Proteção de dados de clientes e-commerce: Conformidade LGPD

Introdução

A proteção de dados de clientes constitui uma questão estratégica importante para qualquer ator do e-commerce. Desde a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD) em 25 de maio de 2018, os sites de vendas, aplicativos móveis de comércio e marketplaces devem respeitar um marco jurídico rigoroso sob pena de sanções que podem chegar a 20 milhões de euros ou 4% do faturamento anual global. Além da restrição regulatória, a conformidade com o RGPD representa uma verdadeira alavanca de confiança do cliente: 87% dos consumidores europeus afirmam não comprar em um site cuja segurança de dados eles duvidam. Este artigo pilar detalha as obrigações concretas dos e-comerciantes em matéria de consentimento, cookies, boletins informativos e segurança de dados de pagamento.

O consentimento: pedra angular da conformidade RGPD

O consentimento constitui uma das seis bases legais de tratamento previstas no artigo 6 do RGPD. Para ser válido, deve atender a quatro critérios cumulativos definidos no artigo 7: ser livre, específico, esclarecido e inequívoco. No contexto do e-commerce, isso significa que um internauta não pode ter seu consentimento condicionado à compra de um produto (princípio de liberdade), e deve poder consentir separadamente para cada finalidade (profilagem de marketing, compartilhamento com parceiros, boletim informativo, etc.).

A CNIL reforçou consideravelmente seus requisitos desde 2020 com suas diretrizes sobre cookies e rastreadores. O botão "Aceitar tudo" deve agora ser acompanhado por um botão "Recusar tudo" com acessibilidade e visibilidade equivalentes. As caixas pré-marcadas são estritamente proibidas (decisão CJUE Planet49, 1º de outubro de 2019). Os e-comerciantes também devem manter uma prova com data e hora do consentimento por toda a duração do tratamento, e permitir uma retirada tão simples quanto a concessão inicial.

Gerenciamento de cookies e rastreadores em sites de vendas

Os sites de e-commerce usam em média 40 a 60 cookies de terceiros: análise, retargeting publicitário, redes sociais, chatbots, testes A/B. O artigo 82 da Lei de Informática e Liberdades modificada impõe consentimento prévio para qualquer rastreador não estritamente necessário para o funcionamento do serviço. Apenas cookies de carrinho, sessão de autenticação e balanceamento de carga se beneficiam de uma isenção.

A implementação de uma Plataforma de Gerenciamento de Consentimento (CMP) compatível tornou-se essencial. Ela deve permitir ao visitante granularidade em suas escolhas: aceitação por finalidade (medição de audiência, personalização, publicidade direcionada) e por destinatário. As sanções chovem: Google (150M€), Amazon (35M€), Facebook (60M€) em 2022 por falta de botão de recusa tão acessível quanto o botão de aceitação.

Boletim informativo e prospecção comercial: opt-in rigoroso

O envio de boletins informativos e e-mails promocionais está sujeito ao artigo L.34-5 do Código dos Correios e Comunicações Eletrônicas, transpondo a diretiva ePrivacy. O princípio é o do opt-in prévio explícito para os prospects particulares (B2C). Uma exceção notável existe para clientes que já realizaram uma compra: a prospecção é autorizada para produtos ou serviços análogos, desde que tenham sido informados no momento da coleta e possam se opor a cada envio.

Concretamente, a caixa "Desejo receber as ofertas comerciais de [marca]" deve estar desmarcada por padrão e distinta da aceitação dos Termos e Condições. Cada e-mail deve conter um link de cancelamento de inscrição funcional em um clique, a identidade do remetente e um endereço de contato válido.

Segurança de dados de pagamento

O tratamento de dados bancários está sujeito tanto ao RGPD (artigo 32 sobre segurança) quanto ao padrão PCI-DSS (Payment Card Industry Data Security Standard). Os e-comerciantes devem privilegiar a tokenização por meio de um provedor de serviços de pagamento (PSP) certificado PCI-DSS nível 1, evitando assim o armazenamento direto de números de cartão. A autenticação forte (3D Secure v2) é obrigatória desde 15 de maio de 2021 na aplicação da diretiva DSP2.

A retenção do criptograma visual (CVV) é formalmente proibida após a transação. Os números de cartão podem ser retidos apenas com consentimento expresso para facilitar compras futuras (deliberação CNIL nº 2018-303).

Conclusão

A conformidade com o RGPD no e-commerce não se resume a uma checklist jurídica: ela estrutura toda a relação com o cliente digital. Entre consentimento granular, gerenciamento de cookies, rigor na prospecção e segurança de pagamentos, os e-comerciantes devem adotar uma abordagem "privacidade por design" desde a concepção de suas jornadas. Esta abordagem, longe de ser um obstáculo comercial, torna-se um argumento diferenciador em um mercado onde a confiança digital condiciona a taxa de conversão e a fidelização.