Aguarde, carregando...

Quinta-feira, 16 de Julho 2026
Carregando jogos...
Justiça

Defensoria encaminha à ANPD relatório sobre políticas de privacidade no comércio eletrônico e propõe diretrizes para o setor

Documento utiliza plataforma Decolar como estudo de caso e requer medida preventiva, fiscalização e publicação de guia para o setor; relatório também será encaminhado à Senacon

Correio Regional São Paulo
Por Correio Regional São Paulo
/ 0 acessos
Defensoria encaminha à ANPD relatório sobre políticas de privacidade no comércio eletrônico e propõe diretrizes para o setor
IMPRIMIR
Espaço para a comunicação de erros nesta postagem
Máximo 600 caracteres.

A Defensoria Pública do Estado de São Paulo, por meio do Núcleo Especializado de Direito do Consumidor (Nudecon), apresenta, nesta sexta (17), parecer à Agência Nacional de Proteção de Dados (ANPD) com pedido de adoção de medida preventiva para que a Decolar formule um plano de conformidade de sua política de privacidade. 

A instituição também pede que o caso seja utilizado como guia para eventual fiscalização e orientação do comércio eletrônico e para a elaboração de um manual com parâmetros mínimos destinados a todo o setor. 

O relatório que fundamenta a representação será encaminhado ainda à Secretaria Nacional do Consumidor (Senacon), para possível juntada a procedimento administrativo já em curso no órgão e para a atuação coordenada entre as instituições. 

Leia Também:

O Nudecon, coordenado pelos defensores públicos Estela Waksberg Guerrini e Luiz Fernando Baby Miranda, analisou quatro versões da política de privacidade da Decolar publicadas em maio de 2018, maio de 2021, junho de 2025 e junho de 2026. Segundo o relatório, as atualizações realizadas ao longo de oito anos não foram suficientes para corrigir irregularidades relacionadas à transparência e ao controle dos consumidores sobre seus dados pessoais. 

A versão mais recente reorganizou o conteúdo em onze seções e adotou linguagem mais acessível, mas, de acordo com a análise, não enfrentou as lacunas de fundo identificadas nas versões anteriores. O documento também aponta retrocessos na quantidade de informações oferecidas aos titulares de dados. 

Além da avaliação das práticas da Decolar, o relatório busca subsidiar a elaboração de diretrizes claras, uniformes e previsíveis para as empresas que atuam no comércio eletrônico. A proposta é que a ANPD estabeleça parâmetros mínimos sobre o conteúdo e os mecanismos que devem estar presentes em uma política de privacidade adequada à Lei Geral de Proteção de Dados Pessoais (LGPD). 

"Entende-se que uma resposta regulatória de alcance geral tende a ser mais efetiva do que a tutela judicial pontual, pois produz efeitos sobre todos os agentes econômicos do setor, garantindo concorrência justa e proteção mais abrangente ao conjunto dos consumidores e titulares de dados (LGPD, arts. 55-A e seguintes)", afirma a defensora pública Estela Waksberg Guerrini, coordenadora do Nudecon. 

Decolar como estudo de caso 

O procedimento do Nudecon foi instaurado a partir de informações constantes de procedimento administrativo aberto pela Senacon. Uma nota técnica elaborada pela Secretaria em abril de 2018 subsidiou os trabalhos iniciais do Núcleo. 

A análise considerou como parâmetros a Constituição da República, o Código de Defesa do Consumidor, o Marco Civil da Internet, a LGPD e as normas editadas pela ANPD. 

Segundo o relatório, as desconformidades verificadas na política da Decolar não representam necessariamente uma situação isolada, mas podem refletir dificuldades presentes no comércio eletrônico em geral. Entre elas estão a falta de individualização das operações de tratamento, o uso de consentimentos genéricos, a ativação automática de cookies e a ausência de informações suficientes sobre a transferência internacional de dados. 

Por esse motivo, o Núcleo pede que a representação seja recebida pela ANPD como insumo para monitoramento e que, se considerado pertinente, seja instaurado procedimento de fiscalização e orientação voltado ao comércio eletrônico, utilizando o caso da Decolar como parâmetro. 

O Nudecon argumenta que o pedido dialoga diretamente com a própria agenda da ANPD. O Mapa de Temas Prioritários da Agência para o biênio 2026-2027, aprovado em dezembro de 2025, já elenca os direitos dos titulares de dados como um dos focos de fiscalização para o período, incluindo o monitoramento do uso secundário de dados pessoais para publicidade direcionada e a verificação de que as empresas adotem, por padrão, o modelo mais protetivo disponível à privacidade dos usuários. Segundo o relatório, as práticas analisadas claramente demandam avaliação quanto à sua aderência aos objetivos regulatórios indicados pela ANPD. 

Principais irregularidades apontadas 

Um dos problemas identificados é a ausência de vinculação clara entre o dado coletado, a finalidade para a qual ele será utilizado, a base legal que autoriza o tratamento e os destinatários com quem a informação poderá ser compartilhada. 

De acordo com o relatório, esses elementos aparecem em partes separadas da política, dificultando que o consumidor consiga identificar qual dado é utilizado para determinada finalidade e com quais empresas ou parceiros ele poderá ser compartilhado. 

O documento também questiona a utilização de consentimento genérico, incorporado à aceitação integral do contrato de adesão, sem que o consumidor possa recusar separadamente tratamentos que não sejam necessários para a prestação do serviço contratado. 

Outro ponto é a política de cookies. Segundo o Nudecon, as quatro versões analisadas adotam a coleta automática, oferecendo apenas a possibilidade de desativação por meio das configurações do navegador. Não há um painel que permita ao usuário escolher separadamente cookies necessários, analíticos, publicitários ou destinados à formação de perfis. 

A redação da política de cookies atualmente vigente seria, em substância, a mesma de 2018, apesar da entrada em vigor da LGPD e da publicação de guia da ANPD sobre cookies e proteção de dados pessoais. 

A política também informa que tecnologias como web beacons* podem registrar os sites visitados e as buscas realizadas pelo consumidor fora do ambiente da empresa. Para o Nudecon, não há esclarecimento suficiente sobre a finalidade dessa coleta, seu período de armazenamento, eventual compartilhamento ou utilização para formação de perfis de comportamento. 

O relatório aponta ainda a ausência de um plano de resposta a incidentes de segurança. A versão mais recente passou a mencionar o tema, mas se limita a afirmar que a empresa adotará medidas para minimizar impactos em caso de incidente, sem detalhar prazos, procedimentos ou compromisso de comunicação ao consumidor e à própria ANPD, sem detalhar procedimentos ou compromissos de comunicação compatíveis com as obrigações previstas na LGPD. 

Direitos dos consumidores 

O relatório aponta ainda que a possibilidade de opt-out – mecanismo usado para recusar ou interromper determinado tratamento – permanece limitada ao cancelamento de mensagens promocionais. Não são apresentados mecanismos equivalentes para a revogação de consentimentos relacionados a cookies, marketing personalizado, compartilhamento com parceiros comerciais, análises comportamentais ou pesquisas de hábitos de consumo. 

A versão de junho de 2026 também retirou informações que estavam presentes na política anterior, tais como o direito à portabilidade dos dados, o prazo de dez dias úteis para resposta a pedidos de acesso e o prazo de cinco dias úteis para solicitações de retificação, atualização ou eliminação. 

Também foi suprimido o endereço físico para apresentação de requerimentos. Segundo o documento, consumidores sem conta ativa continuam encontrando barreiras para exercer seus direitos, pois são direcionados a áreas do site que pressupõem a existência de cadastro. 

Transferência internacional e dados de crianças e adolescentes 

A política informa que os servidores principais estão localizados nos Estados Unidos e faz referência genérica a outros países para atividades de backup e operações do grupo econômico. 

O relatório sustenta, porém, que não são identificados expressamente os mecanismos jurídicos eventualmente utilizados para autorizar a transferência internacional, os demais países receptores nem as salvaguardas adotadas para proteger os dados enviados ao exterior. 

Em relação a crianças e adolescentes, a versão de 2026 exige que a pessoa responsável pela reserva declare ter o consentimento de ao menos um dos pais ou do representante legal. Para o Nudecon, entretanto, não há mecanismo efetivo de verificação desse consentimento nem tratamento diferenciado quanto às finalidades, aos prazos de retenção, ao compartilhamento e à eliminação dos dados. 

O documento também aponta que nenhuma das quatro políticas identifica pelo nome ou pelo cargo o encarregado pelo tratamento de dados pessoais. As versões mais recentes apresentam apenas um canal eletrônico genérico para contato. 

Plano de conformidade 

No caso concreto, a Defensoria pede à ANPD a adoção de medida preventiva para que a Decolar apresente, em prazo razoável, um plano de conformidade. 

Entre as providências solicitadas estão a criação de uma matriz que relacione cada dado tratado à sua finalidade, base legal, destinatário e prazo de retenção; a adoção de gestão granular de cookies, com opt-in** para aqueles que não sejam estritamente necessários; e o detalhamento das transferências internacionais de dados. 

O pedido inclui ainda a identificação nominal do encarregado pelo tratamento de dados pessoais, o restabelecimento da referência à portabilidade e dos prazos de resposta aos consumidores, a criação de protocolo diferenciado para o tratamento de dados de crianças e adolescentes, e a adoção de um plano formal de resposta a incidentes de segurança, com prazos e comunicação obrigatória ao titular e à ANPD. 

A Defensoria ressalta que caberá à ANPD avaliar as questões apontadas e definir as possíveis providências administrativas aplicáveis ao caso. 

Orientação para todo o comércio eletrônico 

Além das medidas relacionadas à Decolar, a Defensoria pede que a ANPD elabore e publique um guia ou recomendação com parâmetros mínimos para as políticas de privacidade no comércio eletrônico. 

A orientação proposta deverá abranger, entre outros aspectos, a individualização entre dado, finalidade, base legal e destinatário; o consentimento granular e o opt-in para finalidades não essenciais; e a gestão de cookies por categoria. 

Também são sugeridos parâmetros sobre transferência internacional, proteção diferenciada de dados de crianças e adolescentes, identificação do encarregado e disponibilização de canais acessíveis para o exercício dos direitos dos titulares. 

Segundo o Nudecon, diretrizes gerais podem dar maior segurança jurídica às empresas, uniformizar a aplicação da legislação e permitir que os consumidores compreendam, na prática, quais dados são utilizados e como podem exercer seus direitos. 

O relatório enviado à Senacon poderá ser juntado ao procedimento administrativo que deu origem às apurações. A Defensoria também solicita que o Núcleo seja informado sobre as providências adotadas pelos dois órgãos. 

Os encaminhamentos ocorrem no Dia Nacional da Proteção de Dados, celebrado também nesta sexta (17).  

Por que tudo isso é importante para o consumidor? 

Proteger os dados pessoais é proteger o consumidor. No comércio eletrônico, as informações que a pessoa fornece influenciam os preços que ela vê, os anúncios que recebe e as ofertas que aparecem na sua tela. Quando a política de privacidade é clara e completa, o consumidor entende o que acontece com seus dados, sabe com quem eles são compartilhados e consegue decidir de forma consciente o que aceita e o que recusa. 

Uma boa política de privacidade também reequilibra a relação entre o consumidor e as grandes empresas de tecnologia. Sem transparência e sem mecanismos efetivos de controle, a pessoa perde a capacidade de exercer direitos básicos previstos na LGPD, como acessar, corrigir, portar ou eliminar seus dados. Garantir esses direitos significa dar ao consumidor mais liberdade de escolha e um controle real sobre as informações que circulam sobre ele no mundo digital. 

"Os dados pessoais viraram moeda no comércio eletrônico, e quem controla essas informações tem poder sobre o consumidor. A pessoa tem o direito de saber quais dados são coletados, para que servem e com quem são compartilhados. Sem essa transparência, ela perde o controle sobre a própria vida digital. Por isso, políticas de privacidade adequadas são proteção concreta ao consumidor, não uma formalidade jurídica". 

Nesse sentido, a iniciativa busca estimular maior transparência sobre o uso de dados pessoais no comércio eletrônico, permitindo que os consumidores possam verificar, de forma clara: 

Quais dados pessoais estão sendo coletados 
(ex.: localização, histórico de buscas, preferências de viagem, informações de navegação e comportamento online). 
 
Para quais finalidades esses dados serão utilizados 
(ex.: execução da compra, publicidade personalizada, análise de perfil de consumo ou compartilhamento com parceiros comerciais). 
 
Com quem os dados poderão ser compartilhados 
(ex.: empresas do mesmo grupo econômico, anunciantes, parceiros comerciais ou prestadores de serviços). 
 
Como exercer seus direitos previstos na LGPD 
(inclusive solicitar acesso, correção, eliminação de dados, revogação de consentimento e oposição a determinados tratamentos); 

Como controlar o recebimento de publicidade e o uso de cookies 
(escolhendo, sempre que possível, quais tipos de rastreamento deseja permitir e quais prefere recusar). 

* Web beacons: pequenas imagens invisíveis inseridas em páginas ou e-mails que permitem rastrear quando o conteúdo foi acessado, sem depender de cookies. São usadas, por exemplo, para saber se um e-mail foi aberto ou para associar a visita a sites parceiros ao perfil do usuário. 

**Opt-in e opt-out: termos usados para descrever mecanismos de consentimento. Opt-in é quando o consumidor precisa autorizar ativamente algo antes que aconteça (por exemplo, aceitar um cookie de publicidade). Opt-out é quando algo já acontece por padrão, e o consumidor precisa pedir para que pare (por exemplo, cancelar o recebimento de e-mails promocionais). 

Ajude o Correio a crescer e a melhorar!

FONTE/CRÉDITOS: Por Redação
Correio Regional São Paulo

Publicado por:

Correio Regional São Paulo

O Correio Regional São Paulo é um portal de notícias a serviço do estado de São Paulo. É gerenciado pela ComunicaConde Marketing & Imprensa. Um dos melhores portais de notícias do estado de São Paulo em 2024 e 2025 pelo Brasil Publisher Awards.

Saiba Mais
Termos de Uso e Privacidade
Esse site utiliza cookies para melhorar sua experiência de navegação. Ao continuar o acesso, entendemos que você concorda com nossos Termos de Uso e Privacidade.
Para mais informações, ACESSE NOSSOS TERMOS CLICANDO AQUI
PROSSEGUIR