Fale com um especialista
Página inicial / LGPD/GDPR / Como adequar seu shopping ou incorporadora à LGPD: passo a passo

Como adequar seu shopping ou incorporadora à LGPD: passo a passo

Foto de Igor Pacheco

Igor Pacheco

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) não faz distinção de setor. Assim,Shoppings centers e incorporadoras estão tão sujeitos às suas obrigações quanto qualquer fintech ou empresa de tecnologia. 

Além disso, o volume de dados pessoais tratados diariamente por esses segmentos é expressivo, abrangendo, dados de clientes em programas de fidelidade, imagens capturadas por câmeras de segurança, CPFs de compradores de imóveis na planta, históricos de crédito, e-mails de leads e contratos de compra e venda. 

Desde 2025, a Autoridade Nacional de Proteção de Dados (ANPD) saiu da chamada “fase pedagógica” e passou a fiscalizar ativamente empresas privadas. 

A Deliberação CD-10/2025 introduziu multas diárias por descumprimento de medidas cautelares, o que representa uma mudança de postura concreta do órgão regulador.

Para shoppings e incorporadoras, adequar-se à LGPD não é apenas uma obrigação legal, éum diferencial competitivo em setores onde a relação com o cliente é longa, intensiva em dados e, muitas vezes, marcada por transações de alto valor. Este guia apresenta um roteiro em sete passos, adaptado às realidades específicas desses dois segmentos.

Passo 1: Mapear todos os dados pessoais tratados

O ponto de partida de qualquer processo de conformidade com a LGPD é compreender, com clareza, quais dados pessoais são coletados pela empresa, onde estão armazenados e quem possui acesso a eles. Embora pareça uma etapa simples, na prática de shoppings e incorporadoras esse levantamento tende a ser mais complexo do que aparenta.

Um shopping center típico coleta dados em ao menos seis frentes simultâneas: cadastros de programas de fidelidade, dados de acesso às redes de Wi-Fi gratuitas, imagens de câmeras de segurança (que a LGPD enquadra como dados biométricos quando associados a reconhecimento facial), formulários de agendamento de serviços, cookies do site e aplicativo, e dados de lojistas e funcionários.

Já uma incorporadora acumula dados de leads em diferentes estágios, do primeiro contato em um estande de vendas até o pós-entrega do imóvel. Nesse fluxo estão envolvidos, além da própria incorporadora, corretores, financeiras, cartórios e construtoras. Cada um desses agentes pode ser enquadrado como operador de dados, o que cria responsabilidades solidárias em caso de incidente.

Para cada categoria de dado levantado, o inventário deve registrar:

Tabela 1: Campos obrigatórios do inventário de dados pessoais para shoppings e incorporadoras.

Tabela 1: Campos obrigatórios do inventário de dados pessoais para shoppings e incorporadoras.

Esse inventário não é um documento que se faz uma vez e arquiva. Assim, Shoppings que expandem tecnologias de reconhecimento facial ou incorporadoras que lançam novos empreendimentos precisam revisá-lo a cada nova atividade que envolva tratamento de dados. Para saber mais sobre como estruturar a governança de dados na sua empresa, confira nosso artigo e saiba o que é governança de dados e como implementar

Passo 2: Definir as bases legais para cada tratamento

A LGPD autoriza o tratamento de dados pessoais apenas quando há uma das dez hipóteses legais previstas no artigo 7º da lei. Para shoppings e incorporadoras, as bases legais mais aplicáveis variam de acordo com o tipo de operação.

Tabela 2: Bases legais da LGPD mais relevantes para shoppings e incorporadoras.

Tabela 2: Bases legais da LGPD mais relevantes para shoppings e incorporadoras.

Um ponto de atenção específico para shoppings refere-se à utilização de câmeras com tecnologia de reconhecimento facial, uma vez que esse tipo de solução envolve o tratamento de dados biométricos, classificados pela LGPD como dados pessoais sensíveis. Em razão disso, o nível de exigência regulatória e de governança aplicável a esse tratamento é significativamente mais elevado. 

A base do legítimo interesse pode ser aplicável para fins de segurança patrimonial, desde que o shopping documente o teste de proporcionalidade e informe os visitantes de forma visível, por meio de avisos nas entradas, por exemplo.

Para incorporadoras, é vedado utilizar os dados coletados durante a compra de um imóvel para campanhas de marketing sem uma base legal separada e específica.

Contratos de promessa de compra e venda devem conter cláusulas explicando ao comprador como seus dados serão usados, com quem serão compartilhados e por quanto tempo serão armazenados.

Passo 3: Revisar políticas de privacidade, contratos e formulários

A transparência é um princípio estruturante da LGPD. Por isso, Shoppings e incorporadoras precisam comunicar de forma clara, acessível e prévia como tratam os dados pessoais dos seus públicos. Embora a  política de privacidade seja o principal instrumento para isso, outros pontos de coleta de dados também exigem atenção e comunicação adequada.

Para shoppings, os pontos críticos de revisão incluem:

  • Site e app: política de cookies com opção real de aceitar ou recusar; formulários com caixas de consentimento separadas por finalidade (ex: uma caixa para o cadastro, outra para ofertas de parceiros)
  • Wi-Fi gratuito: o cadastro exigido para acesso à rede não pode solicitar dados além do necessário; a finalidade do uso precisa ser informada antes da coleta
  • Programa de fidelidade: termos claros sobre quais dados são coletados, por quanto tempo ficam armazenados e como o cliente pode solicitar exclusão
  • Avisos físicos: sinalização nas entradas informando sobre o uso de câmeras e, quando aplicável, reconhecimento facial

Para incorporadoras, os pontos críticos incluem:

  • Estandes de vendas e CRMs: formulários de captação de leads com finalidade declarada; dados de interessados que não fecharam negócio precisam de prazo de retenção definido
  • Contratos de compra e venda: cláusulas específicas de proteção de dados com informações sobre compartilhamento com construtoras, financeiras e cartórios
  • Plataformas digitais: sites e landing pages com política de privacidade atualizada e cookie banner funcional

Passo 4: Estabelecer processos internos e capacitar colaboradores

Conformidade com a LGPD depende de rotinas, não apenas de documentos. Shoppings e incorporadoras precisam documentar e comunicar procedimentos para quatro áreas principais:

Controle de acesso: definir quem pode visualizar, editar ou excluir dados pessoais de clientes. Em shoppings, isso inclui os dados de programas de fidelidade e das câmeras de segurança. Em incorporadoras, os dados financeiros e de crédito dos compradores.

Armazenamento seguro: senhas, criptografia, logs de acesso e proteção de backups. CRMs com dados de leads são alvos frequentes de incidentes de segurança e precisam de controles específicos.

Descarte seguro: dados que atingiram o prazo de retenção precisam ser eliminados de forma irreversível, incluindo arquivos digitais, contratos físicos e fichas cadastrais em papel.

Resposta a incidentes: a ANPD exige notificação de incidentes de segurança que possam causar dano relevante aos titulares. O prazo para comunicação é de três dias úteis após a ciência do incidente (Resolução CD/ANPD nº 15/2024). Logo, ter um plano de resposta documentado antes que o incidente aconteça é o que separa empresas preparadas das que improvisam.

A capacitação das equipes é o elo mais fraco da cadeia em muitas organizações. Corretores de imóveis que compartilham dados de clientes por WhatsApp sem controle, ou funcionários de shoppings que acessam o cadastro de fidelidade sem autorização, são vetores reais de não conformidade. A LGPD responsabiliza a empresa pelos atos de seus colaboradores.

Passo 5: Designar o Encarregado de Dados (DPO)

A LGPD exige que toda organização que trata dados pessoais designe um Encarregado de Dados, o DPO (Data Protection Officer). 

A Resolução CD/ANPD nº 18/2024 formalizou as obrigações da função, incluindo a exigência de publicação dos dados de contato do DPO no site da empresa.

As atribuições do DPO em shoppings e incorporadoras incluem:

  • Receber e responder solicitações de titulares (acesso, correção, exclusão de dados)
  • Ser o canal de comunicação com a ANPD em caso de fiscalização ou incidente
  • Orientar colaboradores e equipes sobre boas práticas de proteção de dados
  • Acompanhar mudanças regulatórias e atualizar processos internos

O DPO pode ser um funcionário interno ou um profissional terceirizado. Para algumas empresas como incorporadoras de médio porte e shoppings centers, o modelo de DPO as a Service oferece acesso a especialistas sem o custo de uma contratação CLT. 

A função é mantida por equipe multidisciplinar e os dados de contato exigidos pela ANPD ficam disponíveis para os titulares.

Compreender melhor os aspectos que diferenciam DPO interno vs. DPO as a Service pode ajudar sua organização a tomar decisões mais assertivas.

Passo 6: Implementar o atendimento aos direitos dos titulares

A LGPD garante aos titulares (clientes, compradores, visitantes e funcionários) nove direitos sobre seus dados pessoais. Entre os mais solicitados na prática:

  • Confirmação de tratamento: o titular pode perguntar se a empresa tem dados sobre ele
  • Acesso: direito de saber quais dados estão armazenados
  • Correção: dados incompletos ou desatualizados devem ser corrigidos
  • Eliminação: dados tratados com base no consentimento podem ser excluídos mediante solicitação
  • Revogação do consentimento: o titular pode retirar sua autorização a qualquer momento
  • Portabilidade: direito de transferir seus dados a outro fornecedor

A empresa precisa ter um canal específico e funcional para receber essas solicitações, normalmente um endereço de e-mail dedicado ou formulário no site, com link visível na política de privacidade. 

O prazo legal de resposta é de 15 dias, contado a partir do pedido.

Um erro frequente em shoppings: o programa de fidelidade coleta dados com base no consentimento, mas o processo de exclusão é burocrático ou inexistente. Portanto, isso cria passivo imediato. 

O mesmo vale para incorporadoras que mantêm dados de leads que nunca compraram: sem prazo de retenção definido e sem canal de exclusão, a empresa está fora de conformidade.

Passo 7: Documentar a conformidade e realizar auditorias periódicas

O princípio de accountability da LGPD (responsabilização e prestação de contas) exige que a empresa seja capaz de demonstrar, a qualquer momento, que adota medidas eficazes de conformidade. Ter processos corretos não é suficiente; é preciso ter evidência deles.

O dossiê de conformidade de um shopping ou incorporadora deve conter:

Tabela 3: Documentação mínima do dossiê de conformidade para shoppings e incorporadoras.

Auditorias internas semestrais ou anuais permitem identificar lacunas antes que se tornem incidentes. 

Para shoppings que lançam novas tecnologias, como câmeras com reconhecimento facial ou aplicativos de experiência do cliente, e para incorporadoras que iniciam novos empreendimentos, uma análise de impacto de privacidade (DPIA) antes do lançamento é a forma mais eficiente de prevenir não conformidades. Se deseja se aprofundar em como a LGPD se aplica ao marketing leia este artigo completo.

Como a Data Guide atua nesses segmentos

Shoppings e incorporadoras enfrentam um desafio que vai além de preencher documentos: precisam garantir conformidade em ambientes com múltiplos operadores de dados, tecnologias em evolução e times que não necessariamente têm formação em proteção de dados.

A Data Guide atua em processos de adequação à LGPD, incluindo empresas do setor de varejo, real estate e serviços. 

O modelo de DPO as a Service é especialmente relevante para esse perfil: oferece a função do encarregado com equipe multidisciplinar em jurídico, tecnologia e compliance, sem o custo de uma contratação interna dedicada.

Para shoppings que operam tecnologias sensíveis como câmeras com reconhecimento facial, o serviço inclui a elaboração do teste de proporcionalidade e a documentação exigida para a base do legítimo interesse. 

Para incorporadoras, o suporte cobre desde a revisão dos contratos de compra e venda até o mapeamento das cadeias de operadores (corretores, financeiras, cartórios) e a estruturação do canal de atendimento a titulares.

Perguntas frequentes sobre LGPD para shoppings e incorporadoras

Sim, a  LGPD se aplica a qualquer organização que trate dados pessoais de pessoas físicas no Brasil, independentemente do setor ou porte. Shoppings coletam dados em programas de fidelidade, câmeras, Wi-Fi e formulários. Incorporadoras lidam com dados financeiros e de identificação de compradores, leads e fiadores, ambos se enquadram plenamente nas obrigações da lei.

Sim, e com atenção redobrada quando há reconhecimento facial. A LGPD classifica imagens biométricas como dados pessoais sensíveis, que exigem base legal específica e maior rigor no tratamento.

Para segurança patrimonial sem reconhecimento facial, a base do legítimo interesse pode ser aplicável desde que documentada. Em ambos os casos, o shopping precisa informar os visitantes sobre o uso das câmeras.

Sim. A LGPD prevê responsabilidade solidária entre controlador e operador. O Superior Tribunal de Justiça já decidiu, em 2025, que incorporadoras respondem por incidentes de dados mesmo quando estes ocorrem em terceiros que integram a cadeia produtiva, como corretores parceiros. Logo, isso torna obrigatória a formalização de contratos de processamento de dados com todos os operadores envolvidos.

Sim, a LGPD exige que toda organização que trata dados pessoais designe um encarregado. A Resolução CD/ANPD nº 18/2024 reforçou essa obrigação e exige a publicação dos dados de contato do DPO no site da empresa. O DPO pode ser interno ou terceirizado.

O modelo de DPO as a Service é uma alternativa viável para empresas que não têm capacidade de manter a função internamente.

A LGPD prevê multas de até 2% do faturamento bruto anual, limitadas a R$ 50 milhões por infração. Além das multas, a ANPD pode aplicar advertências, bloquear o acesso a dados, suspender atividades relacionadas ao tratamento ou tornar pública a infração. A Deliberação CD-10/2025 introduziu também multas diárias por descumprimento de medidas cautelares, elevando o risco para empresas que não agirem após uma notificação.

Por onde começar

A adequação à LGPD não tem data de conclusão definitiva, é um processo contínuo. Mas ela tem um ponto de partida claro: o mapeamento dos dados que a empresa já trata, sem esse inventário, nenhuma das etapas seguintes é possível com segurança.

Para shoppings e incorporadoras, dois passos têm impacto imediato e podem ser iniciados sem grandes investimentos: a revisão da política de privacidade e a designação formal de um DPO com canal de contato publicado.

A partir daí, o processo avança com a definição das bases legais, a revisão dos contratos com operadores e a estruturação do atendimento a titulares.

A ANPD está em fase de fiscalização ativa. Empresas que esperaram o “momento certo” para começar já perderam parte da janela de baixo risco.

A pergunta que os gestores de shoppings e incorporadoras precisam responder agora não é se vão se adequar, mas  quanto tempo ainda vão esperar. Entre em contato com a equipe da Data Guide para uma avaliação inicial do nível de conformidade da sua operação.

capa-blog-data-guide
capa-blog-data-guide

Como adequar seu shopping ou incorporadora à LGPD: passo a passo

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) não faz distinção de setor. Assim,Shoppings centers e incorporadoras estão tão sujeitos às suas...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • junho 5, 2026
capa-blog

Como se preparar para uma auditoria SOC 2: etapas, prazos e o que as empresas brasileiras precisam saber

Nos últimos anos, uma pergunta passou a aparecer com frequência em processos comerciais B2B: “Você tem relatório SOC 2?”. A resposta define, muitas vezes,...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • junho 3, 2026
capa-blog-data-guide

Pentest para PMEs: quando contratar, o que esperar e como se preparar para o processo

No mercado corporativo brasileiro existe uma crença persistente: pentest é coisa de banco, de operadora de saúde, de empresa que processa cartão de crédito. ...

Leia mais
author-avatar
Escrito por Igor Pacheco
  • maio 27, 2026