§ Setor · e-commerce brasileiro

E-commerce BR: LGPD + PCI-DSS + CDC Art. 49.

E-commerce brasileiro opera no cruzamento de 3 regimes: LGPD (proteção de dados pessoais), PCI-DSS v4.0 (dados de cartão) e CDC · Art. 49 (direito de arrependimento 7 dias). Cookies, marketing comportamental e bureau de crédito (LGPD · Art. 7º X) adicionam camadas regulatórias específicas.

Regimes regulatórios cruzados.

LGPD

Proteção de dados pessoais. Art. 7º V (execução contrato) + Art. 7º II (fiscal) + Art. 7º X (crédito). Res. CD/ANPD 4/2023 dosimetria.

PCI-DSS v4.0

Payment Card Industry Data Security Standard v4.0 (2024). 12 requisitos. Obrigatório pra qualquer aceitação de cartão · operador de pagamento terceiriza a maioria.

CDC · Art. 49

Código de Defesa do Consumidor · 7 dias de arrependimento em compras online. Não-cumprimento gera multas PROCON + processos TJ.

Bases legais típicas em e-commerce.

Cada dado coletado no checkout tem base legal específica. Mapeamento correto é obrigação do controlador · ANPD fiscaliza base errada como infração material.

  • Nome, CPF, endereço · Art. 7º V (execução de contrato) + VI (exercício de direitos em caso de contestação)
  • Email transacional · Art. 7º V · confirmação de pedido + rastreamento
  • Email marketing · Art. 7º I (consentimento) · opt-in explícito · unsubscribe visível
  • Cookies analytics · Art. 7º I · banner LGPD com opt-in por categoria (Art. 8º § 5º)
  • Score de crédito · Art. 7º X (proteção do crédito) · bureau consultado
  • Histórico fiscal · Art. 7º II (obrigação legal CTN Art. 173 · 5 anos)
  • Antifraude · Art. 7º IX (legítimo interesse) · com LIA documentado

Cookies e marketing comportamental.

Cookies não-essenciais em e-commerce exigem consentimento opt-in explícito conforme Art. 8º § 5º LGPD. Res. CD/ANPD 4/2023 trata pré-marcação como infração. Banner LGPD deve oferecer:

  1. Aceitar todos (botão destacado)
  2. Recusar todos (botão equivalente · não secundário)
  3. Configurar por categoria · essenciais + funcionais + analytics + marketing
  4. Reabrir preferências link visível no footer

Marketing comportamental (remarketing Google/Meta, recomendações baseadas em histórico) é tratamento sensível · exige consentimento Art. 7º I · legítimo interesse Art. 7º IX requer LIA documentado + opt-out fácil. Cookies de sessão essenciais (carrinho, checkout) dispensam consentimento.

O que Indícia detecta em e-commerce.

  • CPF exposto em URLs públicas (/pedido/CPF-xxx) · IDOR · Art. 6º IV
  • Cookies sem consentimento · GA4 / FB Pixel antes do opt-in · Art. 8º
  • PCI-DSS fingerprint · dados de cartão em logs · número exposto em resposta API
  • Retenção além do declarado · dados de cliente há 10 anos mas política diz 5
  • Banner LGPD fora de conformidade · sem opt-out · pré-marcado
  • Bureau de crédito sem base · consulta sem Art. 7º X documentado
Perguntas que estão no ar

E-commerce · dúvidas.

Preciso ser certificado PCI-DSS pra aceitar cartão?
Depende. Se você processa cartão diretamente: sim, PCI-DSS v4.0 obrigatório. Se usa Stripe/Pagar.me/MercadoPago e cartão nunca toca seu servidor: cliente é SAQ-A (simplificado) · reduz 80% do escopo.
CDC 7 dias vale pra serviço digital?
Sim. Art. 49 CDC aplica a qualquer compra fora do estabelecimento físico, incluindo SaaS, cursos online, assinaturas. Direito de arrependimento em 7 dias corridos da contratação.
Cookies de analytics são essenciais?
Não. Analytics são funcionais/opcionais. Apenas cookies estritamente necessários pra operação do site (sessão, carrinho, CSRF) são essenciais. Plausible cookieless é opção popular pra evitar consentimento.
Retenção de dados de cliente: quanto tempo?
Dados fiscais: 5 anos (CTN Art. 173). Dados de marketing (consentimento): até revogação do consentimento. Dados de perfil: enquanto houver conta ativa + 90d pra anonimização pós-encerramento.
Marketplace · quem é controlador dos dados?
Depende do arranjo. Marketplace como Mercado Livre tende a ser controlador + operador pros lojistas. Lojista é controlador dos próprios clientes. DPA (Art. 39) entre marketplace-lojista é obrigatório.
ANPD multa e-commerce pequeno?
Sim. Res. CD/ANPD 4/2023 pondera faturamento mas não tem piso. Operação "CPF Protegido" (2024) autuou e-commerces médios por exposição de CPF. Radar LGPD-BR + DPO ativo = atenuantes fortes.
§ Leituras relacionadas

Leituras relacionadas.

§ CLUSTER Multas · dosimetria Res. CD/ANPD 4/2023 · 2% até R$ 50M · precedentes. § CLUSTER Bases legais 10 bases Art. 7º · X proteção do crédito. § CLUSTER Direitos titular Art. 18 · cliente com SLA 15d Art. 19.