Pular para o conteúdo
Especialista LV
Operações12 min de leitura

LGPD em loja virtual: cookies, dados e o ponto cego do monitoramento

LGPD não é "ter banner de cookie" — é operação consciente do dado pessoal. Veja o checklist técnico de compliance e por que o monitoramento de e-commerce tem um ponto cego que ninguém comenta.

Cookies (biscoitos) com gotas de chocolate sobre superfície de madeira
LGPD não é 'ter banner de cookie'. É operação consciente do dado pessoal — saber o que coleta, por quê, com que base legal e por quanto tempo.Unsplash
O que você vai aprender
  • O que a LGPD realmente exige de loja virtual — em linguagem técnica, não jurídica.
  • A diferença entre "banner de cookie" e consentimento válido (a maioria das lojas faz errado).
  • Como mapear dados pessoais que sua loja coleta — incluindo os esquecidos (logs, RUM, screenshots de incidente).
  • O ponto cego do monitoramento: como capturar screenshot de bug sem violar LGPD.

LGPD entrou em vigor em setembro de 2020 e a ANPD começou a aplicar sanções de fato a partir de 2022. Loja virtual média no Brasil já recebeu pelo menos uma notificação de titular de dados — quase sempre relacionada a cookies, retenção excessiva ou compartilhamento com terceiros sem base legal. Este guia foca no que o operador técnico de e-commerce precisa entender e implementar.

~R$ 50 mi
é o teto da multa por infração (2% do faturamento BR, limitado), aplicado em casos graves
Lei 13.709/2018, art. 52, §1º
~14 sanções
aplicadas pela ANPD até 2024 — valores cresceram em 2023-2024
ANPD — relatórios públicos
10 categorias
de "dado pessoal sensível" — dados que não devem aparecer em log/screenshot de incidente
LGPD art. 5º, II
15 dias
é o prazo para responder a pedido de titular (acesso, correção, eliminação)
LGPD art. 19

O que a LGPD exige (versão técnica)

LGPD não é "ter um banner de cookie". É um conjunto de obrigações operacionais:

  1. Base legal para coletar e tratar cada categoria de dado. O consentimento é uma das 10 bases (art. 7º) — em e-commerce, a "execução de contrato" cobre os dados de pedido; cookies de marketing precisam de consentimento explícito.
  2. Transparência — política de privacidade legível, política de cookies clara, lista de subprocessadores (Google, Facebook, gateway, etc.).
  3. Direitos do titular — pedido de acesso, correção, eliminação, portabilidade. Resposta em até 15 dias.
  4. Notificação de incidente à ANPD em prazo razoável, se houver vazamento.
  5. DPO (Encarregado) nomeado, com canal público de contato.
  6. Segurança da informação — medidas técnicas e administrativas documentadas.
O que a LGPD quer não é compliance teatral. É operação consciente do dado pessoal — saber o que coleta, por quê, com base em quê, por quanto tempo e quem mais tem acesso.— ANPD, "Guia Orientativo para Agentes de Tratamento" (2023)

Cookies: onde a maior parte das lojas erra

A regra técnica é simples e quase universalmente desrespeitada:

⚠ Princípio fundamental: cookies não essenciais (marketing, analytics, A/B testing, fingerprinting) não podem ser setados antes do consentimento explícito do usuário. "Continuar navegando significa aceitar" não é consentimento válido sob a LGPD.

Categorias de cookies

CategoriaExemploPrecisa consentimento?
Estritamente necessárioCarrinho, sessão de login, CSRFNão (execução de contrato)
PreferênciasIdioma, moedaDiscutível — geralmente aceito sem consentimento
Estatísticas / AnalyticsGoogle Analytics, HotjarSim (interesse legítimo é discutível na ANPD)
Marketing / RetargetingMeta Pixel, Google Ads, TikTok PixelSim, obrigatório

O que faz um banner de cookie ser válido

  • Opção "Recusar" com o mesmo destaque que "Aceitar". "Aceitar todos" como botão grande verde e "Configurar" como link cinza embaixo édark pattern e a ANPD já indicou que não considera consentimento válido.
  • Granularidade por categoria — usuário pode aceitar analytics e recusar marketing.
  • Sem cookies setados antes do clique — verifique em DevTools → Application → Cookies que ao chegar na home, sem clicar em nada, só os cookies necessários existem.
  • Revogação fácil — link "Gerenciar cookies" no rodapé, ou em política de privacidade.
  • Log do consentimento — você precisa ser capaz de provar, em caso de questionamento, que aquele cliente clicou em "aceitar" em data e versão X da política.
Sacolas de compras de papel em superfície clara
Dados do pedido são uma parte. Logs, RUM, screenshots de incidente e backups guardam dados pessoais que ninguém mapeia até precisarem responder a um titular.Unsplash

Mapeie todos os dados pessoais (não só os óbvios)

Os óbvios em e-commerce: nome, e-mail, CPF, endereço, cartão de crédito (em gateway, não em você). Os esquecidos, que aparecem em auditoria:

  • Logs de aplicação — endereço IP, user-agent, URLs com query string contendo nome ou CPF.
  • Logs do CDN/WAF — Cloudflare, AWS WAF guardam IPs e podem guardar fragmentos de request body.
  • Erros do Sentry/Rollbar/etc. — frequentemente contêm stack trace com variáveis que incluem dados do usuário.
  • RUM/Analytics — Hotjar, FullStory podem gravar a tela do usuário, incluindo telas com cartão de crédito digitado.
  • Screenshots de bug — se o monitoramento sintético navega como usuário logado, screenshot pode conter dados.
  • Backup de banco — todo o banco que tem dado pessoal está nos backups; quanto tempo você retém?
  • Tabelas de "lead capture" — pop-up de boas-vindas que pede e-mail e fica esquecido em tabela sem nem ter newsletter.
📌 Princípio da minimização: a LGPD exige que você colete só o necessário. Loga IP em todo request? Pra quê? Por quanto tempo? Se a resposta é "porque sempre fizemos", existe um problema de compliance esperando acontecer.

O ponto cego: monitoramento e screenshots

Esta é a parte que afeta diretamente quem opera ferramentas como a Especialista Loja Virtual. Monitoramento sintético que navega checkout precisa cuidar:

  • Conta de teste, não dado real. O bot deve usar uma conta dedicada (e.g. [email protected]) — nunca uma conta real.
  • Dado fictício, mas válido. CPF válido mas marcado como teste, endereço de teste, cartão de teste do gateway.
  • Screenshot com mascaramento. Se a ferramenta tira screenshot do erro, ela deve mascarar campos sensíveis automaticamente — número de cartão, CPF, e-mail completo.
  • Retenção limitada. Screenshot de incidente serve para diagnóstico dos próximos 30–90 dias. Manter por 5 anos sem motivo é exposição desnecessária.

A Especialista Loja Virtual segue exatamente esse padrão — conta de teste, dado fictício, screenshot com retenção configurável, e log de quem acessou screenshot para auditoria.

Checklist técnico de compliance

  1. Banner de cookies com opção "Recusar" do mesmo tamanho que "Aceitar".
  2. Zero cookies não-essenciais antes do consentimento (confira no DevTools).
  3. Política de privacidade em URL fixa, versionada, com lista de subprocessadores (cada plugin/serviço que recebe dado).
  4. Canal de contato com DPO claramente publicado (página dedicada, e-mail dedicado).
  5. Endpoint ou fluxo para responder a pedido de titular em até 15 dias. Em Magento: "Privacy Settings" + customização. Em WooCommerce: usar plugin oficial de privacidade (vem no core do WordPress).
  6. Logs com retenção máxima de 90-180 dias por padrão, exceto onde há base legal específica (fiscal: 5 anos).
  7. Backups com retenção definida — 30 dias é razoável para a maioria dos cenários.
  8. Sentry/Rollbar/etc. configurado com data scrubbing — não envia variável com nome password,cpf, email, card.
  9. Mapeamento dos subprocessadores: lista interna com nome, dado compartilhado, base legal, contrato assinado.
  10. Plano de resposta a incidente de dado, ensaiado pelo menos uma vez.

Ferramentas para validar

  • Chrome DevTools → Application → Cookies — veja antes e depois do consentimento.
  • Cookiebot Scanner (gratuito até X URLs) — varre o site e lista cookies/scripts de terceiros.
  • OneTrust / Iubenda / Cookiebot CMP — soluções pagas, abrangentes.
  • Uso interno: configure um teste sintético que carrega a home, ainda sem clicar em "aceitar", e captura a lista de cookies. Alerta se aparecer cookie não-essencial.
✓ Resumo prático: compliance LGPD em e-commerce não é projeto jurídico — é operação contínua. As partes que mais dão multa envolvem cookies, retenção excessiva e ausência de resposta a titular. Coloque os 10 itens do checklist em ordem e revise 2× por ano.

Para a parte de detectar quando um deploy quebra o consentimento de cookies, veja os 7 alertas essenciais — adicione "cookies não-essenciais sem consentimento" à lista como alerta de compliance. E para a parte de plano de incidente, o template de post-mortem deve incluir "houve exposição de dado pessoal?" entre as perguntas obrigatórias.

Referências

  1. Brasil. Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais. planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
  2. ANPD. Guia Orientativo de Cookies e Proteção de Dados Pessoais, 2022/2023. gov.br/anpd
  3. ANPD. Lista de fiscalizações e sanções aplicadas — área de transparência. gov.br/anpd — sanções aplicadas
  4. Conselho Europeu de Proteção de Dados. EDPB Guidelines on consent under GDPR — usado como referência por ANPD em interpretação.
  5. Adobe Commerce. Privacy and personal data management — Magento 2 docs. experienceleague.adobe.com/data-privacy
  6. WordPress.org. Privacy tools and Personal Data Export/Erase. wordpress.org/documentation/article/tools-export-personal-data-screen

Perguntas frequentes

"Continuar navegando significa aceitar" funciona como consentimento?
Não. Esse modelo (consentimento implícito) não é válido sob a LGPD — a ANPD foi clara em guias de 2022/2023. O consentimento precisa ser livre, informado e inequívoco, com ação afirmativa do usuário. Banner com botão "aceitar/recusar" do mesmo destaque é o caminho.
Posso usar Google Analytics sem consentimento?
Discutível. Tecnicamente, alguns argumentam "interesse legítimo" — mas a ANPD não validou essa base. O caminho seguro é tratar Analytics como cookie que precisa de consentimento, ou usar alternativa server-side anonimizada (Plausible self-hosted, Matomo com IP truncado).
Screenshot de monitoramento sintético é dado pessoal?
Pode ser, dependendo do conteúdo. Se a navegação inclui página com carrinho de cliente real ou tela de erro com dados pessoais visíveis, o screenshot vira dado pessoal sob LGPD. Solução: monitorar com conta de teste e dados fictícios, e mascarar campos sensíveis antes de salvar.

Continue lendo

Monitore tudo isso automaticamente

A Especialista Loja Virtual roda navegação real no seu site a cada poucos minutos, alerta no Discord, Slack ou e-mail e mostra screenshot do incidente. Comece grátis.

Criar conta grátisVer planos