Um shopping center movimenta dados pessoais de forma contínua, intensa e, frequentemente, desorganizada do ponto de vista regulatório.
Câmeras de vigilância capturam imagens de centenas de milhares de pessoas por mês. Aplicativos de fidelidade coletam hábitos de consumo, localização e dados financeiros. A rede Wi-Fi gratuita exige cadastro e o estacionamento registra placa, horário e, em muitos casos, dados biométricos. A área de recursos humanos armazena informações de colaboradores próprios e terceirizados. Os contratos com lojistas envolvem o compartilhamento de dados entre diferentes controladores.
Cada um desses fluxos representa uma obrigação legal ativa sob a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), assim cada lacuna nesses fluxos representa um vetor de exposição regulatória, jurídica e reputacional.
Este guia não responde à pergunta “o que é a LGPD”. Ele aborda uma questão mais específica: onde estão as lacunas críticas de conformidade nos shoppings e o que fazer para resolvê-las antes que a ANPD tome providências.
Por que shoppings são controladores de alto risco
Antes de tratar das lacunas específicas, é necessário compreender um ponto estrutural: shoppings não são apenas coletores passivos de dados. São controladores ativos de múltiplas categorias de dados pessoais, inclusive dados sensíveis.
Segundo o art. 5º, inciso VI, a definição de controlador abrange toda pessoa jurídica que “compete as decisões referentes ao tratamento de dados pessoais”. Logo, em um shopping, essa condição se aplica à administradora do empreendimento em ao menos seis frentes simultâneas.
Compreender os princípios fundamentais da LGPD é o primeiro passo para entender por que cada uma dessas frentes gera obrigações distintas:
| Frente de tratamento | Tipo de dado | Categoria LGPD |
| Câmeras de vigilância (CFTV) | Imagem facial | Dado sensível (biométrico) |
| Reconhecimento facial | Biometria facial | Dado sensível |
| Wi-Fi gratuito com cadastro | Nome, CPF, e-mail, comportamento | Dado pessoal |
| Programa de fidelidade | Hábitos de consumo, localização, dados financeiros | Dado pessoal |
| Estacionamento com controle | Placa, horário, CPF, biometria | Dado pessoal e sensível |
| Gestão de RH (próprio e terceirizado) | Dados trabalhistas, saúde, documentos | Dado pessoal e sensível |
Cada uma dessas frentes exige base legal própria, política de retenção definida, medidas técnicas de segurança e, dependendo do volume e da sensibilidade, elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD).
O problema, na maioria dos casos, é que essas frentes foram construídas ao longo do tempo de forma isolada, sem uma visão integrada de governança de dados. O resultado é uma arquitetura de tratamento fragmentada, com lacunas de base legal, ausência de documentação e contratos com fornecedores que não contemplam as obrigações da LGPD. Para entender como estruturar esse processo do início, o guia prático de implementação da LGPD oferece um caminho metodológico aplicável a organizações de diferentes portes e setores.
As seis lacunas mais críticas e como corrigi-las
1. Câmeras de vigilância sem base legal estruturada e sem aviso ao titular
Este é, provavelmente, um dos pontos mais delicados e, ao mesmo tempo, menos abordados pelos gestores de shoppings: as imagens registradas pelas câmeras de vigilância.
Segundo a LGPD (art. 5º, inciso I), elas são classificadas como dados pessoais, uma vez que possibilitam a identificação de uma pessoa física.
Quando o sistema de videomonitoramento utiliza reconhecimento facial, as imagens passam à categoria de dados pessoais sensíveis, classificados como dados biométricos (art. 5º, inciso II), exigindo rigor ainda maior no tratamento.
A base legal mais apropriada para o uso de câmeras de vigilância em shoppings é o legítimo interesse, localizado no art. 7º, inciso IX, da Lei Geral de Proteção de Dados, limitado à finalidade de garantir a segurança patrimonial e a proteção da integridade física de clientes e colaboradores.
No entanto, essa base não é automática, é necessário elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), documentar claramente a finalidade e assegurar que o interesse legítimo do controlador não prevaleça sobre os direitos fundamentais dos titulares.
As bases legais da LGPD determinam exatamente quando e como cada hipótese pode ser aplicada, e o uso inadequado de qualquer delas configura infração autônoma.
O que frequentemente está errado:
- Câmeras instaladas sem aviso visível ao titular informando a coleta de dados;
- Sistemas de reconhecimento facial sem base legal específica e sem RIPD;
- Ausência de política de retenção das gravações;
- Compartilhamento de imagens com órgãos públicos sem instrumento contratual adequado;
- Logs de acesso às gravações não documentadas.
Como corrigir:
- Instalar avisos claros em pontos de entrada informando o monitoramento, a finalidade e como o titular pode exercer seus direitos;
- Elaborar o RIPD para o tratamento de imagens, especialmente quando há reconhecimento facial;
- Definir e documentar o período de retenção das gravações (geralmente 30 dias para segurança patrimonial, salvo determinação judicial);
- Restringir o acesso às imagens a profissionais com necessidade operacional justificada;
Formalizar contratos de processamento de dados com as empresas de segurança e monitoramento. As práticas adequadas de armazenamento de dados pessoais envolvem tanto critérios técnicos de segurança quanto definições jurídicas de prazo e finalidade.
2. Programas de fidelidade com coleta excessiva de dados e finalidade imprecisa
Programas de benefícios e fidelidade são uma das principais fontes de dados pessoais nos shoppings.
Dados como: Nome, CPF, endereço de e-mail, número de telefone, preferências de consumo, frequência de visitas e até dados de geolocalização são coletados e utilizados para segmentação de campanhas e análise comportamental.
O problema não está na coleta em si, mas em dois aspectos recorrentes:
- Primeiro: O princípio da necessidade (art. 6º, inciso III) determina que o tratamento deve se limitar ao mínimo necessário para a realização de suas finalidades. Logo, a coleta de dados é desproporcional à finalidade declarada. Assim, solicitar CPF para envio de e-mail marketing, por exemplo, pode ser questionado com base nesse princípio.
- Segundo: as finalidades não são informadas com clareza ao titular. O consentimento obtido de forma genérica, como “aceito os termos de uso”, não satisfaz as exigências do art. 8º da LGPD, que exige consentimento livre, informado e inequívoco para finalidade específica.
| Prática comum | Risco regulatório |
| Coleta de CPF sem justificativa de necessidade | Violação ao princípio da necessidade (art. 6º, III) |
| Compartilhamento de dados com lojistas sem ciência do titular | Violação ao princípio da finalidade (art. 6º, I) |
| Envio de comunicações após cancelamento do programa | Tratamento sem base legal |
| Retenção de dados após encerramento do vínculo sem prazo definido | Violação ao princípio da necessidade (art. 6º, III) |
Outro risco crescente nesse contexto é o uso de inteligência artificial para análise de perfis de consumo e personalização de ofertas.
Nesse sentido, o uso de IA para cruzar dados de fidelidade com comportamento de navegação e localização exige uma camada adicional de cuidado regulatório.
O artigo sobre inteligência artificial e LGPD detalha os critérios que as empresas precisam observar ao automatizar decisões com base em dados pessoais.
3. Wi-Fi com cadastro sem política de privacidade adequada
Disponibilizar Wi-Fi gratuito mediante cadastro é uma prática comum em shoppings centers.
No entanto, o problema é que a coleta de dados nesse contexto frequentemente ocorre sem que o titular seja informado sobre como esses dados serão utilizados, por quanto tempo serão retidos e se serão compartilhados com terceiros.
A LGPD exige que, no momento da coleta, o controlador informe ao titular:
- A finalidade específica do tratamento;
- A forma e duração do tratamento;
- A identificação do controlador;
- As informações de contato do encarregado (DPO);
- Os direitos do titular e como exercê-los.
Além disso, se os dados coletados no cadastro do Wi-Fi forem utilizados para fins de marketing, análise comportamental ou cruzamento com dados do programa de fidelidade, essa utilização secundária exige base legal própria, distinta da que justificou a coleta original.
A Agência Nacional de Proteção de Dados, em seu Mapa de Temas Prioritários para o biênio 2026-2027, destacou explicitamente o monitoramento do uso secundário de dados pessoais para entrega de publicidade comercial direcionada como eixo central de fiscalização (Resolução CD/ANPD nº 30/2025), ou seja, os Shoppings que cruzam dados do Wi-Fi com perfis de consumo estão diretamente no escopo dessa prioridade.
4. Ausência ou inadequação dos contratos com fornecedores e lojistas (DPA)
Este é o ponto mais negligenciado na cadeia de tratamento de dados de um shopping. A LGPD estabelece responsabilidades tanto para o controlador quanto para o operador (art. 5º, inciso VII), sendo o operador a pessoa que realiza o tratamento de dados em nome do controlador.
Em um shopping, os operadores são numerosos: empresas de segurança com acesso às câmeras, fornecedoras do sistema de controle de estacionamento, agências responsáveis pelo CRM e pelo envio de comunicações, plataformas de gestão de fidelidade, e prestadores de serviços de RH terceirizados, entre outros.
A LGPD exige que a relação entre controlador e operador seja formalizada por contrato que contenha, no mínimo:
- A delimitação das atividades de tratamento autorizadas;
- A obrigação do operador de tratar dados apenas conforme as instruções do controlador;
- Cláusulas de segurança, confidencialidade e resposta a incidentes;
- A obrigação de comunicar incidentes ao controlador sem demora injustificada.
Na prática, a maioria dos shoppings ainda opera com contratos de prestação de serviços que não contemplam essas exigências, criando uma lacuna de responsabilidade legal que pode ser explorada em eventual processo sancionador ou ação judicial.
A relação com lojistas também exige atenção.
Quando eles acessam dados coletados pela administradora, compartilham bases com ela ou utilizam sistemas integrados de CRM, é necessário definir com clareza os papéis (controlador conjunto, operador, controladores independentes) e formalizar essa relação em instrumentos contratuais adequados. Caso os dados sejam processados por fornecedores fora do Brasil, as cláusulas de transferência internacional de dados passam a ser obrigatórias.
5. Gestão de dados de colaboradores e terceirizados sem estrutura de conformidade
O shopping como empregador é também controlador dos dados pessoais de seus colaboradores. A relação de emprego gera um fluxo intenso de dados pessoais, incluindo documentos de identificação, dados bancários, informações de saúde para planos médicos e exames admissionais, dados sobre dependentes para fins de benefícios, e histórico disciplinar.
No que se refere à base legal, o tratamento de dados de colaboradores pode ser justificado pela execução do contrato de trabalho e pelo cumprimento de obrigação legal, ambos previstos na Lei Geral de Proteção de Dados. Contudo, isso não desobriga o controlador de adotar medidas de segurança adequadas, limitar o acesso a quem tem necessidade operacional e garantir o exercício dos direitos dos titulares.
Logo, o artigo sobre LGPD no RH detalha as obrigações específicas que recaem sobre os departamentos de gestão de pessoas, com orientações práticas para adequação de processos e contratos de trabalho.
O ponto mais crítico nessa frente é a gestão dos dados de trabalhadores terceirizados, como empresas de limpeza, segurança patrimonial, operadores de caixa do estacionamento e outros prestadores. O shopping deve assegurar que as empresas contratadas tratem os dados de seus funcionários em conformidade com a LGPD, o que pressupõe cláusulas contratuais específicas e, quando necessário, auditoria de conformidade.
6. Ausência de DPO nomeado entre outras normas
A Resolução CD/ANPD nº 18/2024 tornou obrigatória a nomeação e a publicização do encarregado pelo tratamento de dados pessoais (DPO) para controladores que não se enquadram como agentes de tratamento de pequeno porte. Shoppings centers, pelo volume de dados tratados e pela diversidade de operações, se enquadram nessa obrigação.
Muitos gestores ainda não sabem exatamente quando a nomeação do DPO é obrigatória ou quais são as atribuições legais dessa função. O art. 41 da LGPD define as competências do encarregado:
- Aceitar reclamações e comunicações dos titulares;
- Prestar esclarecimentos e adotar providências;
- Receber comunicações da ANPD e adotar providências;
- Orientar os funcionários da empresa sobre as práticas de proteção de dados;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Para entender em profundidade o papel estratégico desse profissional, o artigo sobre o que é um DPO e como ele pode ajudar a sua empresa apresenta as dimensões técnicas, jurídicas e organizacionais dessa função.
Além da nomeação formal, a estrutura de conformidade de um shopping precisa contemplar:
Canal de atendimento ao titular funcional: o titular tem o direito de, a qualquer momento, confirmar a existência de tratamento, acessar seus dados, corrigir informações, revogar consentimento e solicitar a eliminação dos dados (art. 18 da LGPD). Esse canal precisa estar visível, acessível e com capacidade de resposta dentro dos prazos legais.
Plano de resposta a incidentes: a Resolução CD/ANPD nº 15/2024 (RCIS) estabelece que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante no prazo de três dias úteis a partir do conhecimento do evento. Shoppings sem um plano de resposta estruturado dificilmente conseguirão cumprir esse prazo, o que configura infração autônoma à LGPD. O processo de reconstrução da segurança após um vazamento de dados ilustra como organizações que não possuem esse plano enfrentam consequências muito mais severas do que aquelas que atuam com protocolos definidos.
O que a ANPD está priorizando
A ANPD se consolidou como agência reguladora autônoma, fortalecendo sua capacidade fiscalizatória. O Mapa de Temas Prioritários 2026-2027 (Resolução CD/ANPD nº 30/2025) estabelece eixos que impactam shoppings:
- Eixo 1: Direitos dos Titulares. Foco explícito no tratamento de dados biométricos e no uso secundário de dados para publicidade direcionada.
- Eixo 2: Inteligência Artificial. Previsão de 20 ações de fiscalização relacionadas ao uso de IA, incluindo reconhecimento facial e análise comportamental.
Shoppings que operam com reconhecimento facial, programas de fidelidade com perfilamento e sem DPO nomeado estão diretamente no radar da fiscalização.
As tendências de segurança de dados para 2026 confirmam esse movimento de intensificação regulatória e maior sofisticação nas investigações da ANPD.
Esses dados não configuram apenas uma tendência. Configuram um aviso regulatório claro: shoppings que operam com reconhecimento facial, programas de fidelidade com perfilamento e sem DPO nomeado estão diretamente no radar da fiscalização nos próximos dois anos.
Framework de diagnóstico: onde o seu shopping está agora
A tabela a seguir apresenta um modelo de diagnóstico simplificado. Cada lacuna identificada representa um vetor de risco regulatório ativo.
| Área | Pergunta diagnóstica | Status esperado |
| Mapeamento de dados | O shopping possui um inventário atualizado de todos os fluxos de tratamento de dados pessoais? | Documentado e revisado anualmente |
| Câmeras e CFTV | Existe RIPD elaborado para o tratamento de imagens? Os titulares são informados por avisos visíveis? | Sim para ambos |
| Reconhecimento facial | Há base legal específica documentada para uso de biometria facial? O RIPD está elaborado? | Sim para ambos |
| Programa de fidelidade | As finalidades são informadas de forma clara e específica ao titular no momento da coleta? | Sim |
| Wi-Fi gratuito | Existe política de privacidade específica para dados coletados no cadastro do Wi-Fi? O uso secundário está baseado em base legal própria? | Sim para ambos |
| Contratos com fornecedores | Os contratos com operadores contêm cláusulas de proteção de dados (DPA) conforme o art. 37 da LGPD? | Sim |
| RH e terceirizados | Os contratos com prestadores de serviço contêm obrigações de conformidade com a LGPD? | Sim |
| DPO | O encarregado de dados foi nomeado formalmente e sua identidade foi publicizada? | Sim |
| Canal de atendimento | Existe canal funcional para exercício de direitos pelos titulares? | Sim, com prazo de resposta monitorado |
| Resposta a incidentes | O shopping possui plano documentado de resposta a incidentes de segurança? | Sim |
As sanções possíveis: o que está em jogo financeiramente
Embora a ANPD tenha adotado, até o momento, uma postura de priorizar orientação antes de sanção, o quadro regulatório está mudando. A consolidação da agência como reguladora independente, a ampliação de seu quadro funcional com a contratação de novos servidores e a publicação do Mapa de Temas Prioritários 2026-2027 sinalizam um ciclo de fiscalização mais ativo.
As sanções previstas no art. 52 da LGPD, regulamentadas pela Resolução CD/ANPD nº 4/2023, incluem:
| Tipo de sanção | Parâmetro |
| Advertência | Com indicação de prazo para adoção de medidas corretivas |
| Multa simples | Até 2% do faturamento anual no Brasil, limitada a R$ 50 milhões por infração |
| Multa diária | Para assegurar cumprimento de sanção não pecuniária ou determinação da ANPD |
| Publicização da infração | Exposição pública do descumprimento |
| Bloqueio dos dados pessoais | Suspensão do tratamento dos dados referentes à infração |
| Eliminação dos dados pessoais | Até o término da apuração |
| Suspensão do banco de dados | Por até seis meses, prorrogáveis |
| Proibição parcial ou total do tratamento | Sanção mais grave, aplicável em casos de reincidência ou gravidade extrema |
Além das sanções administrativas da ANPD, shoppings estão sujeitos a ações judiciais movidas pelos próprios titulares, com pedidos de indenização por danos morais e materiais, e a autuações do Procon e do Ministério Público em razão da sobreposição entre a LGPD e o Código de Defesa do Consumidor.
O artigo sobre como proteger sua empresa de vazamentos de dados traz orientações diretas sobre como reduzir a superfície de exposição antes que um incidente se materialize.
O risco financeiro, portanto, não se limita à multa da ANPD, envolve litígios individuais e coletivos, danos reputacionais com impacto em ocupação de lojistas e fluxo de consumidores, e eventuais impactos em processos de captação de investidores e renovação de contratos com âncoras.
Diagnóstico LGPD: descubra o nível de conformidade do seu shopping
Você identificou as principais lacunas, mas sabe exatamente quais delas representam risco iminente para o seu negócio? Cada fluxo de dados tratado sem a devida estruturação pode se tornar um vetor de autuação pela ANPD.
Fale com especialista Data Guide e receba um diagnóstico gratuito
FAQ | Perguntas Frequentes
Sim. A Resolução CD/ANPD nº 18/2024 tornou obrigatória a nomeação formal e a publicização do encarregado de dados para controladores que não se enquadram como agentes de tratamento de pequeno porte. Portanto, Shoppings, pelo volume e pela diversidade de dados tratados, se enquadram nessa obrigação. A ausência de DPO nomeado configura infração autônoma e foi um dos pontos de fiscalização da ANPD em 2024.
Sim. As imagens captadas por câmeras são dados pessoais nos termos da LGPD. Quando o sistema utiliza reconhecimento facial, os dados passam à categoria de dados sensíveis, o que exige base legal específica, elaboração de RIPD e medidas reforçadas de segurança. Além disso, os titulares precisam ser informados sobre o monitoramento por meio de avisos visíveis nos pontos de entrada.
Sim. Programas de fidelidade envolvem coleta de dados pessoais em larga escala e, em muitos casos, perfilamento comportamental. A adequação exige definição clara da base legal para cada finalidade, informação transparente ao titular no momento da coleta, política de retenção definida e, quando houver cruzamento de dados para fins de publicidade direcionada, base legal própria para esse uso secundário.
Sim. A coleta de dados pessoais no cadastro do Wi-Fi exige política de privacidade específica, informação clara ao titular sobre finalidade e prazo de retenção, e base legal distinta para qualquer uso secundário dos dados, como envio de comunicações ou análise comportamental.
