Montar um checklist LGPD e-commerce deixou de ser uma precaução opcional e passou a ser parte do funcionamento legal de qualquer loja virtual no Brasil. A Lei Geral de Proteção de Dados se aplica a todas as empresas que tratam dados pessoais de titulares brasileiros, independentemente do tamanho da operação ou do volume de faturamento, e o e-commerce está entre os segmentos que mais dados movimentam por natureza: nome, endereço, CPF, e-mail, histórico de navegação, preferências de produto e dados de pagamento são coletados em praticamente cada etapa da compra.
Toda essa coleta é legítima, desde que feita com base legal definida, finalidade declarada e processos documentados. O que separa uma loja que responde a uma auditoria com segurança de uma que enfrenta notificações e multas é, na maioria dos casos, justamente a existência desses processos antes de qualquer fiscalização chegar.
O que a LGPD exige de um e-commerce
Antes de percorrer os pontos do checklist, vale fixar dois conceitos que guiam todas as obrigações abaixo. O e-commerce é, na maioria das situações, o controlador dos dados que coleta: é ele quem decide por que as informações são reunidas e o que é feito com elas. Quando contrata plataformas de pagamento, ferramentas de e-mail marketing ou sistemas de gestão de pedidos, passa a trabalhar com operadores, terceiros que tratam dados em nome do controlador.
Essa distinção importa porque a responsabilidade do controlador perante a lei não se transfere ao operador, independentemente de quem executa o tratamento.
Os 12 pontos do checklist LGPD para e-commerce
Nenhum dos pontos abaixo exige implementação simultânea, mas todos precisam existir antes de uma fiscalização.
A ordem aqui segue uma lógica de construção: os primeiros itens estabelecem a base documental, os intermediários tratam de processos operacionais e os últimos cobrem as camadas técnicas e humanas que sustentam tudo.
1. Política de privacidade atualizada e acessível
O documento precisa estar disponível na loja, em linguagem acessível, informando quais dados são coletados, por qual base legal, com qual finalidade, por quanto tempo ficam armazenados e quais são os direitos do titular. Uma política genérica copiada de outro site não atende aos requisitos da lei e pode agravar a situação em caso de auditoria.
2. Bases legais definidas para cada tipo de tratamento
Cada operação de coleta precisa ter uma base legal que a autorize. Consentimento, execução de contrato, legítimo interesse e obrigação legal são as mais comuns no e-commerce. O problema frequente é que as lojas coletam dados sem ter definido qual base legal justifica cada coleta, o que torna o tratamento irregular mesmo sem intenção de má-fé.
3. Consentimento registrado e revogável
Quando a base legal escolhida for o consentimento, ele precisa ser obtido de forma específica, livre e inequívoca. Caixas pré-marcadas não valem. O titular precisa ter, a qualquer momento, a possibilidade de revogar o consentimento com a mesma facilidade com que o concedeu, e a loja precisa conseguir comprovar que ele foi dado.
4. Cookies e rastreadores declarados
O uso de cookies, pixels de rastreamento e ferramentas de analytics precisa estar descrito na política de privacidade e, nos casos em que há coleta de dados pessoais, ser apresentado ao usuário com possibilidade de aceite ou recusa. Ignorar esse ponto é um dos erros mais comuns em lojas virtuais, especialmente quando utilizam plugins de terceiros sem verificar o que eles coletam.
5. Canal de atendimento para direitos dos titulares
A LGPD garante ao titular o direito de acessar seus dados, corrigir informações incorretas, solicitar portabilidade, pedir a eliminação e revogar consentimento.
O e-commerce precisa ter um canal funcional para receber e responder a essas solicitações dentro dos prazos legais. Um endereço de e-mail específico já serve, desde que monitorado e com protocolo de resposta definido.
6. DPO indicado ou dispensa justificada
O Encarregado de Proteção de Dados, conhecido pela sigla DPO, é o responsável por receber comunicações da ANPD e dos titulares, além de orientar internamente sobre conformidade.
Para e-commerces de menor porte, a ANPD prevê flexibilizações, mas a indicação precisa ser formalizada e o contato do DPO deve constar na política de privacidade.
7. Contratos com operadores que preveem obrigações de segurança
Toda plataforma ou serviço que processa dados de clientes do e-commerce na condição de operador precisa ter um contrato que estabeleça obrigações de segurança, confidencialidade e conformidade com a LGPD. Isso inclui gateways de pagamento, plataformas de e-mail, ERPs e sistemas de logística.
Empresas que não formalizam essas obrigações ficam expostas a vazamentos originados em fornecedores e integrações sem ter como responsabilizar contratualmente o prestador envolvido.
8. Registro das atividades de tratamento
A LGPD exige que controladores mantenham um registro documentado das operações de tratamento de dados, com informações sobre finalidade, base legal, categorias de dados, prazo de retenção e eventuais compartilhamentos. Esse documento, chamado de ROPA na prática de mercado, costuma ser um dos primeiros solicitados em processos de auditoria.
9. Medidas técnicas de segurança da informação
A lei exige que o controlador adote medidas de segurança adequadas para proteger os dados pessoais que trata. Para um e-commerce, isso inclui HTTPS ativo em todas as páginas, política de senhas para acesso administrativo, controle de quem acessa a base de clientes e, quando aplicável, criptografia de dados sensíveis.
Formalizar essas diretrizes em uma política de segurança da informação é o que permite demonstrá-las objetivamente diante de uma fiscalização.
10. Protocolo de notificação de incidentes
Quando há vazamento ou acesso indevido a dados pessoais com potencial de risco ou dano relevante aos titulares, a ANPD precisa ser notificada em até três dias úteis a partir do momento em que o controlador toma ciência de que o incidente afetou dados pessoais, conforme a Resolução CD/ANPD nº 15/2024.
O e-commerce precisa ter um protocolo interno para identificar, registrar e comunicar esse tipo de evento. Sem esse processo estabelecido, os três dias úteis costumam ser consumidos em discussões internas sobre o que exatamente aconteceu.
11. Retenção e descarte de dados com critério
Guardar dados de clientes indefinidamente porque “podem ser úteis no futuro” não é compatível com a LGPD. Cada categoria de dado precisa ter um prazo de retenção vinculado à finalidade que justificou sua coleta, além de um processo de descarte seguro ao fim desse prazo.
Dados de transações financeiras, por exemplo, têm prazos específicos definidos pela legislação fiscal que precisam ser considerados em conjunto com as exigências da lei de proteção de dados.
12. Treinamento da equipe que acessa dados de clientes
Erros humanos estão entre as principais causas de incidentes com dados pessoais. A equipe que acessa a base de clientes, processa pedidos ou responde ao SAC precisa entender o que pode e o que não pode fazer com essas informações, como reconhecer solicitações de titulares e para quem encaminhar situações que fogem do fluxo padrão.
Conformidade envolve tecnologia, mas depende igualmente de processos e pessoas.
O que acontece quando a ANPD fiscaliza um e-commerce sem esses processos
Quando a ANPD abre um processo administrativo, a loja precisa demonstrar que tem os processos acima funcionando, não apenas afirmar que os tem. A ausência de documentação, contratos inadequados com operadores ou a inexistência de canal para atender direitos dos titulares são os pontos que mais rapidamente transformam uma fiscalização em autuação.
As sanções previstas na LGPD incluem advertência, multa de até 2% do faturamento líquido do ano anterior limitada a R$ 50 milhões por infração, publicização da infração e bloqueio ou eliminação dos dados tratados irregularmente. Para um e-commerce de médio porte, qualquer uma dessas medidas tem impacto operacional e reputacional que vai muito além do valor da multa em si.
Por onde começar a adequação ao checklist LGPD e-commerce
O ponto de partida é o mapeamento de dados: entender quais informações são coletadas, onde ficam armazenadas, quem tem acesso e com quais terceiros são compartilhadas. Esse levantamento alimenta os demais documentos e processos e costuma revelar coletas desnecessárias que podem ser eliminadas antes mesmo de qualquer medida técnica.
Para lojas que estão começando do zero, as etapas de adequação à LGPD envolvem desde a análise do cenário atual até a definição de um programa de governança que sustente as exigências da lei no longo prazo. A adequação não precisa acontecer de uma vez, mas o começo não pode ser adiado indefinidamente: quanto mais dados a loja acumula sem critério definido, maior o trabalho de regularização e maior a exposição durante esse período.
A STWBrasil apoia e-commerces no processo de adequação à LGPD, desde o mapeamento inicial de dados até a estruturação dos documentos, contratos e protocolos exigidos pela lei. Se sua loja ainda não tem esse processo estruturado, esse é o momento de iniciar.




