Shoppings centers e incorporadoras operam com um volume de dados pessoais que poucos gestores param para dimensionar com precisão.
Câmeras de segurança, biometria de acesso, cadastros de leads em stand de vendas, dados financeiros de compradores, contratos com dezenas de operadores terceirizados: cada um desses pontos de contato representa uma obrigação concreta sob a Lei Geral de Proteção de Dados (Lei nº 13.709/2018).
A questão não é mais se esses segmentos estão sujeitos à LGPD isso já está pacificado nos tribunais e na regulamentação da ANPD.
A questão é por que, mesmo depois de cinco anos de vigência da lei, os erros estruturais continuam se repetindo, e por que eles custam cada vez mais caro para quem os comete.
Este artigo apresenta os erros mais frequentes que a equipe da Data Guide identifica nesses dois segmentos, com os fundamentos legais, os precedentes judiciais e o caminho concreto para saná-los.
Por que Shoppings e Incorporadoras Têm Exposição Elevada à LGPD
Antes de detalhar os erros, é necessário entender a escala do problema. Esses dois segmentos têm características que ampliam o risco em relação à maioria dos outros setores.
No caso dos shoppings centers, há coleta de dados em múltiplos pontos simultâneos: sistemas de monitoramento por câmeras em áreas comuns, acesso a redes wi-fi com cadastro de visitantes, programas de fidelidade, dados biométricos em algumas entradas e contratos com dezenas de lojistas que também tratam dados no mesmo ambiente físico,ada um desses fluxos exige base legal e governança própria.
Para incorporadoras, o volume de dados sensíveis por operação é significativo. Um comprador de imóvel na planta fornece nome, CPF, estado civil, composição familiar, renda, dados bancários e histórico de crédito. Esses dados circulam entre a incorporadora, corretores, financeiras, cartórios e prestadores de serviço ao longo de meses, às vezes anos. A pergunta correta não é “coletamos esses dados?”, mas “onde eles estão, quem os acessa e com qual base legal a cada etapa do processo?”
Tabela 1: Complexidade do fluxo de dados nos dois segmentos.
Erro 1: Tratar o Compartilhamento de Dados como Prática Comercial Normal
Este é o erro que gerou os primeiros precedentes judiciais relevantes no mercado imobiliário brasileiro.
Ainda nos primeiros dias de vigência da LGPD, em setembro de 2020, a Cyrela foi condenada em primeira instância ao pagamento de R$ 10 mil por danos morais a um cliente que, após assinar contrato de compra de imóvel, começou a receber contatos comerciais de empresas parceiras da construtora que não tinham relação direta com a negociação.
A decisão, embora revertida em segunda instância por insuficiência de provas específicas à Cyrela, consolidou um entendimento relevante: o compartilhamento de dados de compradores com terceiros não vinculados à execução contratual configura tratamento ilícito sob a LGPD.
O caso da Cury, julgado no Rio de Janeiro, reforçou o mesmo princípio no sentido oposto, a incorporadora foi absolvida justamente porque comprovou, por meio de suas Políticas de Privacidade documentadas, que não havia repassado os dados.
A lição prática é direta: contratos de compra de imóvel não autorizam, por si só, o compartilhamento de dados com parceiros comerciais para fins de marketing ou cross-selling.
Assim, cada finalidade adicional exige base legal específica, e o consentimento genérico obtido em formulários de cadastro não supre essa exigência.
No universo dos shoppings, o mesmo problema se manifesta quando o dado coletado no programa de fidelidade é utilizado para campanhas de lojistas sem que o titular tenha autorizado esse uso especificamente.
Erro 2: Ignorar as Obrigações Específicas dos Dados Biométricos
Shoppings que utilizam reconhecimento facial para controle de acesso e incorporadoras que adotam biometria em portarias de empreendimentos estão operando com dados sensíveis na classificação da LGPD. O artigo 5º, inciso II, da lei define dados biométricos como dados sensíveis, categoria que exige requisitos mais rigorosos para o tratamento.
Isso significa que a base legal “legítimo interesse” frequentemente usada para dados comuns não é suficiente para dados biométricos. A lei exige que o tratamento seja amparado por base legal específica prevista no artigo 11 da LGPD, como consentimento explícito ou proteção da vida.
Na prática, o que a equipe da Data Guide encontra com frequência é o seguinte cenário: o shopping implantou o sistema de reconhecimento facial, os visitantes não foram informados de forma clara e acessível sobre a coleta, não há aviso visível no local de entrada, e o contrato com o fornecedor do sistema não contém cláusulas adequadas de proteção de dados.
Portanto, cada um desses pontos representa uma irregularidade autônoma passível de sanção administrativa pela ANPD ou de ação judicial por parte de qualquer visitante que se sentir prejudicado.
Erro 3: Contratos com Operadores Sem Cláusulas de Proteção de Dados
A LGPD distingue duas figuras centrais: o controlador quem decide como e por que os dados são tratados e o operador quem executa o tratamento em nome do controlador.
Shoppings e incorporadoras são, na maioria das situações, controladores, mas ambos operam com um número expressivo de operadores terceirizados.
Para shoppings: empresas de segurança, gestoras de estacionamento, plataformas de wi-fi, agências de marketing com acesso ao CRM de fidelidade. Para incorporadoras: corretores autônomos, correspondentes bancários, despachantes e construtoras parceiras.
O artigo 39 da LGPD é explícito: o operador deve realizar o tratamento conforme as instruções do controlador. Sem um contrato que formalize essas instruções, o controlador não tem proteção jurídica em caso de incidente causado pelo operador.
A realidade comum é que os contratos com esses fornecedores foram redigidos antes da LGPD entrar em vigor e nunca foram revisados. Isso cria um passivo silencioso que só aparece quando algo vai errado.
Erro 4: Mapeamento de Dados Incompleto ou Nunca Atualizado
O Registro de Atividades de Tratamento, conhecido pela sigla ROPA (do inglês Records of Processing Activities), é um documento que precisa refletir com exatidão quais dados são coletados, de quem, com qual finalidade, por quanto tempo ficam armazenados e com quem são compartilhados.
Organizações que não mantêm esse registro atualizado levam em média o dobro do tempo para responder a requisições de titulares e a notificações de incidentes, de acordo com o relatório Data Protection Governance do IAPP.
No contexto de shoppings e incorporadoras, o mapeamento inicial frequentemente ignora fluxos de dados que existem há anos mas nunca foram formalizados, como a planilha de leads gerada no stand de vendas e enviada por WhatsApp para a equipe de corretores; o sistema de câmeras do estacionamento gerenciado por um terceiro sem contrato de operador; o banco de dados do programa de fidelidade que ninguém da equipe atual sabe exatamente onde está hospedado.
Tabela 2: Fluxos de dados frequentemente ignorados no mapeamento.
Erro 5: Ausência de Canal de Atendimento ao Titular Funcional
A LGPD garante ao titular de dados um conjunto de direitos que inclui acesso, correção, exclusão, portabilidade e revogação de consentimento.
Para que esses direitos sejam exercidos, a organização precisa de um canal específico, identificado e capaz de atender as solicitações dentro dos prazos estabelecidos pela Resolução CD/ANPD nº 2/2022.
Nos segmentos de shoppings e incorporadoras, o problema mais comum não é a ausência total desse canal, mas a incapacidade de atender as requisições no prazo e de forma documentada.
Assim, o comprador de um imóvel que solicita acesso a todos os dados que a incorporadora tem sobre ele tem esse direito assegurado por lei e a empresa precisa ser capaz de responder com completude, não apenas com os dados que estão no sistema principal.
Isso inclui registros em e-mails, planilhas de corretores, anotações em CRMs paralelos e qualquer outro local onde o dado possa estar armazenado.
Erro 6: Não Ter um DPO Formalmente Designado e Atuante
A Resolução CD/ANPD nº 18/2024 regulamentou de forma detalhada as obrigações e os requisitos de qualificação do Encarregado de Dados, consolidando o que já estava previsto no artigo 41 da LGPD. A norma estabelece atribuições específicas, requisitos de qualificação e a responsabilidade do DPO por coordenar ações de resposta a incidentes e manter comunicação com a ANPD.
Para shoppings e incorporadoras de médio porte, manter um DPO interno qualificado representa um custo fixo relevante.
No entanto, o modelo de DPO as a Service resolve isso de forma estruturada, a função é exercida por uma equipe especializada, com conhecimento técnico atualizado e disponibilidade para atuar tanto preventivamente quanto em situações de incidente.
A ausência ou inadequação do DPO é um dos primeiros critérios avaliados pela ANPD em processos de fiscalização, com a Deliberação CD-10/2025 introduzindo multas diárias por descumprimento de medidas cautelares, o custo de não ter esse ponto focal de governança ficou ainda mais concreto.
O Que Está em Jogo: Risco Financeiro e Reputacional
As sanções administrativas da ANPD chegam a R$ 50 milhões por infração ou 2% do faturamento do grupo no Brasil no último exercício, limitado a R$ 50 milhões por infração. Mas o risco financeiro para shoppings e incorporadoras vai além das multas regulatórias.
O custo médio global de uma violação de dados chegou a US$ 4,45 milhões em 2023, segundo o relatório Cost of a Data Breach da IBM o maior valor registrado na história da pesquisa.
No Brasil, a responsabilidade civil por danos causados pelo tratamento inadequado de dados é objetiva, conforme o artigo 42 da LGPD. Portanto, significa que o titular não precisa provar culpa da empresa, apenas demonstrar o dano e o nexo causal. O STJ, no REsp 1.960.429/SP, confirmou esse entendimento.
Para incorporadoras, em especial, a conformidade com a LGPD passou a ser requisito em due diligence de grandes investidores e fundos imobiliários. Logo, empreendimentos que não demonstram governança de dados encontram obstáculos em processos de captação e parcerias.
Como Avançar: Uma Abordagem Estruturada para Esses Segmentos
A adequação à LGPD nos setores de shoppings e incorporadoras segue uma sequência lógica que começa pelo diagnóstico honesto e avança por etapas com prioridade definida por criticidade.
O primeiro passo é o mapeamento completo de dados, ou seja, identificar todos os pontos de coleta, todos os sistemas onde os dados estão armazenados, todos os terceiros que têm acesso a eles e as bases legais que justificam cada tratamento. Para empreendimentos que ainda não fizeram esse mapeamento, o processo vai revelar fluxos desconhecidos que precisam de atenção imediata.
O segundo passo é a revisão contratual com operadores. Assim, todos os contratos com fornecedores que tratam dados pessoais precisam incluir cláusulas específicas de proteção de dados que definam instruções de tratamento, responsabilidades e mecanismos de notificação em caso de incidente.
O terceiro passo é a estruturação da função de DPO. Para médias incorporadoras e gestoras de shoppings, o modelo de DPO as a Service oferece acesso imediato a especialistas com o custo fracionado em relação à contratação de um profissional interno. Saiba mais sobre como funciona o modelo de DPO as a Service da Data Guide.
Por fim, a capacitação das equipes: Corretores, porteiros, equipes de marketing e atendimento ao cliente são os profissionais que lidam com dados pessoais no dia a dia. Sem treinamento específico, mesmo um programa de governança bem estruturado no papel falha na execução.
Perguntas Frequentes sobre LGPD para Shoppings e Incorporadoras
Sim. Imagens captadas por câmeras de segurança são dados pessoais sob a LGPD. O shopping precisa informar os visitantes sobre a coleta, a finalidade e o tempo de retenção das gravações. Essa comunicação deve ser feita de forma clara e acessível, preferencialmente por avisos visíveis nos pontos de entrada, e precisa estar alinhada com uma base legal adequada, geralmente o legítimo interesse para fins de segurança.
Não sem base legal específica para isso. O contrato de compra de imóvel autoriza o tratamento dos dados necessários para a execução daquele contrato.
Repassar esses dados a empresas de móveis planejados, seguradoras ou outros parceiros exige uma base legal própria para essa finalidade adicional, que pode ser o consentimento específico do comprador ou outra hipótese prevista no artigo 7º da LGPD.
A Resolução CD/ANPD nº 15/2024 estabelece prazo de 3 dias úteis para comunicação inicial à ANPD quando o incidente puder acarretar risco ou dano relevante a titulares. O descumprimento desse prazo é agravante na dosimetria das sanções. Além da esfera administrativa, o titular afetado pode ajuizar ação de indenização por danos morais e materiais, com base no artigo 42 da LGPD, sem necessidade de provar culpa da empresa.
É especialmente adequado. Gestoras de shoppings e incorporadoras de médio porte precisam de um DPO com conhecimento técnico atualizado, mas raramente têm escala para justificar a contratação de um profissional interno dedicado. O modelo de DPO as a Service garante cobertura da função com equipe especializada, disponível para atuar em auditorias, resposta a incidentes, treinamentos e comunicação com a ANPD.
O foco inicial da ANPD foi pedagógico, com ênfase em orientação antes de punição, essecenário está mudando. A Deliberação CD-10/2025 introduziu multas diárias por descumprimento de medidas cautelares, e o plano de fiscalização para 2025 indica uma busca ativa por infrações não mais dependente apenas de denúncias. Setores que lidam com alto volume de dados de consumidores, como varejo, shoppings e imobiliário, estão sob escrutínio crescente.
Conclusão
Shoppings e incorporadoras não estão num território de exceção à LGPD. Estão, na realidade, em segmentos com pontos de coleta múltiplos, fluxos de dados complexos e um histórico de práticas comerciais que precisam ser revisadas à luz da lei.
Os erros descritos neste artigo não são raros são os mais comuns que a equipe da Data Guide encontra nesses setores. E todos eles têm solução, desde que abordados com método e sem subestimar o que a conformidade real exige.
Se sua empresa ainda não mapeou seus fluxos de dados ou não tem um DPO formalmente designado, o momento de agir é agora: a ANPD já deixou claro que a fase apenas educativa ficou para trás.
