Mini site de documentaçãoDeveloper Atlas

Entrada rápida para navegar arquitetura, APIs, operação e guias técnicos do projeto sem depender da estrutura do repositório.

53 notas

Procure por módulo, API, rota, fluxo operacional ou termo do projeto.

Guias técnicos/docs/guias/lgpd-conta-do-cliente-e-retencao

LGPD - Conta do Cliente e Retencao

Registrar como a plataforma trata exportação, solicitação de exclusão, anonimização e retenção mínima dos dados do cliente sem confundir operação com anonimização definitiva.

Recorte da seçãoGuia orientado por fluxo

Leitura pensada para explicar responsabilidades, ordem de execução e trechos reais do código com foco no fluxo da implementação.

Atualizado15 de abr. de 2026
Seções17
Tags5
guialgpdclienteprivacidaderetencao

Objetivo deste guia

Registrar como a plataforma trata exportação, solicitação de exclusão, anonimização e retenção mínima dos dados do cliente sem confundir operação com anonimização definitiva.

Princípio adotado

O sistema não trata dado reversível como se fosse anonimizado.

Leitura prática:

  • se um dado puder ser reidentificado por chave, tabela auxiliar ou processo interno, ele continua sendo dado pessoal;
  • nesse caso, o tratamento correto é pseudonimização, não anonimização;
  • a exclusão da conta do cliente não implica apagar automaticamente pedidos que precisem ser mantidos por obrigação operacional, auditoria ou base legal de conservação.

O que a conta do cliente já permite

Na área Minha conta > Privacidade, o próprio titular já pode:

  • gerar pacote de exportação da conta;
  • registrar solicitação de exclusão;
  • consultar, em linguagem direta, o que pode ou não continuar retido depois do tratamento.

Rotas públicas autenticadas dessa camada:

  • GET /api/ecommerce/account/lgpd/export
  • POST /api/ecommerce/account/lgpd/request-erasure

O que o painel já permite

No EcommPanel > Clientes > LGPD e dados, a operação interna já consegue:

  • listar solicitações abertas;
  • exportar dados de uma conta específica;
  • registrar solicitação por atendimento interno;
  • aprovar ou rejeitar a solicitação antes da execução;
  • executar anonimização controlada.
  • revisar política de retenção por categoria de dado.

Rotas administrativas:

  • GET /api/ecommpanel/customers/lgpd
  • PUT /api/ecommpanel/customers/lgpd/policies
  • GET /api/ecommpanel/customers/:customerId/lgpd
  • POST /api/ecommpanel/customers/:customerId/lgpd

Tabelas envolvidas

Conta e sessão

  • customer_accounts
  • customer_addresses
  • customer_sessions
  • customer_login_tokens
  • customer_audit_events
  • customer_lgpd_requests

Pedido

  • customer_orders
  • commerce_orders
  • commerce_order_events

O que acontece na exportação

O pacote exportado reúne:

  • cadastro da conta;
  • endereços vinculados;
  • pedidos vinculados à conta;
  • estado atual de privacidade;
  • trilha essencial de auditoria da conta.

Isso existe para inspeção do titular e para atendimento interno.

O que acontece na solicitação de exclusão

Quando a conta solicita exclusão:

  1. a solicitação entra em customer_lgpd_requests;
  2. a conta marca erasure_requested_at;
  3. a trilha de auditoria registra o pedido;
  4. a execução final pode ser feita pela operação interna.

O que acontece na aprovação

Solicitações de exclusão não seguem direto para execução.

Fluxo atual:

  1. a solicitação entra na fila;
  2. um perfil com permissão de revisão aprova ou rejeita;
  3. só depois disso a conta fica elegível para anonimização final.

Isso evita que qualquer operador execute o tratamento completo sem validação interna.

Importante:

  • solicitar exclusão não apaga tudo imediatamente;
  • primeiro o sistema registra o pedido e separa a conta para tratamento controlado.

O que acontece na anonimização operacional

Quando a operação executa a anonimização:

  • a conta é desativada;
  • senha, sessões e tokens são invalidados;
  • endereço e dados diretos da conta entram em remoção ou anonimização;
  • pedidos vinculados deixam de apontar para a conta;
  • snapshots de cliente e entrega no pedido passam a conter versão sanitizada;
  • o histórico operacional continua com o mínimo necessário para atendimento, auditoria e obrigações da operação.

O que permanece retido

Retenção mínima atualmente prevista:

  • identificador do pedido;
  • status e timeline operacional;
  • itens, totais e contexto comercial do pedido;
  • trilha necessária para auditoria da operação;
  • dados estritamente necessários para obrigação legal ou defesa do negócio.

Política de retenção

O painel agora mantém política explícita por categoria de dado.

Cada política define:

  • categoria técnica;
  • ação padrão: delete, anonymize ou retain_minimum;
  • prazo de retenção em dias;
  • base legal ou justificativa operacional;
  • se a política está ativa.

Exemplos já modelados:

  • conta do cliente;
  • endereços;
  • sessões;
  • códigos de acesso;
  • projeção de pedidos da conta;
  • pedido operacional consolidado;
  • timeline de eventos;
  • auditoria da conta.

O que não fazemos

  • não chamamos mascaramento reversível de anonimização;
  • não expomos dados de cliente em API pública;
  • não mantemos a conta ativa após anonimização;
  • não preservamos sessão, token ou endereço completo da conta depois do tratamento final.

Fingerprint, IP e logs

Metadados de segurança, como fingerprint técnico, IP e user-agent, devem ser tratados como dados sob regime de proteção.

Direção adotada:

  • uso restrito para segurança, antifraude, rate limit e auditoria;
  • retenção curta e finalidade específica;
  • preferência por hash ou HMAC em vez de persistência bruta quando a operação permitir.

Limite atual da solução

Esta fase já entrega:

  • exportação;
  • fila de exclusão;
  • aprovação antes da execução;
  • anonimização operacional;
  • retenção parametrizável por categoria de dado;
  • separação entre conta do cliente e pedido operacional.

Ainda não entrega:

  • vault separado para pseudonimização controlada;
  • aprovação em múltiplas camadas além da revisão atual;
  • automação por SLA para expurgo futuro.

Leitura seguinte