LGPD para PMEs

LGPD para e-commerce: o que sua loja virtual precisa fazer agora

Lojas virtuais coletam dados em cada etapa: cadastro, pagamento, rastreio, remarketing. Saiba o que a LGPD exige do e-commerce e como adequar sua loja sem travar a operação.

M
MHSLGPD
22 de maio de 2026 · 4 min de leitura

Um e-commerce coleta dados pessoais em cada etapa da jornada do cliente: cadastro, carrinho, checkout, pagamento, entrega e pós-venda. Acrescente cookies de remarketing, pixels de anúncio, programas de fidelidade e atendimento ao cliente — e você tem uma operação com dezenas de atividades de tratamento de dados que a LGPD regula.

A boa notícia: adequar uma loja virtual à LGPD é um processo definido. A má notícia: a maioria dos e-commerces brasileiros ainda está irregular — e a ANPD tem fiscalizado o setor com atenção crescente.

Quais dados o e-commerce coleta e por quê isso importa

Mapeie cada ponto de coleta da sua loja:

  • Cadastro: nome, e-mail, CPF, data de nascimento, endereço, telefone;
  • Checkout e pagamento: dados de cartão (normalmente via gateway, mas o e-commerce recebe confirmação), dados de parcelamento;
  • Entrega: endereço completo, CPF (nota fiscal), dados de rastreio compartilhados com transportadora;
  • Marketing: histórico de compras, preferências, cliques em e-mails, comportamento de navegação;
  • Remarketing: cookies de pixel do Meta, Google Ads, TikTok — rastreiam o visitante mesmo após sair do site;
  • Atendimento: conversas de chat, tickets, histórico de reclamações.

Para cada categoria, você precisa de base legal documentada — consentimento, execução de contrato (para dados de pedido), obrigação legal (nota fiscal) ou legítimo interesse (prevenção a fraude).

Os 5 maiores riscos LGPD em e-commerces

1. Cookies de remarketing sem consentimento prévio

O pixel do Meta e o Google Ads rodam no momento em que o visitante entra no site — antes de qualquer consentimento. Isso é ilegal. A base legal para cookies de publicidade é o consentimento, que precisa ser obtido antes do script carregar. Saiba mais em como implementar um banner de cookies conforme a LGPD.

2. Compartilhamento de dados com transportadoras sem DPA

Quando você envia nome, endereço e CPF do cliente para a Correios, Jadlog, Total Express ou outro transportador, está transferindo dados pessoais para um operador. O contrato com esse operador precisa ter cláusula de proteção de dados (DPA) — e a maioria dos contratos padrão das transportadoras não tem.

3. Bases de e-mail marketing sem opt-in válido

Listas de e-mail compradas, importadas de feiras ou construídas sem opt-in explícito são ilegais para envio de marketing. A LGPD exige que o consentimento seja específico — a pessoa que forneceu o e-mail para receber confirmação de pedido não consentiu com newsletter. São finalidades diferentes, precisam de opt-ins separados.

4. Retenção indefinida de dados

Dados de clientes que não compram há anos continuam no sistema por "precaução". A LGPD exige que dados sejam mantidos apenas pelo tempo necessário à finalidade — ou pelo prazo definido em lei (5 anos para dados fiscais, por exemplo). Clientes inativos precisam de política de purge.

5. Formulário de recuperação de carrinho sem consentimento

Capturar o e-mail no primeiro campo do checkout e mandar lembrete de carrinho abandonado antes de o usuário finalizar a compra é uma prática questionável — e provavelmente ilegal se não houver aviso prévio e consentimento.

O que fazer: roteiro LGPD para e-commerce

  1. Atualize a Política de Privacidade para refletir todos os dados coletados, as finalidades, os compartilhamentos (gateway, transportadora, marketplace) e os prazos de retenção.
  2. Implemente um banner de cookies que bloqueie pixels de remarketing antes do consentimento.
  3. Revise o opt-in de marketing: separe o consentimento para confirmação de pedido do consentimento para newsletter e remarketing.
  4. Assine DPAs com operadores: gateway de pagamento, transportadoras, plataforma de e-commerce (VTEX, Shopify, WooCommerce), ferramentas de chat.
  5. Configure o portal de titulares: o cliente precisa conseguir solicitar acesso, correção ou exclusão dos dados de cadastro de forma simples.
  6. Defina política de retenção: quanto tempo os dados de cada categoria ficam no sistema e como são descartados.

LGPD e marketplaces

Vender em Mercado Livre, Shopee, Amazon ou Magazine Luiza cria uma relação de corresponsabilidade: os dados do comprador são coletados pelo marketplace e compartilhados com o vendedor para a entrega. Consulte os termos do marketplace sobre como eles tratam os dados e o que transferem para você — e inclua isso no seu inventário de dados.

Conclusão

E-commerce e LGPD não são incompatíveis — mas exigem atenção a pontos específicos da operação digital. Comece pelos cookies (impacto imediato e visível para reguladores), depois organize o opt-in de marketing e feche com os contratos com fornecedores. A adequação protege o cliente e protege a loja.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.

Leia também

LGPD e marketing digital: como tratar leads e e-mail marketing de forma legal
E-mail marketing, geração de leads e remarketing são práticas cotidianas que a LGPD regula com rigor. Veja o que mudou, quais bases legais usar e como adequar sua estratégia de marketing sem perder eficiência.
MHSLGPD · 26 de maio de 2026
Ferramenta para gerenciar LGPD: o que avaliar e como implementar na prática
Uma ferramenta para gerenciar LGPD centraliza inventário, documentos, solicitações e consentimento em um único lugar. Veja como escolher, implementar e tirar o máximo da plataforma.
MHSLGPD · 21 de maio de 2026
Checklist LGPD: 25 itens para verificar a conformidade da sua empresa
Use este checklist LGPD para diagnosticar a situação atual da sua empresa e identificar as principais lacunas de conformidade com a Lei Geral de Proteção de Dados.
MHSLGPD · 19 de maio de 2026