LEGALIST
Consumidor

Política de privacidade para e-commerce: o que a LGPD exige na prática e o que sua loja precisa publicar

Núcleo de Comunicação | LEGALIST

11 min
Consumidor — Política de privacidade para e-commerce: o que a LGPD exige na prática e o que sua loja precisa publicar

Uma política de privacidade genérica copiada da internet não cumpre a LGPD — e coloca o e-commerce em risco real de autuação pela ANPD e de ações individuais por violação de dados. Saber o que deve constar, em qual linguagem e onde publicar é o primeiro passo da conformidade.

Pontos-chave

  • A LGPD (Lei 13.709/2018) exige que qualquer empresa que colete dados pessoais — nome, e-mail, CPF, endereço, dados de pagamento — informe o titular sobre o tratamento de forma clara, acessível e antes da coleta.
  • A política de privacidade deve indicar: quais dados são coletados, para qual finalidade, com qual base legal, por quanto tempo são armazenados e com quem são compartilhados.
  • O consentimento é apenas uma das dez bases legais da LGPD — e não é a mais indicada para a maioria das lojas virtuais. A execução do contrato (entregar o pedido) e o interesse legítimo (comunicações relacionadas à compra) costumam ser bases mais adequadas.
  • O compartilhamento de dados com plataformas de anúncios (Meta Ads, Google Ads) e ferramentas de analytics (Google Analytics) deve ser explicitado na política — e pode exigir base legal própria.
  • A política deve indicar o canal de contato do Encarregado de Proteção de Dados (DPO) — mesmo que o papel seja acumulado por um responsável interno, o canal precisa existir e estar funcionando.
  • Políticas que não refletem o que a empresa de fato faz com os dados são consideradas enganosas — e a ANPD pode aplicar sanções tanto pela violação de dados quanto pela divulgação de política inadequada.

O que a LGPD exige que a política diga — e o que a maioria omite

A Lei Geral de Proteção de Dados (LGPD) não determina um formato único para a política de privacidade, mas estabelece que o titular dos dados — neste caso, o cliente da loja — tem o direito de saber de forma clara: quais dados são coletados, por que, com qual justificativa legal, por quanto tempo ficam armazenados e para quem são transferidos. Tudo isso antes que qualquer dado seja coletado.

A política copiada de outro site gera um risco específico: ela descreve o que aquele outro site faz, não o que a sua loja faz. Se a ANPD solicitar comprovação de que o tratamento de dados corresponde ao declarado na política, uma política genérica é prova em contrário — evidencia que a empresa não mapeou seus próprios fluxos de dados.

  • Dados coletados: listar cada tipo (nome, CPF, e-mail, telefone, endereço, dados de cartão processados por terceiro, IP, cookies, dados de navegação).
  • Finalidade: para que cada dado é usado — processamento do pedido, emissão de nota fiscal, envio de e-mail marketing, análise de comportamento.
  • Base legal: qual das 10 bases da LGPD justifica cada coleta — execução de contrato, consentimento, obrigação legal, interesse legítimo.
  • Prazo de retenção: por quanto tempo o dado fica armazenado após o encerramento da relação comercial.
  • Compartilhamento: quais terceiros recebem os dados — transportadora, gateway de pagamento, plataforma de analytics, plataforma de anúncios.

Bases legais: por que o consentimento quase nunca é a resposta certa

Muitas lojas virtuais optam pelo consentimento como base legal para todo o tratamento de dados — porque é a base mais familiar. Mas o consentimento tem uma característica crítica: pode ser revogado a qualquer momento, e a revogação obriga a empresa a parar o tratamento e excluir os dados. Isso significa que um cliente pode, teoricamente, revogar o consentimento e exigir que a loja apague todos os seus dados de pedido — o que inviabiliza obrigações fiscais e contábeis.

  • Execução de contrato: para dados necessários para entregar o pedido (nome, endereço, CPF para nota fiscal) — base mais sólida e não revogável.
  • Obrigação legal: para dados exigidos por lei (emissão de NF-e, obrigações tributárias) — também não exige consentimento.
  • Interesse legítimo: para comunicações relacionadas à relação de compra (confirmação de pedido, atualização de entrega, pesquisa de satisfação).
  • Consentimento: adequado para e-mail marketing com conteúdo não diretamente relacionado à compra, coleta de cookies de marketing e personalização.

A separação das bases legais por finalidade é o coração da conformidade. Uma loja que declara 'coletamos seus dados com seu consentimento' para tudo — incluindo a emissão da nota fiscal — está usando uma base inadequada para obrigações legais. A ANPD considera isso um problema de adequação da política, não apenas de redação.

LEGALIST HUB

Quer ajuda profissional com essa questão na sua empresa?

Quero revisar a política de privacidade da minha loja

Cookies, pixels e analytics: o que precisa estar na política

Qualquer loja que usa Google Analytics, Meta Pixel, TikTok Pixel, Microsoft Clarity ou ferramentas similares está coletando dados de comportamento de navegação — e transmitindo esses dados para servidores em outros países. Isso precisa estar na política.

  • Listar cada ferramenta de analytics e publicidade utilizada com a respectiva finalidade.
  • Indicar que a transmissão de dados ocorre para servidores nos EUA ou outros países — e mencionar os mecanismos de transferência internacional usados.
  • Informar como o usuário pode desativar cookies de analytics e publicidade — com link para as configurações relevantes.
  • Se a loja usa remarketing (anúncios direcionados a visitantes), esse uso deve ser explicitado e vinculado a base legal de consentimento.

A política de privacidade e a política de cookies podem ser documentos separados — e em lojas com grande volume de tráfego, a separação facilita a gestão e a compreensão pelo usuário. Em lojas menores, um documento único bem estruturado atende a ambas as exigências.

Canal do DPO, direitos do titular e como estruturar o atendimento

A LGPD garante ao titular uma lista de direitos sobre seus dados: confirmação de que os dados existem, acesso aos dados, correção de dados incorretos, portabilidade, exclusão, revogação de consentimento e informação sobre o compartilhamento. O titular pode exercer qualquer desses direitos a qualquer momento — e a empresa tem até 15 dias úteis para responder.

A política de privacidade deve indicar como o titular pode exercer esses direitos — preferencialmente com um canal específico (e-mail, formulário ou chat) e com prazo de resposta declarado. O Encarregado de Dados (DPO) pode ser um profissional externo, um serviço terceirizado ou um responsável interno — mas deve ser identificado (pelo menos pelo cargo ou área) na política.

  • Canal de atendimento ao titular: e-mail específico ou formulário dedicado — não misturar com o SAC de atendimento ao consumidor.
  • Prazo de resposta: declarar o prazo máximo — a LGPD não fixa prazo para todos os direitos, mas a ANPD orienta que 15 dias úteis é referência razoável.
  • Registro de solicitações: manter log de todas as solicitações de titular e das respostas — é a prova de conformidade em caso de fiscalização.
  • Atualização da política: toda vez que a loja adota nova ferramenta de dados, muda fornecedor ou altera finalidade de uso, a política precisa ser atualizada e a data de revisão registrada.

LEGALIST HUB

Quer ajuda profissional com essa questão na sua empresa?

Solicitar uma proposta
Conheça os planos