Um mínimo de dados você deve guardar, por exemplo os pedidos associado ao email, endereço da pessoa por exemplo. Isso precisa estar seguro e cumprir as exigências da LGPD.

Obvio que na prática, uma empresa pequena, um site pequeno, dificilmente será fiscalizado.

Mas o que puder fazer para ja ir se enquadrando, acho valido.