LGPD para concessionária: o checklist mínimo para não ser multado em 2026

Sua loja coleta CPF, CNH, comprovante de renda e dados de financiamento todo dia. A LGPD se aplica a tudo isso. Veja o checklist real do que precisa ter — e o que pode multar.

Matheus Gobetti13 de abril de 20269 min de leitura

A LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) está em vigor no Brasil desde 2020, e as sanções administrativas são aplicadas pela ANPD desde julho de 2023. Em 2026 não existe mais "amanhã eu vejo isso" — qualquer loja de veículos que colete dado de cliente está dentro do escopo da lei.

Esse post explica o que a sua revenda obrigatoriamente coleta de dado pessoal, quais riscos isso gera, e o checklist mínimo para sua loja não estar exposta.

Aviso: este post é informativo. Para situações específicas (especialmente vazamento de dados, processos administrativos, ou estruturação completa de compliance), procure um advogado especializado em proteção de dados.

Quanto dado pessoal sua loja coleta — e nem percebe

Faça o exercício mental. Em uma venda típica, a loja coleta:

Do comprador: nome, CPF, RG, endereço, telefone, email, profissão, comprovante de renda, comprovante de residência, foto da CNH, dados bancários (se trade-in).
Do antigo proprietário (em troca/compra): nome, CPF, dados do veículo, comprovante de quitação.
Do lead que não fechou: mesmo bloco acima, mas captado em formulário do site, simulador de financiamento ou WhatsApp.
Indiretamente: mensagens de WhatsApp que ficam armazenadas, fotos enviadas, áudios, documentos compartilhados.
Se você manda proposta de financiamento para banco: repassa todo o dossiê acima para terceiro.

Isso é uma operação intensiva em dado pessoal sensível (renda, capacidade financeira, biometria via CNH). E todo esse fluxo está sob a LGPD.

O que a ANPD já está cobrando — com casos reais

A ANPD aplicou sua primeira multa por descumprimento da LGPD em 6 de julho de 2023 [1]. A empresa multada foi a Telekall Infoservice, no valor de R$ 14.400. As violações:

Art. 7º da LGPD: tratamento de dados pessoais sem base legal (a empresa oferecia listas de contatos de WhatsApp para campanhas eleitorais).
Art. 41 da LGPD: não havia indicação de encarregado de proteção de dados (DPO).
Art. 5º do Regulamento de fiscalização da ANPD.

A multa foi aplicada com base no Art. 52, II da LGPD, que limita penalidades para microempresas a 2% do faturamento. Para empresas maiores, o teto é R$ 50 milhões por infração [2].

A leitura do caso para um lojista de veículos:

A ANPD não está mirando só "big tech".
Microempresas estão no radar.
A simples ausência de um DPO indicado pode gerar multa, mesmo sem vazamento ou denúncia direta de cliente.

As 8 obrigações que sua loja precisa ter

Aqui está o mínimo viável de conformidade para uma revenda em 2026. Não é exaustivo, mas cobre o que pega multa primeiro.

1. Indicar um Encarregado de Proteção de Dados (DPO)

A LGPD exige (Art. 41) que toda empresa que trata dados pessoais indique um encarregado — profissional responsável pela interlocução com a ANPD e com os titulares de dados.

Não precisa ser profissional dedicado. Em loja pequena/média, pode ser o próprio sócio, gerente ou advogado externo terceirizado.
Precisa ser identificável publicamente. O nome e contato (email) do DPO devem estar na sua política de privacidade e disponíveis para clientes.

Se tem dúvida sobre obrigatoriedade, indique mesmo assim. Custo zero, evita risco automático.

2. Ter Política de Privacidade publicada e acessível

Documento que diz claramente ao cliente:

Quais dados você coleta
Para qual finalidade
Por quanto tempo armazena
Com quem compartilha (ex.: bancos parceiros para financiamento)
Como o cliente pode exercer direitos (acessar, corrigir, excluir)
Quem é o DPO e como contatar

A política deve estar linkada no rodapé do site, acessível antes de qualquer formulário, e redigida em linguagem clara (não jurídica obscura).

3. Coletar Consentimento explícito e específico

A LGPD exige base legal para cada tratamento (Art. 7º). As bases mais comuns no varejo automotivo:

Consentimento — para newsletter, marketing, simulação de financiamento (transferência de dados a terceiros).
Execução de contrato — para a venda em si.
Cumprimento de obrigação legal — para emissão de NF, transferência via Detran, etc.

O consentimento precisa ser:

Específico (não genérico "concordo com tudo")
Granular (separado por finalidade — marketing ≠ financiamento)
Documentado (registro de quando, como, e com qual texto foi obtido)

4. Permitir que o titular exerça direitos

O cliente tem direito de, a qualquer momento:

Pedir confirmação se você tem dados dele
Pedir acesso aos dados
Pedir correção de dados incompletos ou desatualizados
Pedir anonimização ou eliminação dos dados (em alguns casos)
Pedir portabilidade dos dados

Sua loja precisa de um canal claro para receber esses pedidos (email do DPO ou formulário no site) e responder em até 15 dias (Art. 19).

5. Reportar vazamentos para a ANPD

Se sua base for invadida, ou sua planilha de leads for compartilhada por engano, ou seu sistema de CRM for hackeado, você é obrigado a reportar à ANPD em prazo razoável (Art. 48). Em 2024 a ANPD passou a aplicar multa diária para empresas que ignoram essa obrigação.

Sinal de alerta: se sua loja não tem plano de resposta a incidente de dados (quem vai notificar a ANPD, em quanto tempo, com qual informação), está exposta.

6. Reter dados apenas pelo tempo necessário

Mantém o cadastro do cliente que comprou em 2018 até hoje "porque sim"? Sem base legal, isso viola o princípio da finalidade (Art. 6º).

Política de retenção sugerida:

Dados de venda: 5 anos (prazo de obrigações fiscais)
Dados de lead que não fechou: 6 a 12 meses
Dados de financiamento (se compartilhou com banco): conforme contrato com o banco

Depois desses prazos, anonimizar ou eliminar.

7. Tratar dados sensíveis com cuidado redobrado

A LGPD classifica alguns dados como sensíveis (Art. 5º, II): origem racial/étnica, religião, opinião política, saúde, biometria, dados genéticos.

No varejo automotivo, dois tipos viram sensíveis frequentemente:

Foto da CNH — contém biometria (foto + assinatura).
Comprovante de renda detalhado — pode conter referências a saúde (afastamento, auxílio-doença).

Esses dados precisam de base legal mais robusta (consentimento específico ou outra hipótese do Art. 11) e medidas técnicas reforçadas (criptografia, acesso restrito).

8. Garantir segurança técnica mínima

A LGPD exige medidas técnicas e administrativas adequadas (Art. 46). Para uma revenda média, isso significa, no mínimo:

Senhas fortes em todas as contas que acessam dados
2FA em sistemas críticos (CRM, banco, email corporativo)
Backup periódico
Não compartilhar dados via WhatsApp pessoal de funcionário (usar apenas WhatsApp Business da empresa, com registro)
Não imprimir documentação de cliente sem necessidade
Triturar (não jogar fora) papel com dado pessoal

Quanto custa uma multa real

As sanções administrativas estão tabeladas (Art. 52 da LGPD) [3]:

Sanção	Valor / Limite
Advertência	Sem multa, mas com indicação de prazo para correção
Multa simples	Até 2% do faturamento da empresa, com teto de R$ 50 milhões por infração
Multa diária	Mesmo teto de R$ 50 milhões, aplicada por dia de descumprimento
Publicização da infração	Obrigação de divulgar a infração publicamente
Bloqueio dos dados pessoais	Suspensão do uso até regularização
Eliminação dos dados	Apagar a base afetada
Suspensão parcial do banco de dados	Até 6 meses
Suspensão das atividades de tratamento	Até 6 meses
Proibição parcial ou total de tratamento	Mais grave — inviabiliza a operação

Para uma loja com faturamento anual de R$ 5 milhões, 2% = R$ 100.000 de multa por infração. Para uma rede com R$ 50 milhões, são R$ 1 milhão por infração.

E mais: a responsabilidade civil é independente da multa administrativa. O cliente lesado pode processar diretamente — e o Tribunal de Justiça de SP já reconheceu responsabilidade objetiva de concessionárias em vazamentos, com decisão confirmada pelo STJ [4]. Ou seja: o cliente não precisa provar culpa da loja. Basta provar o dano.

Checklist final para sua loja

Marque o que sua loja já tem:

Encarregado de Proteção de Dados (DPO) indicado e contato público
Política de Privacidade publicada no site e linkada no rodapé
Formulários do site com consentimento específico antes do envio
Simulador de financiamento com captura de consentimento separada
Canal de atendimento ao titular de dados (email do DPO)
Plano de resposta a vazamento documentado
Política de retenção de dados (com prazos definidos)
Sistema com controle de acesso por usuário (cada vendedor com login próprio)
2FA habilitado em CRM, banco, email corporativo
Backup periódico testado (não só configurado)
Treinamento básico de equipe sobre LGPD

Se você marcou menos de 6 itens, sua loja está em risco maior do que parece.

A defesa mais eficaz é o registro. Mesmo que algo dê errado, ter documentado que você coletou consentimento, indicou DPO, manteve política de privacidade e respondeu a pedidos de titular reduz drasticamente o valor da multa na dosimetria da ANPD. O regulador trata muito diferente quem está se esforçando vs quem ignora.

Como o sistema pode ajudar (e o que ele não faz por você)

Sistemas de gestão modernos (incluindo a Moovyi) costumam vir com:

Captura automática de consentimento em formulários e simuladores de financiamento (com registro de timestamp e texto exibido)
Audit trail de quem acessou qual dado e quando (relevante para a ANPD em caso de incidente)
Criptografia de dados sensíveis (CPF, dados de financiamento)
Política de retenção configurável (auto-anonimização após X dias)
Backup automático dos dados do tenant

Mas o que o sistema NÃO faz por você:

Não indica seu DPO
Não escreve sua política de privacidade
Não responde aos pedidos do titular no seu lugar
Não treina sua equipe

Sistema cobre a parte técnica e operacional. A parte de governança e processo continua sendo sua responsabilidade.

Resumo em uma linha

LGPD se aplica integralmente à sua loja de veículos — você coleta dados sensíveis todos os dias. Os 8 itens do checklist acima são o mínimo absoluto para 2026. Sem isso, sua exposição é real, e a multa pode ser brutal.

Veja como a Moovyi trata dados de cliente

Captura de consentimento LGPD, audit trail, criptografia e backup com proteção de CPF — incluso em todos os planos.

Saiba mais →

Fontes

ANPD aplica a primeira multa por descumprimento à LGPD — Notícia oficial da Agência Nacional de Proteção de Dados, julho/2023. Caso Telekall Infoservice, R$ 14.400. gov.br/anpd
Regulamento de Dosimetria e Aplicação de Sanções Administrativas — ANPD. Estabelece os critérios para cálculo de multas. Notícia oficial · Página da ANPD
Lei nº 13.709/2018 (LGPD) — texto integral da Lei Geral de Proteção de Dados Pessoais, Art. 52 sobre sanções. Planalto.gov.br
Análise de sanções da LGPD no Brasil em 2026 — Compilação de casos, multas e jurisprudência. Itshow.com.br · Multas LGPD — Barbieri Advogados

Continue lendo

Mercado13 de abril de 20267 min de leitura

Elétricos e híbridos no Brasil em 2026: o que o lojista de usados precisa saber

BYD vende 460 carros eletrificados por dia. O segmento explodiu 193% em um ano. Veja o que isso significa pra quem trabalha com carro usado — e o que vai chegar no seu pátio nos próximos meses.

Ler artigo →

Mercado13 de abril de 20266 min de leitura

Frota envelhecida no Brasil em 2026: por que isso é boa notícia pra revenda de usados

A idade média da frota brasileira é de quase 11 anos — recorde histórico. Veja por que isso aponta pra um mercado de usados em expansão estrutural, e como o lojista pode se posicionar.

Ler artigo →

Mercado13 de abril de 20268 min de leitura

LGPD para revenda de veículos em 2026: o que sua loja tem que fazer

Sua loja guarda CPF, CNH, comprovante de endereço, contato e renda de centenas de clientes. Em 2026, ignorar a LGPD virou risco real de multa. Veja o que é obrigatório e como se adequar.

Ler artigo →