Mercado

LGPD para revenda de veículos em 2026: o que sua loja tem que fazer

Sua loja guarda CPF, CNH, comprovante de endereço, contato e renda de centenas de clientes. Em 2026, ignorar a LGPD virou risco real de multa. Veja o que é obrigatório e como se adequar.

Matheus Gobetti8 min de leitura

Toda loja de veículos coleta, guarda e compartilha uma montanha de dados pessoais: CPF, CNH, comprovante de renda, endereço, referências, histórico de financiamento, fotos do cliente. É insumo básico da operação.

O que mudou é que, desde a Lei Geral de Proteção de Dados (LGPD), tratar esses dados sem cuidado deixou de ser "jeitinho aceitável" e virou infração passível de multa. E em 2026, a fiscalização da ANPD está mais ativa que nunca.

Esse post explica, sem juridiquês, o que uma revenda precisa fazer para estar em conformidade — e o que pode acontecer com quem continua ignorando.

O que é a LGPD, em uma frase

A LGPD (Lei nº 13.709/2018) é a lei brasileira que define regras sobre como empresas podem coletar, usar, armazenar e compartilhar dados pessoais. Ela vale pra qualquer empresa que opere no Brasil — inclusive sua revenda, independente do porte [1].

Não existe "loja pequena demais pra LGPD". Se você tem CPF de cliente num caderno, no WhatsApp, numa planilha ou num sistema, você está tratando dado pessoal — e está sujeito à lei.

Quais dados uma revenda típica coleta

Pra ficar concreto, vou listar o que uma revenda média guarda no dia a dia:

  • Dados cadastrais: nome completo, CPF, RG, data de nascimento, endereço
  • Dados de contato: telefone, WhatsApp, e-mail
  • Dados financeiros: renda declarada, comprovante de renda, extratos, referências bancárias
  • Documentos do veículo: CRLV, CNH do cliente, nota fiscal de venda
  • Histórico de comportamento: fotos tiradas no showroom, mensagens de WhatsApp, propostas enviadas
  • Dados de terceiros: referências pessoais, avalistas, cônjuge
  • Dados sensíveis (às vezes): biometria facial em vistoria digital, por exemplo

Cada item dessa lista é dado pessoal sob a ótica da LGPD. Alguns são dados sensíveis (biometria, por exemplo) e têm proteção ainda mais rigorosa.

As 5 obrigações básicas que sua loja precisa cumprir

Sem entrar em detalhe jurídico, esses são os pilares práticos:

1. Ter base legal para coletar cada dado

A LGPD exige que você tenha uma justificativa legal pra coletar cada dado. As mais comuns numa revenda são:

  • Execução de contrato: coleta pra fechar a venda ou financiamento (CPF, CNH, comprovante).
  • Consentimento: o cliente autoriza expressamente (ex: mandar promoção por WhatsApp).
  • Legítimo interesse: você coleta pra finalidade clara do negócio, sem violar direitos.

Se não tem base legal, não pode coletar. E você precisa saber qual é a base, por escrito.

2. Informar o cliente sobre o uso dos dados

Todo cliente tem direito de saber o que você coleta, por que coleta, por quanto tempo guarda e com quem compartilha. Isso se materializa num Aviso de Privacidade (ou Política de Privacidade) acessível — tipicamente no site da loja e numa versão impressa disponível no showroom.

3. Coletar apenas o necessário

A LGPD tem o princípio da minimização. Se você não precisa do dado pra operação, não pode pedir. Cadastro de "ficha de cliente" com 40 campos que nunca vão ser usados vira passivo — cada campo é um dado pessoal que você tem obrigação de proteger.

4. Proteger os dados que guarda

Se sua base de clientes está numa planilha em pendrive passando de vendedor em vendedor, ou num WhatsApp do celular pessoal do dono, você está descumprindo a LGPD. A lei exige medidas de segurança adequadas ao risco — que, na prática, incluem:

  • Sistema com controle de acesso (cada usuário vê só o que precisa)
  • Senhas fortes, não compartilhadas
  • Backup e proteção contra perda
  • Prazo definido pra apagar dado que não é mais necessário

5. Atender pedidos do titular

Qualquer cliente pode, a qualquer momento, pedir pra você:

  • Confirmar se você tem dados dele
  • Acessar quais dados você tem
  • Corrigir dados errados
  • Apagar dados (direito ao esquecimento, quando aplicável)
  • Portar os dados pra outra empresa

E você tem até 15 dias pra responder [2]. Se não responde, é descumprimento.

O que acontece se descumprir: as multas em 2026

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão que fiscaliza e pune. As sanções previstas pela LGPD incluem [3]:

SançãoDetalhe
AdvertênciaCom prazo pra corrigir
Multa simplesAté 2% do faturamento da empresa, limitada a R$ 50 milhões por infração
Multa diáriaCom o mesmo teto, por dia de descumprimento
Publicização da infraçãoNome da empresa divulgado como infratora
Bloqueio ou eliminação dos dadosImpedimento de continuar tratando a base
Suspensão parcial ou total da atividadeEm casos graves

A multa é calculada sobre o faturamento da empresa — então uma loja com R$ 10 milhões de faturamento anual tem exposição de até R$ 200 mil por infração. E uma infração pode ser um único vazamento de base.

Multa por venda de dados já aconteceu. A ANPD já aplicou multa contra empresa que comercializava base de dados de clientes. Revenda que compra ou vende "lista de leads" está na mesma categoria — e o risco é real, não teórico.

Cenários reais que expõem a revenda

Vou listar situações comuns em lojas que são violações claras de LGPD:

Cenário 1: "Vou passar seu contato pro banco X, tá?"

Passar dados do cliente pra banco parceiro sem consentimento explícito e documentado é compartilhamento indevido. O fato de o cliente "estar buscando financiamento" não cria autorização automática pra você mandar o CPF dele pra 5 bancos.

Certo: registrar no contrato ou formulário assinado quais parceiros receberão os dados, e só compartilhar com os autorizados.

Cenário 2: "Tenho uma planilha com 2000 clientes antigos"

Base antiga acumulada de clientes que já fecharam (ou não fecharam) a venda, ainda guardada indefinidamente, sem política de descarte. Isso viola o princípio de finalidade e tempo de retenção.

Certo: definir prazo (ex: 5 anos após a última compra) e descartar automaticamente. Manter só o mínimo necessário pra obrigações legais (fiscais, contratuais).

Cenário 3: "O vendedor mandou foto do CPF do cliente no WhatsApp do grupo"

Foto de documento pessoal trafegando em grupo de WhatsApp do time, em celular pessoal, sem criptografia controlada, é violação de segurança. Se vaza, a responsabilidade é da loja.

Certo: documento trafegar apenas em sistema da empresa (com controle de acesso) e nunca em canal pessoal.

Cenário 4: "Não temos política de privacidade no site"

Todo site comercial precisa publicar aviso de privacidade visível, explicando o que coleta, por quê, por quanto tempo e com quem compartilha. Sem isso, qualquer formulário de contato do site já é coleta irregular.

Certo: aviso publicado no rodapé do site, acessível em um clique.

Como começar a se adequar (prático)

Checklist enxuto pra um lojista que quer sair do zero:

  1. Faça um inventário dos dados que você coleta hoje. Liste de onde vêm (site, showroom, WhatsApp, anúncio) e onde ficam guardados.
  2. Publique um aviso de privacidade no site da loja. Modelos prontos existem — o importante é ser verdadeiro sobre o que você faz.
  3. Inclua cláusula de LGPD nos contratos de compra e venda. Com as bases legais aplicáveis e canal pra exercer direitos.
  4. Revise seu sistema de gestão. Ele tem controle de acesso por usuário? Permite apagar dados de cliente quando solicitado? Se não, ele é parte do problema.
  5. Nomeie um encarregado (DPO). A LGPD exige um responsável — pode ser o próprio dono, um funcionário designado ou um serviço terceirizado. O importante é ter canal público de contato.
  6. Treine sua equipe. Vendedor que pega foto de documento pelo WhatsApp pessoal é um vetor de risco. Processo começa na pessoa.

O papel do sistema de gestão

Um sistema de gestão de loja de veículos ajuda na adequação LGPD de várias formas:

  • Controle de acesso por usuário: cada vendedor vê só os clientes atribuídos a ele.
  • Registro de consentimento: quando o cliente autorizou compartilhamento, fica registrado.
  • Descarte automático: dados de leads não convertidos são apagados após prazo definido.
  • Atendimento a pedidos do titular: exportar ou apagar dados de um cliente em poucos cliques.
  • Rastreabilidade: saber quem acessou qual dado e quando — essencial em caso de incidente.

Operação rodando em planilha solta e WhatsApp do time é, por definição, operação que não atende LGPD.

O que isso significa pra você

Se você é dono de loja em 2026, o recado é direto:

  • LGPD não é "coisa de empresa grande". Vale pra qualquer CNPJ que trate dado pessoal.
  • Multa existe e já foi aplicada. Não é só na teoria.
  • Fiscalização cresceu. ANPD aumentou equipe e está mais ativa em 2026 que nos anos anteriores.
  • Cliente está mais consciente. Ele sabe que tem direitos, e pode denunciar.

O bom: adequação não precisa ser dolorosa. Com os 6 passos do checklist acima, uma loja média sai do risco alto em semanas, não meses.

Sistema com LGPD por padrão

Controle de acesso, registro de consentimento, descarte automático. Tudo o que uma revenda precisa pra tratar dado com segurança — sem depender de planilha solta.

Saiba mais →

Fontes

  1. Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD) — Texto oficial da lei. STJ — Portal da LGPD
  2. Como a LGPD impacta sua loja de veículos — Revenda Mais, análise setorial. revendamais.com.br
  3. Multas na LGPD — valores e prazos — Compilação atualizada de sanções previstas pela ANPD. goadopt.io
  4. ANPD aplica primeira multa por venda de dados — Caso concreto de penalização. Consumidor Moderno
  5. Penalidades previstas pelo descumprimento da LGPD — IFBA, compilação didática. portal.ifba.edu.br