Este artigo tem caráter exclusivamente informativo e não constitui aconselhamento jurídico. As obrigações concretas variam conforme porte, ramo e tipo de tratamento da sua loja, e podem ser alteradas por novas resoluções da ANPD. Para análise da sua situação específica, consulte advogado. Em caso de conflito com a Política de Privacidade ou Termos de Uso §11 — DPA, prevalecem os documentos contratuais.
Você (lojista) é controlador dos dados dos seus clientes. O ShopIA é apenas operador. Esta página resume suas responsabilidades segundo a LGPD e o que você deve documentar e operacionalizar.
A relação operador-controlador
A LGPD define dois papéis principais no tratamento de dados pessoais:
Controlador (você)
Quem decide o que fazer com os dados:
- Coletar email do cliente para enviar promoção: decisão sua
- Reter dados de pedido por 5 anos para fiscal: decisão sua
- Analisar comportamento de compra: decisão sua
- Compartilhar com terceiros (logística, etc.): decisão sua
Operador (ShopIA)
Quem executa o que o controlador decidiu:
- Armazena dados conforme você configurou
- Envia mensagens conforme você programou
- Calcula métricas conforme você definiu
- Aplica opt-out conforme cliente solicitou
A distinção é fundamental para responsabilidades. Detalhes em LGPD: ShopIA como operador, sua loja como controlador.
Suas obrigações principais como controlador
1. Base legal para tratar dados
Todo dado pessoal coletado precisa de base legal. As mais comuns em e-commerce:
- Execução de contrato — dados necessários para entregar o pedido (nome, endereço, CPF para nota fiscal)
- Consentimento — opt-in para receber marketing
- Legítimo interesse — análise de comportamento agregado (não sensível)
- Cumprimento de obrigação legal — dados fiscais retidos por 5 anos (regra geral, art. 173 CTN; legislação setorial pode exigir prazo maior)
Documente em política de privacidade quais bases legais você usa para cada finalidade.
2. Política de privacidade
Ter política de privacidade pública, acessível via link no rodapé do site, é obrigatório. Deve descrever:
- Quais dados coleta
- Para que finalidade
- Por quanto tempo retém
- Com quem compartilha (incluindo o ShopIA como operador)
- Direitos do titular e como exercer
- Contato do encarregado (DPO)
O ShopIA fornece modelo de política em Configurações > Loja > Política de privacidade, mas adaptação ao seu negócio é sua responsabilidade.
3. Termos de uso
Documento que define a relação contratual com o cliente. Pode ser combinado ou separado da política de privacidade.
4. Coleta com consentimento
Quando coletar dados precisa de consentimento (newsletter, marketing):
- Informe claramente o que vai fazer
- Use opt-in afirmativo (caixa não pré-marcada)
- Forneça opt-out fácil depois
- Mantenha registro auditável do consentimento
O ShopIA registra origem e data de consentimento para você. Detalhes em Clientes opt-in vs opt-out.
5. Atender solicitações do titular
LGPD garante direitos ao titular dos dados (art. 18). O cliente pode pedir:
- Acesso — quais dados você tem dele
- Correção — corrigir dados incorretos
- Anonimização ou eliminação — apagar dados desnecessários
- Portabilidade — receber seus dados em formato estruturado
- Oposição — parar tratamento
- Revogação de consentimento — descadastrar
Você tem 15 dias para responder. Pelo painel, há atalho em Clientes > [cliente] > Solicitação LGPD.
Detalhes em Excluindo dados de um cliente: o direito ao esquecimento.
6. Notificar incidentes de segurança
Se houver incidente de segurança que possa expor dados pessoais:
- Notifique a ANPD (Autoridade Nacional de Proteção de Dados)
- Notifique os titulares afetados
- Documente a causa, escopo e medidas tomadas
Detalhes em Incidentes de segurança: o que fazer.
7. Designar Encarregado (DPO)
A indicação de Encarregado pelo tratamento de dados pessoais é obrigatória para todos os controladores (art. 41 da LGPD), com hipóteses de flexibilização para pequenos agentes que não realizem tratamento de alto risco, conforme Resolução CD/ANPD nº 2/2022.
Mesmo dispensado da indicação formal, o controlador deve manter um canal de comunicação com os titulares de dados. Recomendamos consultoria jurídica para enquadrar sua loja corretamente — porte, volume, dados sensíveis e modelo de negócio influenciam a obrigação.
O que o ShopIA faz por você (operador)
O ShopIA cumpre obrigações técnicas que viabilizam seu compliance:
- Armazenamento seguro com criptografia
- Logs auditáveis de acesso e mudanças
- Bloqueio efetivo de opt-out
- Suppression list automática
- Footer LGPD obrigatório em emails
- Retenção configurável de dados
- Exclusão sob demanda
Mas o ShopIA não pode:
- Decidir por você o que coletar
- Escrever sua política de privacidade
- Notificar ANPD em seu nome
- Ser seu DPO
Documentação recomendada
Mantenha em local seguro:
- [ ] Política de privacidade publicada e versionada
- [ ] Termos de uso publicados e versionados
- [ ] Registro de bases legais por finalidade
- [ ] Procedimento documentado para atender solicitações de titular
- [ ] Procedimento documentado para incidentes
- [ ] Lista de operadores contratados (incluindo ShopIA)
- [ ] Mapa de fluxo de dados (de onde vem, onde armazena, com quem compartilha)
Auditoria
Em fiscalização ANPD, você pode ser questionado. O ShopIA fornece, sob solicitação:
- Logs de acesso
- Logs de envio de mensagens
- Histórico de consentimento por cliente
- Registro de exclusões executadas
- Documentação técnica das medidas de segurança
Como controlador, você organiza a apresentação. ShopIA suporta com dados.
Multas e sanções
A LGPD (art. 52) prevê:
- Advertência com prazo para adoção de medidas corretivas
- Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado, no Brasil, no exercício anterior à aplicação da sanção, no ramo de atividade em que ocorreu a infração — limitada a R$ 50 milhões por infração
- Multa diária, observado o limite total de R$ 50 milhões
- Publicização da infração após apurada e confirmada
- Bloqueio dos dados pessoais a que se refere a infração até regularização
- Eliminação dos dados pessoais
- Suspensão parcial do funcionamento do banco de dados
- Suspensão do exercício da atividade de tratamento
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
A ANPD começou aplicando multas em 2023. Conformidade não é mais opcional.
Recursos úteis
- Site oficial da ANPD
- Texto da LGPD (Lei 13.709/2018)
- Guias setoriais publicados pela ANPD
- Consultoria jurídica especializada em LGPD para empresas