Plataforma

LGPD na oficina: como tratar dados de cliente e veículo

LGPD na oficina mecânica: quais dados de cliente e veículo exigem cuidado, o que a lei flexibiliza para pequenos negócios e como evitar multas e golpes.

R

Equipe Reparou

10 de mai. de 2026 · 7 min

Toda oficina lida com dado pessoal o dia inteiro, mesmo que ninguém ali chame isso assim: nome e CPF no cadastro, telefone e endereço na entrega, placa e chassi na ordem de serviço, foto do carro no checklist, localização de retirada combinada por WhatsApp. A LGPD (Lei 13.709/2018) não foi pensada só para banco, hospital ou rede social — ela vale igual para a oficina de bairro com três mecânicos e uma recepcionista. E o risco deixou de ser teórico: em 2026, um golpe batizado de "falso mecânico" já usou ordens de serviço reais, tiradas de oficinas em vários estados, para aplicar cobranças falsas em clientes por PIX — expondo, na prática, o que acontece quando o dado do cliente circula sem controle.

O que conta como dado pessoal na rotina da oficina

A lei define dado pessoal como qualquer informação relacionada a pessoa natural identificada ou identificável — um conceito propositalmente largo. Na oficina, isso cobre o óbvio (nome, CPF, RG, telefone, e-mail, endereço) e também o que costuma passar batido: a placa do veículo é considerada dado pessoal indireto, porque cruzada com outras bases (IPVA, multas, cadastro do Detran) permite chegar ao CPF do proprietário, segundo análise da Unirede sobre placa de veículo e LGPD. Some a isso o histórico de serviços do veículo, fotos do checklist com placa visível, e a geolocalização implícita em "buscar o carro às 18h no endereço X" — tudo isso é dado pessoal sob custódia da oficina, com as mesmas obrigações de qualquer outro.

Isso importa porque muda o ponto de partida da conversa: não é "minha oficina precisa se adequar à LGPD?", é "que partes da minha operação já tratam dado pessoal hoje, sem processo nenhum por trás?".

O golpe que mostrou o risco na prática

O caso mais didático do setor em 2026 não veio de auditoria nem de multa — veio de golpe. Segundo reportagem do Despachante DOK sobre o golpe do falso mecânico, o criminoso liga para a oficina se passando pelo dono do carro que está em serviço, alega ter trocado de número e pede a ordem de serviço "para adiantar o pagamento". De posse do documento — com nome do cliente, veículo e valor —, ele cria um perfil falso no WhatsApp com a foto da oficina e cobra o cliente real, que paga por PIX pensando estar pagando a própria oficina. O O Tempo confirmou casos do mesmo padrão em várias cidades, com o golpista se aproveitando de números de contato trocados e cobranças "fora do padrão" da oficina.

O ponto que interessa para este artigo não é o golpe em si — é a consequência jurídica. Enviar a ordem de serviço, com dados do cliente, para um número que ninguém validou é, pela LGPD, um vazamento de dados independentemente da intenção de quem enviou. A oficina enganada pelo golpista pode, ainda assim, responder administrativa e civilmente perante o cliente lesado.

Consentimento, finalidade e retenção: os três pilares práticos

Três princípios da lei resolvem 80% das dúvidas do dia a dia de uma oficina:

Consentimento específico. A LGPD rejeita autorização genérica tipo "aceito os termos" escondida no rodapé do orçamento. O cliente precisa saber, de forma clara, para que a oficina vai usar o telefone dele — lembrete de revisão, aviso de OS pronta, cobrança — e poder recusar usos que não interessam a ele, como reportado no guia da Correio Mecânico sobre LGPD em oficinas.

Finalidade e minimização. Colete só o que o serviço exige. Pedir CPF para emitir nota fiscal é finalidade legítima; guardar foto do documento "porque um dia pode precisar" não é. A mesma fonte destaca que comprar ou revender listas de contato de clientes, prática comum antes da lei, é hoje ilegal.

Retenção com prazo. Dado não é troféu — depois que a finalidade se esgota (garantia vencida, cliente inativo há anos), ele deveria ser eliminado ou anonimizado, salvo obrigação legal de guarda (nota fiscal, por exemplo, tem prazo fiscal próprio que se sobrepõe).

1

Mapear

Levantar quais dados a oficina coleta, onde ficam (sistema, papel, WhatsApp, planilha) e quem acessa

2

Consentir

Revisar o texto de autorização no cadastro e no orçamento, com finalidade explícita

3

Restringir

Limitar acesso a dado sensível por papel (recepção não precisa ver tudo que o gestor vê)

4

Atender

Criar canal simples para o titular pedir acesso, correção ou exclusão dos próprios dados

5

Responder

Ter um plano curto — quem avisa quem — para o caso de incidente ou suspeita de vazamento

Micro e pequena empresa: o que a lei flexibiliza (e o que não flexibiliza)

A maioria das oficinas brasileiras se enquadra como microempresa (receita bruta até R$ 360 mil/ano) ou empresa de pequeno porte (até R$ 4,8 milhões/ano) pelos critérios da Lei Complementar 123/2006, e é justamente para esse grupo que a Resolução CD/ANPD nº 2/2022 criou regras mais leves — sem isentar ninguém da lei. Segundo o regulamento publicado pela ANPD, agentes de pequeno porte:

  • não são obrigados a nomear um encarregado (DPO) formal, mas precisam manter um canal de comunicação com o titular de dados;
  • podem manter o registro de operações de tratamento de forma simplificada, usando modelo da própria ANPD;
  • têm prazo em dobro para comunicar incidentes de segurança à autoridade, exceto quando o incidente envolver risco relevante a direitos do titular;
  • podem adotar política de segurança simplificada, proporcional ao porte e volume de dados tratados.

Isso não vale, porém, para quem trata dado em alto risco ou faz parte de grupo econômico que ultrapasse os limites de faturamento — e não dispensa nenhuma oficina de ter consentimento válido, finalidade clara e resposta a incidente.

118 mil
oficinas independentes em atividade no Brasil
90%
dos consumidores dizem que proteção de dados pesa na confiança na empresa
2%
teto de multa da LGPD sobre o faturamento, por infração
Sindirepa Brasil, PwC Brasil, LGPD (Lei 13.709/2018, art. 52)

Direitos do titular: o que o cliente pode pedir e em quanto tempo

Direito do cliente (titular do dado)O que a oficina deve fazer
Confirmar se a oficina trata seus dadosResposta imediata, sem burocracia
Acessar os dados que a oficina guarda sobre eleEm até 15 dias, de forma clara e completa
Corrigir dado incompleto, inexato ou desatualizadoSem atraso indevido, mediante pedido simples
Pedir eliminação após o fim da finalidadeEliminar, salvo obrigação legal de guarda (ex.: fiscal)
Saber com quem o dado foi compartilhadoInformar fornecedores/parceiros envolvidos (ex.: seguradora)

Multas e fiscalização: o que muda daqui para frente

Até agora, a fiscalização da ANPD foi mais educativa do que punitiva — segundo levantamento da TI Inside sobre cinco anos de LGPD, até agosto de 2024 a autoridade havia aplicado 18 sanções administrativas no total, sendo apenas duas multas — ambas contra a mesma microempresa, somando R$ 14,4 mil — e nenhuma multa contra empresa privada em 2024. Mas o cenário está mudando: a ANPD passou a prever multas diárias em caso de descumprimento de medidas cautelares (Deliberação CD-10/2025), e a leitura do mercado é que a "fase educativa" está com os dias contados. O teto legal continua o mesmo desde 2018: até 2% do faturamento da empresa por infração, limitado a R$ 50 milhões — valor que, para uma oficina pequena, pode significar o fechamento das portas mesmo sem chegar perto do teto absoluto.

Como o sistema de gestão vira parte da solução

Grande parte do risco de LGPD em oficina não é malícia, é dado espalhado: cadastro numa planilha, OS impressa em cima do balcão, PDF de orçamento mandado por WhatsApp para o número que "parece certo". Centralizar o cadastro num sistema com controle de acesso por papel (quem vê o quê), trilha de auditoria (quem alterou o quê e quando) e um canal oficial para o cliente acompanhar a própria OS resolve, de um só golpe, boa parte da exposição — inclusive o golpe do "falso mecânico" descrito acima, porque o cliente deixa de depender de um PDF solto no WhatsApp e passa a acessar a ordem de serviço por um link seguro, pessoal, que só ele consegue abrir.

Portal do cliente com acesso à ordem de serviço por link seguro
Portal do cliente com acesso à ordem de serviço por link seguro · Tela do Reparou

É esse o racional por trás do Portal do Cliente do Reparou: acesso por magic-link, sem senha para vazar e sem app para instalar, com cada cliente vendo só o próprio veículo e a própria OS — nunca dado de outro cliente da oficina.

O artigo termina, mas a rotina não: revisar o texto de consentimento do orçamento, checar quem na equipe tem acesso a dado de cliente sem precisar, e treinar a recepção para nunca confirmar entrega de documento por número não cadastrado são ações de uma tarde, não de um projeto de seis meses — e é exatamente esse tipo de ajuste pequeno que separa a oficina exposta da oficina protegida.

Fontes e referências

  1. 01Sindirepa Brasil — Alexandre Mol assume presidência com meta de fortalecer 120 mil oficinas
  2. 02PwC Brasil — 90% dos consumidores brasileiros afirmam que a proteção de dados pessoais é fator de confiança
  3. 03ANPD (gov.br) — Resolução CD/ANPD nº 2, de 27 de janeiro de 2022
  4. 04TI Inside — Cinco anos da LGPD: sanções tímidas, riscos crescentes
  5. 05Despachante DOK — Golpe do falso mecânico: criminosos usam os dados da sua oficina para te enganar
  6. 06O Tempo — Clientes e oficinas mecânicas são alvos de novo golpe; veja como funciona
  7. 07Unirede — Série LGPD: a placa do seu carro e a LGPD, como se relacionam?
  8. 08Correio Mecânico — LGPD para oficinas mecânicas: proteja seu negócio e seus clientes

Sua oficina rodando como uma equipe de corrida

Orçamento no WhatsApp, fiscal incluído, portal do cliente e IA — tudo num plano só.