O que a LGPD exige que a política diga — e o que a maioria omite
A Lei Geral de Proteção de Dados (LGPD) não determina um formato único para a política de privacidade, mas estabelece que o titular dos dados — neste caso, o cliente da loja — tem o direito de saber de forma clara: quais dados são coletados, por que, com qual justificativa legal, por quanto tempo ficam armazenados e para quem são transferidos. Tudo isso antes que qualquer dado seja coletado.
A política copiada de outro site gera um risco específico: ela descreve o que aquele outro site faz, não o que a sua loja faz. Se a ANPD solicitar comprovação de que o tratamento de dados corresponde ao declarado na política, uma política genérica é prova em contrário — evidencia que a empresa não mapeou seus próprios fluxos de dados.
- Dados coletados: listar cada tipo (nome, CPF, e-mail, telefone, endereço, dados de cartão processados por terceiro, IP, cookies, dados de navegação).
- Finalidade: para que cada dado é usado — processamento do pedido, emissão de nota fiscal, envio de e-mail marketing, análise de comportamento.
- Base legal: qual das 10 bases da LGPD justifica cada coleta — execução de contrato, consentimento, obrigação legal, interesse legítimo.
- Prazo de retenção: por quanto tempo o dado fica armazenado após o encerramento da relação comercial.
- Compartilhamento: quais terceiros recebem os dados — transportadora, gateway de pagamento, plataforma de analytics, plataforma de anúncios.
Bases legais: por que o consentimento quase nunca é a resposta certa
Muitas lojas virtuais optam pelo consentimento como base legal para todo o tratamento de dados — porque é a base mais familiar. Mas o consentimento tem uma característica crítica: pode ser revogado a qualquer momento, e a revogação obriga a empresa a parar o tratamento e excluir os dados. Isso significa que um cliente pode, teoricamente, revogar o consentimento e exigir que a loja apague todos os seus dados de pedido — o que inviabiliza obrigações fiscais e contábeis.
- Execução de contrato: para dados necessários para entregar o pedido (nome, endereço, CPF para nota fiscal) — base mais sólida e não revogável.
- Obrigação legal: para dados exigidos por lei (emissão de NF-e, obrigações tributárias) — também não exige consentimento.
- Interesse legítimo: para comunicações relacionadas à relação de compra (confirmação de pedido, atualização de entrega, pesquisa de satisfação).
- Consentimento: adequado para e-mail marketing com conteúdo não diretamente relacionado à compra, coleta de cookies de marketing e personalização.
A separação das bases legais por finalidade é o coração da conformidade. Uma loja que declara 'coletamos seus dados com seu consentimento' para tudo — incluindo a emissão da nota fiscal — está usando uma base inadequada para obrigações legais. A ANPD considera isso um problema de adequação da política, não apenas de redação.
LEGALIST HUB
Quer ajuda profissional com essa questão na sua empresa?
Quero revisar a política de privacidade da minha lojaCookies, pixels e analytics: o que precisa estar na política
Qualquer loja que usa Google Analytics, Meta Pixel, TikTok Pixel, Microsoft Clarity ou ferramentas similares está coletando dados de comportamento de navegação — e transmitindo esses dados para servidores em outros países. Isso precisa estar na política.
- Listar cada ferramenta de analytics e publicidade utilizada com a respectiva finalidade.
- Indicar que a transmissão de dados ocorre para servidores nos EUA ou outros países — e mencionar os mecanismos de transferência internacional usados.
- Informar como o usuário pode desativar cookies de analytics e publicidade — com link para as configurações relevantes.
- Se a loja usa remarketing (anúncios direcionados a visitantes), esse uso deve ser explicitado e vinculado a base legal de consentimento.
A política de privacidade e a política de cookies podem ser documentos separados — e em lojas com grande volume de tráfego, a separação facilita a gestão e a compreensão pelo usuário. Em lojas menores, um documento único bem estruturado atende a ambas as exigências.
Canal do DPO, direitos do titular e como estruturar o atendimento
A LGPD garante ao titular uma lista de direitos sobre seus dados: confirmação de que os dados existem, acesso aos dados, correção de dados incorretos, portabilidade, exclusão, revogação de consentimento e informação sobre o compartilhamento. O titular pode exercer qualquer desses direitos a qualquer momento — e a empresa tem até 15 dias úteis para responder.
A política de privacidade deve indicar como o titular pode exercer esses direitos — preferencialmente com um canal específico (e-mail, formulário ou chat) e com prazo de resposta declarado. O Encarregado de Dados (DPO) pode ser um profissional externo, um serviço terceirizado ou um responsável interno — mas deve ser identificado (pelo menos pelo cargo ou área) na política.
- Canal de atendimento ao titular: e-mail específico ou formulário dedicado — não misturar com o SAC de atendimento ao consumidor.
- Prazo de resposta: declarar o prazo máximo — a LGPD não fixa prazo para todos os direitos, mas a ANPD orienta que 15 dias úteis é referência razoável.
- Registro de solicitações: manter log de todas as solicitações de titular e das respostas — é a prova de conformidade em caso de fiscalização.
- Atualização da política: toda vez que a loja adota nova ferramenta de dados, muda fornecedor ou altera finalidade de uso, a política precisa ser atualizada e a data de revisão registrada.

