O varejo brasileiro acumula, todos os dias, centenas de milhões de interações com consumidores. Cada passagem pelo caixa, cada acesso ao Wi-Fi do shopping, cada ponto resgatado no programa de fidelidade gera dados pessoais e, portanto, obrigações legais. Desde que a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor, essas obrigações deixaram de ser opcionais.
Ainda assim, muitas empresas do setor continuam operando com processos desalinhados à lei, seja por falta de clareza sobre o que a LGPD exige, seja por não saber por onde começar. Na prática, é comum encontrar operações que tratam dados pessoais diariamente, mas sem visibilidade real sobre onde esses dados estão ou como estão sendo utilizados.
Este guia foi criado por especialistas em proteção de dados da Data Guide para resolver exatamente isso: ele organiza, de forma prática e direta, tudo o que varejistas e administradoras de shopping precisam saber para estruturar uma governança de dados sólida.
O que é a LGPD?
A LGPD é o marco regulatório brasileiro que disciplina a coleta, o armazenamento, o uso, o compartilhamento e a eliminação de dados pessoais de pessoas naturais. Ela se aplica a qualquer operação de tratamento de dados realizada no território nacional, independentemente do meio, do setor econômico ou do porte da empresa.
Dado pessoal, na definição do artigo 5º da lei, é qualquer informação relacionada a uma pessoa natural identificada ou identificável. No contexto do varejo, isso inclui:
- Nome, CPF e endereço coletados no cadastro de cliente
- Histórico de compras e ticket médio
- Imagens capturadas por câmeras de segurança
- Dados de navegação no site e no aplicativo
- Informações fornecidas ao conectar-se a redes Wi-Fi
- Dados biométricos processados por sistemas de reconhecimento facial
- Número de telefone e e-mail utilizados em campanhas de marketing
Dados sensíveis exigem atenção redobrada
Além dos dados pessoais comuns, a LGPD prevê uma categoria especial: os dados pessoais sensíveis. O artigo 5º, inciso II, classifica como sensíveis os dados de origem racial ou étnica, convicção religiosa, saúde, vida sexual, dado biométrico, entre outros. Dados biométricos, como imagens faciais processadas para identificação, exigem proteção reforçada e bases legais específicas para tratamento.
Por que o varejo está mais exposto
O varejo e os shoppings se destacam como setores de alta exposição por três razões estruturais:
1. Volume e diversidade de pontos de coleta
Uma rede varejista de médio porte opera com sistemas de PDV, programas de fidelidade, e-commerce, aplicativos, câmeras, terminais de autoatendimento e redes de Wi-Fi, cada um deles coletando dados de formas diferentes, muitas vezes sem integração ou controle centralizado.
2. Profundidade dos dados coletados
O histórico de compras de um cliente permite inferir preferências alimentares, condições de saúde, religião (por compras em datas específicas) e até situação financeira. Mesmo dados aparentemente banais, quando agregados, tornam-se sensíveis.
3. Frequência de compartilhamento
Varejistas regularmente compartilham dados com fornecedores de tecnologia, parceiros de marketing, operadoras de meios de pagamento, redes de afiliados e plataformas de publicidade digital. Cada compartilhamento representa uma nova camada de risco e exige controle adequado, tanto técnico quanto contratual.
Fiscalização ativa da ANPD: em 2023, a ANPD iniciou fiscalizações em empresas de grande porte com foco justamente em programas de fidelidade e uso de dados para fins de marketing. Em dezembro de 2024, a autarquia notificou 20 grandes empresas por descumprimento da lei, entre elas representantes do setor varejista. O recado é claro: adequação não é opcional.
Principais riscos por operação
O gráfico abaixo apresenta os tipos de operação com maior nível de exposição no varejo, com escala de 0 (baixo) a 10 (crítico).
Câmeras e reconhecimento facial: risco muito elevado
O uso de câmeras com reconhecimento facial, seja para identificação de clientes recorrentes, para fins de segurança ou para análise de comportamento no ponto de venda, envolve dados biométricos, considerados sensíveis pela LGPD. Na prática, não basta instalar a tecnologia: é necessário justificar juridicamente o uso, informar o titular sobre o monitoramento, implementar controles adequados de segurança e manter documentação do consentimento.
Programas de fidelidade: risco alto
Programas de fidelidade coletam sistematicamente CPF, histórico de compras, preferências de produto e dados de localização. O problema central é duplo: muitas empresas utilizam bases legais inadequadas e compartilham esses dados com parceiros sem informar adequadamente o titular. Essa prática expõe a empresa a autuações por falta de transparência e desvio de finalidade.
Vulnerabilidades transversais: ausência de inventário de dados, falta de contratos adequados com fornecedores (operadores) e inexistência de processos para atender às solicitações dos titulares dentro do prazo legal são as três vulnerabilidades que amplificam todos os outros riscos.
Wi-Fi de shopping: vetor subestimado
Quando um cliente conecta seu dispositivo à rede do shopping, o estabelecimento pode estar coletando MAC address, tempo de permanência, trajeto percorrido e identificador do aparelho. Esses dados, quando associados a outras informações, permitem a criação de perfis detalhados e exigem transparência na política de privacidade, além de consentimento explícito.
Riscos de não se adequar à LGPD
1. Sanções administrativas da ANPD
O artigo 52 da LGPD prevê um conjunto escalonado de sanções:
| Sanção | Descrição |
|---|---|
| Advertência | Com indicação de prazo para adoção de medidas corretivas |
| Multa simples | Até 2% do faturamento no último exercício, limitada a R$ 50 milhões por infração |
| Multa diária | Com limite total de R$ 50 milhões por infração |
| Publicização da infração | Divulgação pública da irregularidade |
| Bloqueio de dados | Suspensão temporária do banco de dados envolvido |
| Eliminação de dados | Exclusão permanente dos dados tratados irregularmente |
2. Custo financeiro dos incidentes de segurança
O risco não vem apenas das multas regulatórias. De acordo com o relatório Cost of a Data Breach 2025, da IBM, o custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões em 2025, ante R$ 6,75 milhões em 2024, representando um aumento de 6,5%. Esse custo inclui investigação forense, notificação de titulares, honorários jurídicos, indenizações, perda de negócios e recuperação da reputação.
3. Responsabilidade civil pelos danos aos titulares
O STJ consolidou entendimento de que a responsabilidade civil por vazamento independe de culpa, nos termos do artigo 42 da LGPD. Isso significa que, mesmo que a empresa tenha adotado medidas de segurança, um vazamento pode gerar obrigação de indenizar. Ações coletivas movidas por associações de defesa do consumidor tornam esse risco ainda mais relevante para o varejo.
4. Perda de contratos e oportunidades de negócio
A conformidade com a LGPD tornou-se critério de qualificação para fornecedores. Grandes redes varejistas e operadores de shoppings exigem de seus parceiros evidências de adequação. Não estar em conformidade pode significar perder contratos relevantes, ser excluído de processos licitatórios ou removido de programas de credenciamento.
5. Impacto reputacional
O impacto reputacional costuma ser imediato e, muitas vezes, mais difícil de reverter do que o impacto financeiro. Um incidente de vazamento de dados pode danificar a confiança do consumidor por anos.
Como estruturar governança de dados
A governança de dados é o processo contínuo que garante segurança, transparência e conformidade das informações em qualquer negócio. O fluxograma abaixo apresenta as cinco etapas fundamentais para estruturar uma governança em conformidade com a LGPD.
Etapa 1: Mapeamento de dados (Data Mapping)
Tudo começa pelo inventário. Antes de qualquer outra ação, a empresa precisa responder: Quais dados pessoais coletamos? De onde vêm? Onde estão armazenados? Com quem são compartilhados? Por quanto tempo ficam retidos? Esse mapeamento deve ser documentado no Registro das Atividades de Tratamento (RAT), exigido pelo artigo 37 da LGPD para organizações de médio e grande porte.
Etapa 2: Avaliação de risco e bases legais
Com o mapeamento em mãos, o próximo passo é avaliar cada atividade de tratamento sob dois ângulos: qual é a base legal que justifica o tratamento e qual é o nível de risco para o titular. Para tratamentos de alto risco, como uso de biometria ou criação de perfis detalhados de consumo, a legislação recomenda a elaboração de um RIPD (Relatório de Impacto à Proteção de Dados Pessoais).
Etapa 3: Políticas e controles
Com o mapeamento e a avaliação de risco concluídos, é hora de formalizar. Isso inclui: Política de Privacidade pública, política interna de proteção de dados, contratos com operadores (art. 39 da LGPD), procedimentos de resposta a solicitações de titulares (prazo de 15 dias) e protocolo de resposta a incidentes de segurança.
Etapa 4: Treinamento e cultura
A tecnologia e os documentos são necessários, mas insuficientes sem pessoas capacitadas. Estudos do setor de segurança da informação indicam consistentemente que erros humanos estão na origem da maioria dos incidentes de dados. No varejo, o treinamento precisa alcançar caixas e operadores de PDV, equipes de atendimento, times de marketing, profissionais de TI e a liderança estratégica.
Etapa 5: Monitoramento contínuo
A conformidade com a LGPD não é um projeto com data de término, é um processo contínuo. As empresas mais maduras em governança de dados realizam auditorias internas periódicas, revisão do RAT ao menos uma vez por ano e manutenção de canal de comunicação aberto entre DPO, área jurídica, TI e marketing.
Bases legais e avaliação de risco
A LGPD prevê dez bases legais. No varejo, as mais utilizadas são as quatro abaixo. Cada uso de dados precisa ter um motivo claro e juridicamente justificável.
O titular autoriza expressamente o tratamento. Exige que seja livre, informado, inequívoco e registrado. Caixas pré-marcadas não configuram consentimento válido.
Tratamento necessário para cumprir uma compra ou serviço contratado. Base adequada para dados usados diretamente na entrega do produto ou serviço.
Quando há interesse legítimo do controlador, desde que não sobreponha os direitos do titular. Exige análise de proporcionalidade e documentação adequada.
Manutenção de notas fiscais por determinação fiscal, por exemplo. A lei em si sustenta o tratamento, mas não autoriza finalidades adicionais.
Utilizar uma base legal inadequada por desconhecimento, o que pode invalidar todo o tratamento realizado. Coletar CPF para nota fiscal e usar o mesmo CPF para envio de e-mail marketing sem consentimento específico é desvio de finalidade, uma das infrações previstas na LGPD.
LGPD aplicada ao marketing e CRM
O marketing é, ao mesmo tempo, uma das funções mais beneficiadas pelo uso de dados e uma das que mais geram riscos de conformidade. Entender o que a LGPD permite e proíbe no marketing é essencial para evitar multas, proteger a reputação da marca e construir relacionamentos transparentes com os consumidores.
Consentimento no marketing digital
Para envio de comunicações de marketing direto (e-mail, SMS, push, WhatsApp) a base mais adequada, na maioria dos casos, é o consentimento. O opt-in precisa ser: livre, informado, inequívoco e registrado. Além disso, o processo de opt-out precisa ser tão simples quanto o opt-in.
Dados de terceiros e listas adquiridas
A alegação de que “o fornecedor garantiu que os dados eram limpos” não exime a empresa de responsabilidade perante a ANPD. A empresa controladora é responsável por garantir que os dados foram coletados com base legal válida e isso precisa estar documentado.
Publicidade comportamental e cookies
O banner de cookies não é apenas uma formalidade visual: é o mecanismo pelo qual o consentimento para cookies não essenciais é coletado. O banner deve aparecer antes que qualquer cookie não essencial seja instalado, o usuário deve ter a opção de rejeitar sem penalidade, e a escolha feita precisa ser armazenada e respeitada.
Compartilhamento com plataformas de anúncios
O compartilhamento de listas de clientes com plataformas como Meta Ads ou Google Ads para criação de públicos personalizados envolve transferência de dados para terceiros. Esse fluxo precisa estar previsto na política de privacidade, ter base legal adequada e, idealmente, estar coberto por um contrato de operador com a plataforma de publicidade.
Como avaliar a maturidade da sua empresa
O comparativo abaixo mostra o nível ideal de maturidade LGPD em cinco dimensões versus a média observada no varejo brasileiro, com base em diagnósticos realizados pela Data Guide.
Modelo de maturidade em quatro níveis
A maioria das empresas varejistas de médio porte no Brasil ainda opera entre os níveis Inicial e Em desenvolvimento, segundo diagnósticos realizados pela Data Guide. As empresas que avançarem mais rapidamente terão vantagem competitiva concreta, especialmente na relação com grandes fornecedores e parceiros internacionais que exigem conformidade como critério de homologação.
Checklist prático de LGPD para varejo e shoppings
Este checklist consolida as principais ações que uma empresa varejista ou administradora de shopping precisa executar para alcançar conformidade básica com a LGPD. Clique nos itens para marcá-los como concluídos.
Boas práticas para reduzir riscos
Privacy by Design na abertura de novas lojas e canais
Toda vez que um novo canal de coleta de dados for implantado, as implicações de privacidade devem ser avaliadas antes do lançamento, não depois. Isso evita que sistemas sejam construídos com vulnerabilidades estruturais que depois exigem retrabalho custoso.
Minimização de dados como princípio operacional
A LGPD consagra o princípio da necessidade: coletar apenas os dados estritamente necessários para a finalidade informada. Na prática, isso significa revisar formulários de cadastro para eliminar campos desnecessários, questionar se a data de nascimento completa é realmente necessária quando apenas a faixa etária seria suficiente, e evitar manter históricos de compra por períodos superiores ao que a operação exige. Menos dados, quando bem utilizados, significam menos risco e mais eficiência operacional.
Pseudonimização de bases analíticas
Para fins de análise de comportamento de consumo e desenvolvimento de modelos preditivos, é possível e recomendável trabalhar com bases pseudonimizadas, nas quais os identificadores diretos (CPF, e-mail, nome) são substituídos por códigos. Isso reduz significativamente o risco em caso de vazamento.
Gestão do ciclo de vida dos dados
Dados sem uso são risco sem benefício. Estabelecer e executar uma política de retenção e descarte, determinando por quanto tempo cada tipo de dado é mantido e como é eliminado ao final desse prazo, é uma das medidas mais eficazes para reduzir a superfície de risco da empresa.
Transparência como diferencial competitivo
Empresas que comunicam de forma clara como usam os dados dos clientes e que respeitam as preferências de privacidade constroem confiança. Pesquisas do setor mostram que consumidores tendem a compartilhar mais dados com empresas que percebem como transparentes e seguras. A conformidade com a LGPD, portanto, não é apenas uma obrigação legal: é uma vantagem competitiva na relação com o consumidor.
FAQ: perguntas frequentes
Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais de pessoas físicas no Brasil, independentemente do porte. No entanto, a lei prevê tratamento diferenciado para microempresas e empresas de pequeno porte, com obrigações simplificadas em algumas áreas, como a dispensa da obrigatoriedade do RIPD em determinados casos. Ainda assim, as obrigações fundamentais (política de privacidade, atendimento a titulares, segurança básica) se aplicam a todos.
Não automaticamente. O CPF coletado para fins de nota fiscal ou programa de fidelidade tem uma finalidade específica. Usá-lo para envio de marketing direto requer base legal própria, em geral o consentimento explícito do titular para esse fim. A coleta de dados para uma finalidade e o uso para outra, sem informação adequada ao titular, configura desvio de finalidade, uma das infrações previstas na LGPD.
Sim, quando capturam imagens de pessoas físicas identificáveis. Câmeras com reconhecimento facial ou com software de análise comportamental coletam dados biométricos, considerados sensíveis pela LGPD, e exigem bases legais e controles muito mais rigorosos, além de informação clara ao consumidor sobre o monitoramento.
A ANPD estabeleceu, por meio da Resolução CD/ANPD nº 2/2022, que incidentes de segurança relevantes devem ser comunicados à autoridade em até 3 dias úteis após a ciência do incidente. A comunicação deve incluir a natureza dos dados afetados, o número estimado de titulares impactados, as medidas adotadas e os riscos relacionados ao incidente.
Sim. Ao conectar um dispositivo à rede, o usuário fornece dados (como o identificador do dispositivo e o horário de conexão) que podem ser tratados para análise de fluxo, personalização de ofertas ou outras finalidades. A política de privacidade do shopping precisa informar claramente quais dados são coletados via Wi-Fi, com que finalidade e por quanto tempo são retidos.
Não. O varejista permanece como controlador dos dados, mesmo quando delega o tratamento a um fornecedor de CRM. Isso significa que ele é responsável por garantir que o fornecedor trata os dados em conformidade com a LGPD. O contrato com o fornecedor deve incluir cláusulas de proteção de dados, e a empresa deve ter mecanismos para verificar o cumprimento dessas obrigações.
Não. A LGPD permite que o encarregado (DPO) seja uma pessoa física ou jurídica, interna ou externa à empresa. Muitas organizações de médio porte optam por contratar esse serviço de forma terceirizada (DPO as a Service), o que reduz custos e garante acesso a conhecimento especializado. O essencial é que o DPO tenha autonomia para atuar, esteja disponível para contato pelos titulares e tenha canal de comunicação com a ANPD.