Jurídico e segurança

LGPD para quem vende conteúdo digital: o que saber

Guia prático de LGPD para quem vende conteúdo digital: quais dados um bot trata, direitos do cliente, checklist de conformidade e sanções da ANPD.

Ilustração de um escudo com um símbolo de cadeado sobre um celular e ícones de documento e engrenagem, representando proteção de dados pessoais no comércio digital

Se você vende conteúdo digital e cobra por PIX, cartão ou qualquer outro meio automatizado, você trata dados pessoais todos os dias, mesmo sem perceber. Nome de perfil, número de telefone, histórico de compra: cada um desses itens entra na definição legal de dado pessoal, e a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) se aplica a você independente do tamanho da operação. Este guia explica, em termos práticos, quais dados você trata, o que a lei exige e o que fazer para vender em conformidade.

Este artigo é um guia informativo, não substitui orientação jurídica personalizada. Para uma operação maior ou uma dúvida específica, consulte um advogado especializado em proteção de dados.

O que é a LGPD e por que ela vale para quem vende no Telegram

Resposta primeiro: a LGPD é a lei federal que regula como dados pessoais podem ser coletados, usados e armazenados no Brasil, e vale para qualquer pessoa ou empresa que trate esse tipo de dado, incluindo quem vende conteúdo digital por conta própria. Fonte: Lei 13.709/2018, Planalto.

A lei não exige um faturamento mínimo nem um número mínimo de clientes para se aplicar. Se você usa um bot para gerar cobrança PIX e liberar acesso a um grupo, você já está tratando dado pessoal (o ID de usuário do Telegram, no mínimo) desde a primeira venda. O tamanho da operação muda a complexidade das obrigações, não se elas existem.

Quais dados você trata sem perceber

A maioria de quem vende conteúdo digital pelo Telegram acha que "não tem dado sensível" porque não pede CPF nem endereço. Mas a LGPD define dado pessoal de forma ampla: qualquer informação relacionada a pessoa natural identificada ou identificável.

No fluxo comum de um bot de vendas, isso inclui:

  • ID de usuário e nome de perfil do Telegram, coletados automaticamente quando alguém interage com o bot.
  • Telefone, quando o gateway de pagamento pede o número para gerar a cobrança PIX.
  • Histórico de compra, o registro de quem pagou o quê e quando, guardado para conferência e para fins fiscais.
  • Mensagens trocadas com o bot ou com você, se ficarem armazenadas além do necessário para o atendimento.

Caso de borda: mesmo um cliente que nunca finaliza a compra, mas chega a interagir com o bot (por exemplo, gera uma cobrança e não paga), já teve um dado pessoal tratado. O tratamento começa na coleta, não na venda concluída.

As bases legais que autorizam esse tratamento

Toda coleta de dado pessoal precisa se apoiar em uma das bases legais previstas na LGPD. Para quem vende conteúdo digital, as duas mais relevantes no dia a dia são:

  1. Execução de contrato: você pode tratar o telefone e o histórico de compra do cliente porque isso é necessário para processar o pagamento e entregar o que foi vendido. Não precisa de consentimento separado para essa parte.
  2. Consentimento: para qualquer uso além do necessário à venda em si, como disparar promoção por mensagem direta ou reter o contato depois de o cliente sair do grupo, você precisa de consentimento específico e informado, não um "aceite" genérico escondido nos termos.

Contra-argumento honesto: ter uma base legal para coletar não significa que você pode guardar o dado para sempre ou usá-lo para qualquer finalidade. Uma base legal cobre uma finalidade específica; se você quer usar o dado para outra coisa, precisa de outra base (normalmente, consentimento novo).

Os direitos do titular que você precisa respeitar

Quem compra de você (o titular do dado, na linguagem da lei) tem direitos que você é obrigado a atender quando acionado:

  • Confirmação e acesso: saber se você trata os dados dele e quais são.
  • Correção: pedir para corrigir dado incompleto ou desatualizado.
  • Eliminação: pedir para apagar dados tratados com base em consentimento, quando esse consentimento é revogado.
  • Portabilidade: pedir os dados num formato que ele possa levar para outro serviço, em casos previstos pela lei.
  • Revogação de consentimento: retirar a autorização dada para uma finalidade específica, a qualquer momento.

Na prática, para uma operação pequena, isso significa ter um canal simples (um e-mail ou contato fixado no bio do canal) onde o cliente consegue pedir isso e você consegue responder em prazo razoável, sem precisar de um sistema complexo.

Checklist prático de conformidade

Um roteiro objetivo para quem vende conteúdo digital começar a se organizar:

  1. Liste os dados que você trata. ID de usuário, telefone, histórico de compra: escreva num documento simples o que você coleta e por quê.
  2. Escreva uma política de privacidade curta e honesta. Diga o que coleta, para que usa, por quanto tempo guarda e como o cliente entra em contato para exercer os direitos dele.
  3. Não guarde dado além do necessário. Se você não precisa mais do telefone de um cliente que cancelou há um ano e não tem obrigação fiscal de mantê-lo, apague.
  4. Confirme que o processamento do pagamento é feito por um gateway regulado, e não por uma planilha ou banco de dados amador guardando número de PIX e comprovante sem controle de acesso.
  5. Tenha um canal de contato visível para pedidos de acesso, correção ou eliminação de dados.
  6. Trate vazamento como prioridade, não como detalhe técnico. Se um dado vazar, você tem obrigação de comunicar o incidente à ANPD e, em casos de risco relevante, aos titulares afetados.

Quanto custa não cumprir: as sanções da ANPD

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar a LGPD e aplicar sanções. A lei prevê uma escala, da advertência à multa, e a ANPD normalmente segue essa ordem antes de chegar ao valor máximo:

Escada de sanções da ANPD, da mais branda à mais severa Gráfico de degraus crescentes representando cinco sanções possíveis, da mais branda à mais severa: advertência com prazo de correção, multa simples, multa diária, bloqueio dos dados pessoais, e eliminação dos dados pessoais. Cada degrau é mais alto que o anterior, indicando gravidade crescente. Escala de sanções da ANPD (artigo 52 da LGPD) Advertência Multa simples Multa diária Bloqueio dos dados Eliminação dos dados Multa simples pode chegar a 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração.
Fonte: Lei 13.709/2018, artigo 52.

O que pesa na dosimetria, segundo a lei: gravidade da infração, boa-fé de quem cometeu, vantagem obtida, condição econômica, reincidência e se houve cooperação com a fiscalização. Fonte: artigo 52, LGPD. Ou seja: quem se organiza antes de ser fiscalizado, mesmo de forma simples, reduz o risco de sanção severa.

Erros comuns de quem vende conteúdo digital

  • Guardar telefone e histórico de clientes numa planilha solta, sem controle de quem acessa, achando que "não é dado sensível porque não é CPF".
  • Reaproveitar contato coletado para pagamento em disparo de promoção, sem ter pedido consentimento específico para isso.
  • Não ter nenhum canal para o cliente pedir a exclusão dos próprios dados, o que já é, por si, uma falha de conformidade.
  • Confundir "sou pequeno, não serei fiscalizado" com "a lei não se aplica a mim": são coisas diferentes, e a segunda é falsa.

Conclusão

A LGPD não é um detalhe burocrático distante de quem vende conteúdo digital: ela se aplica desde a primeira venda processada por um bot, porque o próprio ato de vender já envolve tratar dado pessoal. O caminho prático é simples: saber o que você coleta, ter uma base legal para cada uso, dar ao cliente um jeito de exercer os direitos dele, e não guardar dado além do necessário.

A Afroditte processa o pagamento via gateway regulado, com split pass-through direto para a sua conta, sem reter saldo nem dado além do necessário para a transação. Para entender como esse fluxo protege o seu dinheiro na prática, veja split de pagamento e pass-through e a página de segurança da Afroditte. Crie sua conta.

Perguntas frequentes

A LGPD se aplica a quem vende conteúdo digital como pessoa física ou MEI?

Sim. A LGPD não distingue porte nem regime tributário de quem trata os dados: se você coleta nome, telefone, e-mail ou qualquer outro dado pessoal de quem compra de você, mesmo como pessoa física ou MEI, você é controlador de dados e responde pelas obrigações da lei.

Quais dados eu trato sem perceber ao vender num bot do Telegram?

No mínimo o ID de usuário do Telegram, e normalmente também nome de perfil, telefone (se o gateway de pagamento exigir para o PIX) e o histórico de compras. Cada um desses itens é dado pessoal pela definição da LGPD, mesmo sem CPF ou endereço.

Preciso de um Encarregado de Dados (DPO) para vender conteúdo digital?

A lei não define um porte mínimo que dispensa a indicação, mas exige que todo controlador tenha um canal de comunicação com o titular dos dados. Para operações pequenas, esse canal pode ser você mesmo, desde que o contato esteja acessível na política de privacidade.

O que acontece se um cliente pedir para eu apagar os dados dele?

Você precisa atender ao pedido de eliminação, respeitando os prazos legais de guarda que já existem para outros fins (por exemplo, comprovantes fiscais de uma venda). Fora desses casos com base legal específica, o dado deve ser apagado quando o titular pedir.

Posso usar o número de telefone dos clientes para disparar promoções?

Só se isso estiver coberto por uma base legal válida, normalmente consentimento específico para essa finalidade. Usar um dado coletado para processar pagamento e reaproveitar para outra finalidade sem avisar o titular é o tipo de desvio de finalidade que a LGPD proíbe.

Qual a multa máxima que a ANPD pode aplicar?

Multa simples de até 2% do faturamento da empresa no Brasil no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração, segundo o artigo 52 da LGPD. Antes da multa, a ANPD costuma aplicar advertência com prazo para correção.

Um bot de vendas como a Afroditte assume minhas obrigações de LGPD?

Não. O bot processa os dados como operador (ou o gateway de pagamento assume esse papel na parte financeira), mas você continua sendo o controlador do relacionamento com o seu cliente e responde pelas obrigações da lei referentes a essa relação.

Pronto para vender no automático?

Monte seu funil no Telegram e receba com PIX na hora. R$ 0,69 por transação, sem mensalidade.

Criar conta

Continue lendo