Mateus está há nove anos com a oficina no bairro Castelo, em Belo Horizonte. Injeção eletrônica, diagnóstico, freios, suspensão. Três mecânicos, uma recepcionista, um estagiário. Clientes fixos da região, alguns vindos de outros bairros depois de ver avaliação no Google. Todo o atendimento, historicamente, registrado numa planilha Excel compartilhada num grupo de WhatsApp com os funcionários: nome completo, CPF, telefone, endereço, placa, modelo, histórico dos serviços prestados, observações do atendente. Eficiente. Rápido. Totalmente ilegal desde agosto de 2020.

Quarta-feira, 15:20. Chega um e-mail no celular enquanto ele está calibrando injetores num Jeep Renegade. Remetente oficial: [email protected]. Assunto: «Autoridade Nacional de Proteção de Dados — Denúncia Administrativa nº 2026.07.3412-ANPD — Oficina Castelo Auto — Solicitação de informações preliminares no prazo de 15 dias».

Ele abre o anexo. Um ex-funcionário — dispensado seis meses antes por reestruturação — apresentou denúncia formal à Autoridade Nacional de Proteção de Dados. Anexou duas capturas de tela do grupo de WhatsApp «Oficina Castelo — Equipe» com uma planilha «ClientesCompleta_2026.xlsx» contendo dados completos de 1.400 clientes. Fundamento citado na denúncia: «tratamento de dados pessoais sem base legal, sem transparência ao titular, sem medidas de segurança proporcionais, sem registro de operações — infração aos artigos 6º, 7º, 9º, 46 e 48 da Lei Geral de Proteção de Dados (LGPD)».

Mateus não tem política de privacidade. Não tem registro de atividades de tratamento. Não tem encarregado. Nunca comunicou aos clientes que estava tratando seus dados. Não faz nem ideia se um vazamento precisa ser comunicado à ANPD em algum prazo. A oficina dele vive normalmente — como 90 % das oficinas independentes do Brasil.

A LGPD — Lei 13.709/2018, vigente desde 2020, colocou toda pessoa física ou jurídica que trata dados pessoais sob regime específico. A ANPD, criada em 2020 e tornada autoridade autônoma em 2022, aplica as sanções do artigo 52: advertência, multa simples até 2 % do faturamento da pessoa jurídica de direito privado no exercício anterior, limitada a R\$ 50 milhões por infração, publicização da infração, bloqueio ou eliminação dos dados, suspensão da operação.

O precedente existe e é concreto. Em julho de 2023, a ANPD aplicou sua primeira multa por descumprimento — contra a microempresa Telekall Infoservice, que oferecia listas de contatos de WhatsApp de eleitores para fins de campanha. Valor da multa: R\$ 14.400, limitada a 2 % do faturamento da microempresa conforme art. 52, II, LGPD. Infrações: tratamento sem base legal (art. 7º) e ausência de encarregado (art. 41), mais o art. 5º do Regulamento de Fiscalização. Em 2024 a ANPD investiu mais em alertas pedagógicos do que em multas pecuniárias, mas ampliou a fiscalização em 2025 focando em tecnologia, telefonia, educação, saúde e varejo — e varejo inclui oficina automotiva.

O que toda oficina brasileira deveria fazer antes que o próximo ex-funcionário (ou cliente insatisfeito, ou concorrente ressentido) aperte «enviar denúncia» no portal da ANPD.

O que diz a LGPD — e o que significa numa oficina

A Lei 13.709/2018 tem 65 artigos. Vamos aos cinco que decidem se a oficina do Mateus passa numa fiscalização de escritório ou não.

Artigo 6º — Princípios. O tratamento deve observar finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização. Planilha com dados de 1.400 clientes em grupo de WhatsApp compartilhado com qualquer mecânico que chegue à equipe viola todos os princípios de segurança e necessidade de um só golpe.

Artigo 7º — Bases legais. O tratamento de dados pessoais só pode ocorrer sob uma de dez bases legais — consentimento do titular, cumprimento de obrigação legal, execução de contrato, legítimo interesse, etc. Oficina mecânica trata dados do cliente na base execução de contrato (prestação do serviço) e obrigação legal (emissão de NF-e com CPF). Essas duas bases são suficientes e não precisam de consentimento, mas precisam estar documentadas e comunicadas ao cliente em política de privacidade acessível. A ausência dessa documentação foi um dos fundamentos da multa à Telekall em 2023 — mesma infração, mesmo artigo, oficina igualmente vulnerável.

Artigo 9º — Informação ao titular. O titular tem direito ao acesso facilitado às informações sobre o tratamento: finalidade, forma, duração, compartilhamento, responsabilidades, direitos. Um aviso afixado no balcão dizendo «seus dados são tratados para prestação do serviço e emissão de NF-e conforme LGPD — política completa em [QR ou URL]» resolve a obrigação do 9º em duas linhas.

Artigos 46 e 47 — Segurança e sigilo. O controlador (a oficina) deve adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, destruição, perda, alteração ou difusão. Planilha num grupo de WhatsApp acessível a qualquer número que tenha sido adicionado alguma vez falha nos dois testes: acessos não autorizados (ex-funcionários ainda no grupo) e difusão (captura de tela, encaminhamento para outros grupos).

Artigo 48 — Comunicação de incidente. Ocorrido um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador deve comunicar à ANPD e ao titular em prazo razoável. Não existe prazo fixo em dias; a ANPD orientou, em 2024, que «prazo razoável» tende a significar até 3 dias úteis para incidentes graves. Na denúncia do Mateus, não houve incidente técnico — houve exposição estrutural —, então o art. 48 não se aplica de pronto, mas a violação dos arts. 46 e 47 continua de pé.

E o artigo 52, a parte que dói: a multa. Multa simples de até 2 % do faturamento do exercício anterior, limitada a R\$ 50 milhões por infração; multa diária, limitada ao mesmo teto; publicização da infração (site da ANPD, reportado na imprensa); bloqueio dos dados; eliminação dos dados; suspensão parcial do banco ou da atividade de tratamento; proibição total ou parcial do exercício de atividades relacionadas ao tratamento.

Para uma oficina com faturamento de R\$ 900 mil/ano, 2 % são R\$ 18 mil — valor que um JEC típico não chega em cima e que a ANPD pode aplicar por uma só infração. Se houver agravantes (reincidência, má-fé, falta de mitigação), a multa pode escalar em dobro conforme o regulamento de dosimetria da Resolução CD/ANPD nº 4/2023.

Cinco medidas básicas que tiram a oficina da mira

1. Política de privacidade visível no balcão e no site

Um documento de duas páginas — modelo existe gratuito no portal da ANPD e em cartilhas do SEBRAE. Explica: que dados a oficina coleta (nome, CPF, telefone, endereço, placa, modelo, histórico), para quê (prestação do serviço, emissão de NF-e, contato pós-venda), base legal (execução de contrato + obrigação legal + legítimo interesse), prazo de retenção (5 anos para NF-e por exigência fiscal, 2 anos para histórico de serviço), compartilhamento (só com autoridades quando legalmente exigido), direitos do titular (acesso, correção, exclusão, portabilidade), como exercer (e-mail + telefone + endereço do encarregado). Imprimir, laminar, afixar no balcão. Linkar no site e no QR da fachada. Custo: zero.

2. Registro de Atividades de Tratamento (RAT) — art. 37

O artigo 37 obriga todo controlador a manter registro das operações de tratamento de dados. Um Excel (ironia) de uma aba basta, preenchido com: finalidade, base legal, categorias de titulares, categorias de dados, compartilhamentos, prazo de retenção, medidas de segurança. Atualizar sempre que muda alguma operação. Para uma oficina independente, 15 linhas cobrem tudo. Guardar num drive com acesso restrito. Cinco horas de trabalho uma vez. ANPD pede esse documento como primeira coisa em fiscalização — se existe, a conversa muda de tom imediatamente.

3. Encarregado (DPO) nomeado e informado ao titular

O artigo 41 obriga o controlador a nomear um encarregado pelo tratamento de dados. Para oficina independente, pode ser o próprio dono — não precisa ser profissional especializado. O essencial é que o nome, e-mail e telefone do encarregado estejam publicamente acessíveis: site, política de privacidade, balcão. A ANPD simplificou a exigência para micro e pequenas empresas via Resolução CD/ANPD nº 2/2022, mas a exigência de ponto de contato permanece. A Telekall Infoservice recebeu advertência formal justamente por não ter encarregado — sem multa por esse ponto específico, mas com sanção de advertência que hoje pesa como antecedente.

4. Medidas técnicas e administrativas — tira o WhatsApp do meio

Planilha de clientes fora do grupo de WhatsApp. Sistema com login individual por funcionário, revogação de acesso quando alguém sai, log de quem viu o quê. Backup. Dispositivos da oficina (não celular pessoal) para ver dados de cliente. Política simples por escrito: «dados de cliente não saem do sistema da oficina; proibido fotografar, encaminhar ou copiar para grupos externos». Assinada por cada funcionário no ingresso. Custo: software de oficina com controle de acesso + política impressa. Mekavo resolve os dois com a assinatura padrão.

5. Plano de resposta a incidente em papel

Se um dia um funcionário pega o celular e mostra dados para fora, se um cliente denuncia, se uma câmera da rua capta uma planilha no monitor — é incidente. O plano em papel (uma folha A4) descreve: quem recebe a notícia, em quanto tempo avalia risco, quando comunica à ANPD, quando comunica aos titulares afetados, como registra o incidente e a resposta. Sem esse plano, quando o incidente acontecer, o controlador está improvisando sob a lupa — e o art. 52 considera negligência como agravante de sanção.

E a oficina do Mateus?

A ANPD pede informações preliminares: política de privacidade, RAT, nome do encarregado, descrição das medidas técnicas. Mateus contrata um advogado com conhecimento em LGPD, monta tudo em quinze dias, responde dentro do prazo. A planilha do WhatsApp é removida imediatamente; o sistema migra para software de oficina com login; todos os funcionários assinam termo de confidencialidade.

A ANPD analisa, considera que a infração é de classe «leve a média» (exposição estrutural sem dano demonstrado aos titulares), aplica advertência formal com obrigação de adequação em 90 dias. Sem multa nesse round. Mas a oficina agora aparece num registro interno da ANPD como «empresa com histórico de processo administrativo» — qualquer denúncia futura começa com agravante de reincidência. A segunda infração não é perdoada.

Custo direto: advogado em torno de R\$ 6–10 mil, migração de sistema e tempo interno em torno de 40 horas, estresse de 60 dias. Sem multa. Mas a próxima vez pode ser multa direta — e o precedente Telekall mostra que mesmo microempresa paga, com valor limitado a 2 % do faturamento.

Quanto teria custado fazer as cinco medidas antes? Algumas horas, zero real de multa, e a tranquilidade de responder um e-mail da ANPD em cinco minutos com anexos prontos.

O Mekavo já faz boa parte disso

O sistema da oficina já armazena os dados do cliente num ambiente com controle de acesso por usuário. A política de privacidade imprimível está disponível como modelo. O histórico de quem viu o quê fica registrado. Os dados saem só via NF-e (base legal obrigação legal) e comunicação de retomada ao próprio cliente (base legal execução de contrato). O que você precisa adicionar, fora do sistema, é: a política afixada no balcão, o encarregado nomeado, o plano de incidente em uma folha, e a política interna de que planilha não sai em WhatsApp. O resto o Mekavo já faz.

Recursos oficiais

Última atualização: abril de 2026. As normas citadas estavam vigentes na data de publicação. Para uma oficina sob procedimento administrativo da ANPD, ou diante de incidente concreto de segurança, consulte advogado com atuação em direito digital e proteção de dados antes de responder comunicados da Autoridade.