LGPD na oficina: imagens e dados em OS e test-drive

Fotos de veículos, gravações de câmeras, dados da CNH e telemetria viraram rotina na oficina — e também passivo se coletados/guardados sem base legal e sem controle. Este guia traduz a LGPD (Lei 13.709/2018) para o dia a dia do pós-venda, com procedimentos práticos para reduzir riscos em OS, garantia e test-drive.

Contexto jurídico e cenário do setor

A LGPD se aplica a qualquer dado que identifique pessoa, inclusive imagens (fotos/CFTV) e dados de condução (geolocalização, telemetria). No ambiente de concessionária/oficina, há múltiplos agentes de tratamento: a própria loja (controladora), fornecedores de DMS/ERP, plataformas de agendamento, seguradoras, bancos e montadoras.
Princípios-chave: necessidade, finalidade, minimização, segurança e prestação de contas. Bases legais típicas: execução de contrato (OS/garantia), legítimo interesse (controle de acesso/CFTV com avaliação de impacto), obrigação legal/regulatória (documentos fiscais/tributários) e consentimento (marketing, uso de imagem do cliente em redes sociais).
Dados sensíveis (ex.: biometria/facial, saúde em laudos) exigem maior proteção e base específica.

O que mudou / Problema que resolve

  • Fotos na OS (arranhões, hodômetro, peças substituídas) são úteis como prova e para garantia — mas devem ser limitadas ao necessário e guardadas pelo prazo compatível com a finalidade e exigências legais.

  • Test-drive: cópia/checagem da CNH, registro de horário/rota e termo de responsabilidade são práticas legítimas; publicar imagem do cliente ou o trajeto em mídia exige consentimento.

  • CFTV na recepção/boxes: válido para segurança e cadeia de custódia, desde que sinalizado, com acesso restrito e sem uso para finalidades incompatíveis (ex.: marketing sem consentimento).

  • Compartilhamentos com seguradoras, bancos e montadoras pedem contratos de operador (ou co-controladoria), cláusulas de segurança e rastreabilidade.

  • Direitos do titular (acesso, correção, eliminação, oposição) exigem canal e prazos internos. Sem processo, viram incidente reputacional.

Quem é impactado e casos típicos

  • Pós-venda/garantia: fotos na OS, vídeos de defeitos, laudos, notas com CPF, contato por WhatsApp.

  • Vendas/seminovos: avaliação com fotos do veículo/placa, test-drive, simulações de financiamento.

  • TI/DPD/Controladoria: DMS/ERP, integrações com montadora/seguradora, backup, logs e retention.

  • Marketing/CRM: pedido de consentimento, opt-out, disparos de campanhas, uso de imagem.

  • Jurídico/Compliance: contratos com operadores, RIPD quando necessário, resposta a titulares e incidentes.

Procedimentos práticos (passo a passo)

  1. Mapeie o fluxo de dados: OS → fotos → laudos → faturamento → garantia → arquivos. Identifique bases legais e terceiros envolvidos.

  2. Padronize a OS: campos mínimos, aviso de privacidade resumido (QR para a política completa) e checklist de fotos (o que pode/deve ser registrado).

  3. Test-drive seguro: termo com finalidades, responsabilidades, checagem de CNH (sem exceder o necessário), registro de entrega/devolução das chaves e, se houver telemetria, informar de forma clara.

  4. CFTV conforme LGPD: placas de aviso; câmeras voltadas ao ambiente de trabalho (não em áreas íntimas); retenção definida; acesso logado por perfil.

  5. Marketing com consentimento: formulário simples (papel ou digital) para uso de imagem/voz do cliente em redes sociais; guardar a prova do consentimento e permitir revogação.

  6. Contratos com fornecedores (operadores): DMS, armazenagem em nuvem, CRM, help desk — cláusulas de segurança, confidencialidade, notificação de incidentes, suboperadores e eliminação ao término.

  7. Segurança da informação: duplo fator nos sistemas; pastas segregadas para imagens de OS; criptografia/backup; política de BYOD/WhatsApp Business oficial.

  8. Retenção e eliminação: cronograma por tipo de documento (ex.: OS, imagens técnicas, garantias, documentos fiscais), alinhado a prazos legais/prescricionais aplicáveis. Ao vencer o prazo, eliminar ou anonimizar com registro da operação.

  9. Direitos do titular (DSR): canal visível (e-mail/formulário), SLA interno, roteiros para confirmar identidade e responder com segurança.

  10. RIPD quando necessário: para tratamentos de alto risco (ex.: biometria/facial, geolocalização sistemática), registre avaliação de riscos e salvaguardas.

  11. Planos de incidente: fluxo 24/7 para conter vazamentos, notificar a direção e, se for o caso, autoridades e titulares, com lições aprendidas.

Erros comuns e como evitar

  • Guardar “tudo para sempre”: define retenção e eliminação; manter além do necessário aumenta risco sem benefício.

  • Usar foto técnica em marketing sem pedido de consentimento específico.

  • WhatsApp pessoal de atendente: padronize número oficial, disclaimers e registro no DMS.

  • Câmera em área indevida (vestiário/banheiro) ou sem placa de aviso.

  • Contrato de operador genérico: inclua escopo, medidas de segurança, auditoria e devolução de dados.

Como o Escritório pode ajudar

A A Sarmento & Advogados Associados implementa programas LGPD sob medida para concessionárias: mapeamento (ROPA), revisão de OS/termos de test-drive, políticas de CFTV/WhatsApp, contratos com operadores, plano de incidentes e treinamentos práticos para equipes de recepção e garantia — além de suporte consultivo e contencioso, sem prometer resultados.

FAQ

1) Preciso de consentimento para fotografar o veículo na OS?
Não, quando a finalidade é executar o serviço/garantia e comprovar estado do veículo. Para uso publicitário, sim, peça consentimento.

2) Posso exigir cópia da CNH no test-drive?
Sim, de forma proporcional à finalidade (verificar habilitação/segurança). Evite coletar dados excessivos e proteja o armazenamento.

3) Por quanto tempo guardar imagens da OS/CFTV?
Depende da finalidade e dos prazos legais aplicáveis (tributários, civis, garantia). Defina um cronograma e cumpra-o.

4) Quem responde ao pedido de exclusão de dados?
O controler (a concessionária), via canal oficial. Em alguns casos, a eliminação pode ser recusada por obrigação legal ou defesa em processos.

5) Preciso nomear um Encarregado (DPO)?
Recomendado para redes com volume relevante de dados; além de boa prática, facilita a governança e o atendimento a titulares.

Conclusão + CTA

A LGPD não trava o pós-venda — ela organiza. Com políticas claras para OS, CFTV e test-drive, sua equipe reduz incidentes, melhora a experiência do cliente e ganha segurança jurídica. Quer revisar seus documentos e treinar o time?
A Sarmento & Advogados Associados — Rua Ruffo Galvão, 264, térreo, Centro, Itabuna–BA.

Box de Compliance: conteúdo informativo; cada caso exige análise específica; atuação em conformidade com o Estatuto da OAB e normas aplicáveis.

Rua Ruffo Galvão, 264, térreo - Centro - Itabuna - Bahia. CEP 45.653-135
Telefone (73) 73 98861 3642 - Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo. 

© Copyright 2024 SARMENTO ADVOCACIA & ASSESSORIA JURÍDICA   |   Todos os direitos reservados.