Todo dado de cliente que o varejo coleta — nome, CPF, e-mail, telefone, histórico de pedidos no CRM, comportamento de compra no e-commerce — é dado pessoal protegido pela LGPD (Lei nº 13.709/2018), e a Autoridade Nacional de Proteção de Dados (ANPD) intensificou a fiscalização do setor em 2026. Na prática, isso significa que governança de dados deixou de ser tema só do jurídico: cada acesso ao cadastro de clientes no ERP e cada formulário do e-commerce são pontos de conformidade que podem virar passivo se mal configurados.

Lei 13.709/2018marco da LGPD
até 2%do faturamento de multa (art. 52)
R$ 50 miteto por infração

Por que o varejo é alvo prioritário

O comércio é, por natureza, um grande tratador de dados pessoais. Um varejista com programa de fidelidade, e-commerce e CRM acumula bases que cruzam identificação, contato, hábitos de consumo e, muitas vezes, dados financeiros. A LGPD classifica esse tratamento como rotineiro e de risco relevante, justamente pela escala e pela sensibilidade do que é coletado.

A ANPD, que regula e fiscaliza a aplicação da lei, publicou ao longo de 2025 e 2026 orientações e abriu processos que colocam o varejo e o e-commerce no centro da atenção — de vazamentos de base de clientes a uso de cookies e marketing sem base legal adequada. A autoridade pode aplicar sanções que vão de advertência a multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, conforme o artigo 52 da Lei nº 13.709/2018.

Base legal: o conceito que organiza tudo

O ponto de partida da conformidade é a base legal. A LGPD exige que todo tratamento de dado pessoal tenha uma justificativa prevista em lei — e consentimento é apenas uma delas. Para o varejo, as bases mais usadas são:

  • Execução de contrato: processar o pedido, faturar e entregar a um cliente que comprou não exige consentimento separado — é a base da própria relação de compra.
  • Cumprimento de obrigação legal: guardar dados da nota fiscal pelo prazo fiscal é obrigação, não escolha.
  • Legítimo interesse: recomendações e antifraude podem se apoiar nessa base, desde que documentado o teste de proporcionalidade.
  • Consentimento: necessário para marketing ativo, newsletters e cookies não essenciais — e precisa ser livre, informado e revogável.

O erro mais comum no varejo é tratar tudo como consentimento e, ao mesmo tempo, não conseguir provar que ele foi obtido. Mapear qual base sustenta cada uso de dado é o primeiro entregável de governança.

Boas práticas no ERP e no e-commerce

Conformidade com a LGPD se materializa em configurações concretas, não em documentos guardados na gaveta. As práticas que mais reduzem risco no varejo:

  • Controle de acesso por perfil: nem todo funcionário precisa ver o CPF e o histórico completo do cliente. O ERP deve restringir o cadastro a quem tem necessidade real, com registro de quem acessou o quê.
  • Minimização: coletar apenas o dado necessário para a finalidade. Pedir dados extras no checkout sem propósito é exposição gratuita.
  • Atendimento aos direitos do titular: o cliente pode pedir acesso, correção ou exclusão dos seus dados, e a empresa tem prazo para responder. O sistema precisa permitir localizar e tratar esses pedidos com rapidez.
  • Retenção e descarte: dados não podem ser guardados para sempre — devem ser eliminados quando a finalidade se esgota, respeitados os prazos fiscais e legais.
  • Trilha de auditoria: registro de acessos e alterações no cadastro, essencial para demonstrar diligência à ANPD em caso de incidente.

Os números e referências que pautam a conformidade

  • Lei nº 13.709/2018 (LGPD): marco legal do tratamento de dados pessoais no Brasil.
  • Até 2% do faturamento, limitado a R$ 50 milhões por infração: teto da multa administrativa, conforme o artigo 52 da LGPD.
  • 2026: ano de intensificação da fiscalização do varejo e do e-commerce pela ANPD.
  • Open Finance e BCB: para o varejo que oferece crédito ou meios de pagamento, o compartilhamento de dados financeiros segue também a regulação do Banco Central, somando-se às exigências da LGPD.

Como a própria ANPD reforça em suas orientações, a conformidade com a LGPD é um processo contínuo de governança, e não um projeto com data de encerramento — a adequação precisa acompanhar cada nova coleta, integração e finalidade de uso.

Governança como vantagem, não só obrigação

Há um ângulo competitivo que o varejo costuma ignorar. Bases de dados bem governadas são bases confiáveis: cadastros limpos, sem duplicidade, com consentimento rastreável, valem mais para personalização e para a própria operação. A empresa que trata governança apenas como custo de compliance perde o ganho de qualidade. E, na era em que dados de cliente alimentam recomendação e crédito, a confiança do consumidor em como seus dados são tratados vira diferencial de marca.

O caminho prático é integrar a governança ao sistema que já roda a operação, em vez de criar um processo paralelo. Quando as regras de acesso, retenção e atendimento ao titular vivem dentro do ERP e do e-commerce, a conformidade acontece no fluxo do trabalho — não como uma camada burocrática que todos contornam.

Como a Onclick ajuda

O ERP Onclick incorpora a governança de dados ao próprio fluxo do varejo: o cadastro de clientes opera com controle de acesso por perfil e trilha de auditoria, a integração com o e-commerce via APIECOMM e com o KPL trata os dados de pedidos sob base legal definida, e as rotinas de retenção e atendimento aos direitos do titular ficam disponíveis para responder às exigências da LGPD e da ANPD. Assim, em vez de manter planilhas e políticas desconectadas do sistema, o varejista vê a conformidade com a Lei nº 13.709/2018 operacionalizada no mesmo ambiente onde vende, fatura e relaciona-se com o cliente.

Perguntas frequentes

Os dados de clientes no CRM e no e-commerce estão sob a LGPD?

Sim. Nome, CPF, e-mail, telefone, histórico de pedidos no CRM e comportamento de compra no e-commerce são dados pessoais protegidos pela LGPD, a Lei nº 13.709/2018. A Autoridade Nacional de Proteção de Dados (ANPD) intensificou a fiscalização do varejo em 2026. Cada acesso ao cadastro de clientes no ERP e cada formulário do e-commerce são pontos de conformidade que viram passivo se mal configurados.

Qual o valor da multa da LGPD para o varejo?

A ANPD pode aplicar sanções que vão de advertência a multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, conforme o artigo 52 da Lei nº 13.709/2018. Ao longo de 2025 e 2026, a autoridade publicou orientações e abriu processos que colocam o varejo e o e-commerce no centro da atenção, de vazamentos de base de clientes ao uso de cookies e marketing sem base legal adequada.

Quais bases legais o varejo pode usar para tratar dados de clientes?

A LGPD exige uma justificativa prevista em lei para cada tratamento, e consentimento é só uma delas. No varejo, as mais usadas são: execução de contrato (processar, faturar e entregar o pedido); cumprimento de obrigação legal (guardar dados da nota fiscal pelo prazo fiscal); legítimo interesse (recomendações e antifraude, com teste de proporcionalidade documentado); e consentimento, necessário para marketing ativo, newsletters e cookies não essenciais, devendo ser livre, informado e revogável.

Qual o erro mais comum do varejo na conformidade com a LGPD?

Tratar tudo como consentimento e, ao mesmo tempo, não conseguir provar que ele foi obtido. Muitas operações que se sustentam em execução de contrato ou obrigação legal acabam apoiadas indevidamente em consentimento frágil. Mapear qual base legal sustenta cada uso de dado é o primeiro entregável de governança. Sem esse mapeamento, a empresa fica exposta justamente nos tratamentos rotineiros, que a LGPD classifica como de risco relevante pela escala.

Quais boas práticas de governança de dados o varejo deve aplicar no ERP?

Conformidade se materializa em configurações concretas: controle de acesso por perfil, para que nem todo funcionário veja CPF e histórico completo, com registro de quem acessou o quê; minimização, coletando só o dado necessário; atendimento aos direitos do titular (acesso, correção e exclusão) dentro do prazo; retenção e descarte, eliminando dados quando a finalidade se esgota, respeitados os prazos fiscais; e trilha de auditoria de acessos e alterações, essencial para demonstrar diligência à ANPD.

A governança de dados pode ser vantagem competitiva no varejo?

Sim. Bases bem governadas são bases confiáveis: cadastros limpos, sem duplicidade e com consentimento rastreável valem mais para personalização e para a operação. A empresa que trata governança só como custo de compliance perde o ganho de qualidade. Na era em que dados de cliente alimentam recomendação e crédito, a confiança do consumidor em como seus dados são tratados vira diferencial de marca. A LGPD é processo contínuo, não projeto com data de encerramento.

Como a Onclick operacionaliza a conformidade com a LGPD no varejo?

O ERP Onclick incorpora a governança ao próprio fluxo do varejo: o cadastro de clientes opera com controle de acesso por perfil e trilha de auditoria; a integração com o e-commerce via APIECOMM e com o KPL trata os dados de pedidos sob base legal definida; e as rotinas de retenção e atendimento aos direitos do titular ficam disponíveis para responder à LGPD e à ANPD. Em vez de planilhas e políticas desconectadas, a conformidade com a Lei nº 13.709/2018 acontece no mesmo ambiente onde se vende e fatura.

Continue no pilar Conformar