LGPD no e-commerce: dados de clientes, cookies e marketing digital
Para um e-commerce brasileiro, a LGPD não é abstrata. Cada cliente que cria uma conta, cada pedido realizado, cada pixel de rastreamento instalado no site — tudo envolve dados pessoais e tem implicações legais específicas.
O volume e a variedade de dados tratados num e-commerce são maiores do que a maioria percebe: nome, CPF, endereço, telefone, histórico de compras, dados de navegação, dados de pagamento, localização para entrega, e-mail para marketing. Cada tipo de dado tem requisitos distintos de base legal, retenção e segurança. Tratá-los como uma massa única — "coletamos porque precisamos" — é o caminho mais rápido para uma irregularidade.
Mapeando os dados do e-commerce
Antes de definir base legal e política de retenção, o primeiro passo é mapear o que realmente é coletado:
Cadastro e conta:
- Nome, e-mail, CPF, telefone
- Endereço de entrega e cobrança
- Histórico de pedidos e preferências
- Dados de cartão (tipicamente armazenados pelo gateway de pagamento, não pelo e-commerce diretamente)
Transação e entrega:
- Dados do pedido, valor, itens selecionados
- CPF na nota fiscal (obrigatório por legislação tributária)
- Dados repassados à transportadora para entrega
- Código de rastreamento e histórico de entrega
Marketing e personalização:
- Cookies de sessão e preferência
- Cookies de analytics (Google Analytics, Hotjar, etc.)
- Cookies de publicidade (Meta Pixel, Google Ads Tag, TikTok Pixel, etc.)
- Histórico de navegação e produtos visualizados
- Carrinho abandonado
- Lista de e-mail e preferências de comunicação
Fraude e segurança:
- Endereço IP de acesso
- Fingerprint de dispositivo
- Score de risco em análise antifraude
- Logs de acesso (obrigatórios por 6 meses — Marco Civil da Internet)
Bases legais por tipo de atividade
A LGPD exige que cada tratamento de dados tenha uma base legal específica. Para e-commerces, a distribuição mais comum é:
| Atividade | Base legal | Fundamento |
|---|---|---|
| Criação de conta e execução de pedidos | Art. 7º, V — contrato | Dados necessários para prestar o serviço |
| Emissão de nota fiscal | Art. 7º, II — obrigação legal | Legislação tributária (CTN, SPED) |
| Retenção de registros fiscais e contábeis | Art. 7º, II — obrigação legal | CTN, CFC, SPED |
| Logs de acesso | Art. 7º, II — obrigação legal | Marco Civil da Internet (Art. 15) |
| E-mail marketing para clientes com compra prévia | Art. 7º, IX — legítimo interesse | Relação comercial prévia (exige LIA) |
| Newsletter e marketing para não-clientes | Art. 7º, I — consentimento | Titular deve optar ativamente |
| Cookies funcionais e de sessão | Art. 7º, V ou dispensado | Necessários ao funcionamento do site |
| Cookies de analytics com identificação | Art. 7º, I — consentimento | Identifica usuário individualmente |
| Cookies de publicidade e retargeting | Art. 7º, I — consentimento | Perfilamento para fins comerciais |
| Análise antifraude | Art. 7º, IX — legítimo interesse | Prevenção de fraude |
Cookies e o Guia da ANPD: o que muda na prática
O Guia Orientativo "Cookies e Proteção de Dados Pessoais" (ANPD, publicado em 18 de outubro de 2022) é o documento de referência para e-commerces em matéria de rastreamento online. Embora não seja norma vinculante, define como a ANPD avalia a conformidade com a LGPD em relação a cookies — e ignorá-lo é arriscado.
O que o Guia estabelece:
Consentimento válido deve ser livre, informado, específico e inequívoco. Não é aceito:
- Continuar navegando no site como forma implícita de aceitar cookies
- Banner com opções pré-selecionadas
- Ausência de opção de recusa equivalente à de aceitação
- Consent-wall: bloquear o acesso ao site até que o usuário aceite os cookies (a recusa deve ser opção real, não punitiva)
Categorias e distinções:
- Cookies estritamente necessários ao funcionamento do site (carrinho, sessão de login): não exigem consentimento
- Cookies de analytics que identificam usuários individualmente: exigem consentimento
- Cookies de publicidade, retargeting e perfilamento: exigem consentimento específico
- O consentimento deve ser granular: o usuário deve poder aceitar categorias específicas sem aceitar todas
Registro do consentimento: O e-commerce deve registrar quando, para qual versão do banner e quais categorias foram aceitas — não basta registrar que houve consentimento, mas qual consentimento específico.
E-mail marketing e LGPD: as três situações
Situação 1 — Clientes que já compraram:
A base do legítimo interesse (Art. 7º, IX) pode sustentar o envio de e-mails relacionados a produtos ou serviços similares aos adquiridos. O controlador deve fazer o teste de balanceamento (LIA): verificar se o interesse legítimo prevalece sobre os direitos do titular e se o titular teria expectativa razoável desse uso. Na prática: e-mail sobre promoção do produto que o cliente comprou — provavelmente sustentável. E-mail sobre produto completamente diferente — mais difícil de sustentar.
Requisito inafastável: Link de descadastro (opt-out) funcional em todos os e-mails, com processamento imediato do pedido de descadastro.
Situação 2 — Leads que forneceram e-mail mas não compraram:
O consentimento (Art. 7º, I) é a base mais segura. O formulário de captação deve informar claramente para que o e-mail será usado, com opção de não consentir (sem travar o acesso ao conteúdo).
Situação 3 — Listas de e-mail compradas ou alugadas de terceiros:
Prática de alto risco jurídico. O titular nunca consentiu com o envio de comunicações da sua empresa. A base legal é extremamente difícil de sustentar. O uso de listas de terceiros para envio de marketing é uma das práticas mais contestadas sob a LGPD e, em alguns contextos, pode configurar tratamento sem base legal.
Meta Pixel, Google Ads e transferência internacional de dados
A instalação de tags de rastreamento de terceiros no site do e-commerce é uma das questões mais complexas da LGPD no contexto digital. Quando o Meta Pixel ou a Google Ads Tag estão instalados, dados dos visitantes são enviados para servidores dessas plataformas nos Estados Unidos — configurando tanto tratamento de dados quanto transferência internacional.
Implicações práticas:
- O e-commerce é controlador dos dados de seus visitantes e clientes
- Meta e Google, ao receber esses dados para fins de suas próprias plataformas de publicidade, atuam como controladores independentes — não apenas como operadores do e-commerce
- O visitante precisa ser informado dessa transferência na política de privacidade
- Para rastreamento de publicidade, o visitante precisa dar consentimento específico antes de o pixel ser ativado
- Após a Resolução CD/ANPD Nº 19/2024, transferências internacionais para os EUA (que não têm decisão de adequação) exigem mecanismo — como as SCCs do modelo da ANPD
Retenção de dados: o que guardar e por quanto tempo
| Tipo de dado | Prazo mínimo obrigatório | Base |
|---|---|---|
| Dados fiscais e nota fiscal | 5 anos | Obrigação legal (CTN) |
| Dados de contrato de consumo | 5 anos | CDC (Art. 27) |
| Logs de acesso | 6 meses | Marco Civil da Internet (Art. 15) |
| Registros contábeis | 5 a 10 anos | Legislação contábil / societária |
| Dados de conta sem compra | Enquanto ativo + prazo legal | Contrato |
| Dados captados por consentimento | Enquanto consentimento vigente | Revogar = eliminar |
Cuidado com a retenção indefinida: Muitos e-commerces mantêm dados de clientes inativos indefinidamente. Isso não tem base legal após o encerramento da relação e do prazo de obrigação legal. A prática correta é definir um prazo de inatividade a partir do qual os dados são eliminados ou anonimizados — com aviso ao titular antes da eliminação.
Terceiros que acessam dados: os operadores do e-commerce
Todo e-commerce médio trabalha com dezenas de fornecedores que acessam dados pessoais de seus clientes. Cada um desses fornecedores é um operador — e a LGPD exige que a relação seja formalizada em contrato com cláusulas de proteção de dados (DPA).
Os operadores típicos de um e-commerce incluem:
- Gateway de pagamento (Cielo, Stone, Adyen, Stripe): acessa dados de cartão e transação
- Plataforma de e-commerce (VTEX, Shopify, WooCommerce): armazena cadastros e pedidos
- ERP ou OMS: integra estoque, pedidos e dados de cliente
- Plataforma de e-mail marketing (Mailchimp, RD Station, Klaviyo): acessa a base de e-mails
- Transportadora: recebe nome, endereço e telefone para entrega
- Plataforma de antifraude (ClearSale, Konduto): analisa dados de transação
- Sistema de atendimento (Zendesk, Freshdesk): armazena histórico de contato do cliente
Todos esses fornecedores devem ter DPA assinado — ou ao menos cláusulas contratuais de proteção de dados nos contratos de prestação de serviço.
Checklist de conformidade para e-commerces
Banner de cookies:
- Banner implementado com opções granulares (necessário / analytics / marketing)?
- Opção de recusa com visibilidade equivalente à de aceitação?
- Consentimento registrado com data, versão do banner e categorias aceitas?
- Pixels e tags de terceiros ativados apenas após consentimento específico?
Política de privacidade:
- Atualizada para cobrir todos os cookies e pixels instalados?
- Menciona as transferências internacionais (gateway, plataforma de e-commerce, Meta, Google)?
- Explica como exercer os 9 direitos dos titulares (Art. 18)?
E-mail marketing:
- Listas segmentadas por base legal (consentimento, legítimo interesse)?
- Link de descadastro funcional em todos os e-mails?
- Processo de atendimento a pedidos de eliminação implementado?
Dados de conta e pedidos:
- Política de retenção definida para dados inativos?
- DPAs assinados com gateway, plataforma de e-commerce, ERP, transportadora e demais operadores?
- Controle de acesso a dados de clientes no backoffice?
Conclusão
A LGPD não proíbe o e-commerce de coletar dados ou fazer marketing digital. Ela exige que cada coleta tenha uma finalidade legítima, uma base legal adequada e um prazo de retenção definido — e que o titular seja tratado com transparência e respeito.
Para a maioria dos e-commerces, o caminho prático começa com três ações imediatas: revisar o banner de cookies (que raramente está em conformidade com o Guia da ANPD), auditar os fornecedores que acessam dados de clientes e formalizar os DPAs, e segmentar as listas de e-mail por base legal antes da próxima campanha.
O Confidata inclui módulo de gestão de operadores e fornecedores com controle de DPAs, registro de consentimento integrado ao ROPA e alertas de vencimento de contratos — centralizando a conformidade do e-commerce em um único painel.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.