, mais sanções como bloqueio de dados.

Exigência Base legal para cada coleta

Todo dado coletado precisa de fundamento legal, consentimento não é o único.

Obrigações do lojista virtual

O e-commerce que coleta dados de clientes é, nos termos da LGPD, um controlador. Isso significa que a loja é responsável por definir as finalidades do tratamento, garantir os direitos dos titulares, comunicar incidentes à ANPD e responder por eventual dano causado pelo tratamento irregular, inclusive quando o problema ocorre em serviço prestado por terceiro (operador) contratado pela loja.

As obrigações práticas incluem: elaboração de política de privacidade clara e acessível; coleta apenas dos dados necessários para a finalidade declarada (princípio da necessidade); obtenção de base legal válida para cada tipo de tratamento; mecanismo para atender pedidos de titulares (acesso, correção, exclusão); e procedimento de resposta a incidentes de segurança.

Quais dados o e-commerce trata

01

Dados cadastrais

Nome, CPF, endereço, telefone, e-mail, coletados no cadastro e necessários para execução do contrato de compra e venda.

02

Dados de pagamento

Dados de cartão são geralmente processados por operadores (gateways) sob padrão PCI-DSS, mas o lojista continua responsável por como contrata e monitora esses prestadores.

03

Dados de comportamento

Cookies, histórico de navegação, itens visualizados, tempo na página, tratados frequentemente para fins de marketing personalizado, exigindo base legal específica.

04

Dados de entrega

Endereço de entrega, instruções especiais, dados do destinatário quando diferente do comprador, compartilhados com transportadoras como operadores.

05

Dados sensíveis

Algumas lojas coletam indiretamente dado sensível (ex.: saúde em farmácias, religião em lojas especializadas), tratamento sujeito a regras mais rígidas.

O erro mais comum do lojista virtual é acreditar que tudo depende de consentimento. A LGPD prevê dez bases legais. Para o e-commerce, as mais relevantes são:

  1. Execução de contrato, dados necessários para processar o pedido, emitir nota fiscal e efetuar a entrega dispensam consentimento adicional.
  2. Obrigação legal, retenção de dados fiscais pelo prazo exigido pela legislação tributária.
  3. Legítimo interesse, pode ser usado para algumas atividades de marketing direto a clientes existentes, com avaliação prévia de impacto.
  4. Consentimento, necessário para cookies de rastreamento, marketing por e-mail a novos contatos e compartilhamento com terceiros para fins próprios destes.

Sanções e principais riscos práticos

A ANPD aplica sanções administrativas que vão de advertência a multa de até 2% do faturamento do grupo no Brasil no último exercício, limitada a R$ 50 milhões por infração. Além da esfera administrativa, o lojista pode responder civilmente por danos causados ao titular, com inversão do ônus da prova em muitos casos.

No e-commerce, os riscos mais frequentes são: ausência de política de privacidade; coleta de dados sem base legal identificada; cookies de rastreamento sem mecanismo de opt-out; ausência de contrato com operadores (plataformas de e-commerce, gateways, transportadoras, ferramentas de e-mail marketing); e ausência de procedimento de resposta a incidentes.

Comentário do escritório

A conformidade com a LGPD no e-commerce não é um projeto pontual, é uma disciplina contínua. Lojistas que tratam dados sem estrutura adequada ficam expostos tanto à fiscalização da ANPD quanto a ações judiciais individuais e coletivas. O custo de adequação preventiva é sistematicamente inferior ao custo de resposta a incidentes ou de defesa em processos administrativos.

A avaliação jurídica do e-commerce deve cobrir: mapeamento dos dados tratados, revisão dos contratos com fornecedores de tecnologia, adequação das políticas de privacidade e cookies, e implantação de canal de atendimento ao titular. Cada uma dessas frentes tem impacto direto na exposição ao risco.

Seu e-commerce está adequado à LGPD?

O GP&C estrutura a conformidade da sua operação com a legislação de proteção de dados.

Falar com o sócio Ver autor
Continue lendo

Temas relacionados

Área relacionada LGPD & Compliance Adequação, mapeamento de dados e gestão de risco regulatório. Autor Dr. Vinícius Oliveira de Oliveira Perfil profissional do sócio responsável pela análise. Radar GP&C Outras publicações Análises jurídicas por área de atuação do escritório.

Usamos armazenamento essencial para funcionamento do site e, se você permitir, preferências para lembrar o idioma escolhido. Não utilizamos cookies de marketing ou rastreamento publicitário.

Essenciais sempre ativos Registram sua escolha de privacidade e mantêm recursos básicos do site.