IBeGI
Tema
Tamanho da Fonte
Estilo da Fonte

Governança de LGPD em crédito e cobrança: o checklist que sai do papel

2026-05-05 | IBeGI
LGPD Dados e Tecnologia
## Introdução A **governança de LGPD em crédito e cobrança** não se resolve com uma política de privacidade genérica. O setor trabalha com dados em grande escala, múltiplos fornecedores, canais digitais, modelos de risco, cobrança terceirizada, negativação, judicialização e retenção documental. Isso exige uma governança operacional, não apenas declaratória. A pergunta que separa maturidade de formalidade é simples: a empresa consegue provar, para cada uso de dado, qual era a finalidade, a base legal, a necessidade, o prazo de retenção, os terceiros envolvidos e as medidas de segurança? Se a resposta for não, o programa ainda está incompleto. ## 1. Inventário por processo O primeiro controle é o inventário de tratamento. Ele deve ser organizado por processo de negócio, não apenas por sistema. No setor, vale mapear pelo menos: - proposta de crédito; - onboarding e antifraude; - análise de risco; - formalização contratual; - gestão da carteira; - cobrança amigável; - negativação; - renegociação; - cessão de crédito; - cobrança judicial; - atendimento ao titular; - retenção e descarte. Para cada processo, registre dados coletados, finalidade, base legal, sistemas, usuários, fornecedores, transferências e prazos de guarda. ## 2. Matriz de base legal Depois do inventário, a empresa deve montar uma matriz de base legal. Ela evita o erro de justificar tudo por consentimento ou legítimo interesse. A matriz deve responder: - qual é a finalidade concreta? - qual dado é necessário? - qual base legal sustenta o tratamento? - há dado sensível? - existe obrigação regulatória? - há decisão automatizada? - há compartilhamento com terceiro? - por quanto tempo o dado deve permanecer? Essa matriz também facilita auditoria, resposta a titulares e revisão de produtos. ## 3. Governança de fornecedores Crédito e cobrança dependem de ecossistema: call centers, BPOs, escritórios, plataformas de WhatsApp, SMS, e-mail, cloud, enriquecimento cadastral, antifraude, BI, discadores, CRMs e motores de decisão. Cada fornecedor precisa ter papel definido. O contrato deve tratar de: - finalidade do tratamento; - instruções do controlador; - confidencialidade; - segurança; - suboperadores; - incidentes; - apoio a direitos do titular; - auditoria; - retenção; - devolução ou eliminação de dados. Ter fornecedor crítico sem cláusulas de LGPD é risco direto. Ter cláusula, mas não fiscalizar a prática, também é. ## 4. Retenção e descarte Um dos maiores passivos de dados nasce da guarda indefinida. Bases antigas são copiadas, exportadas, mantidas em planilhas, reaproveitadas em campanhas e esquecidas em ambientes de fornecedores. A política de retenção deve separar prazos por fundamento: - execução contratual; - obrigação legal ou regulatória; - defesa em processo; - auditoria; - prevenção a fraude; - consentimento ou finalidade opcional; - anonimização para estatística. Ao fim da finalidade, o dado deve ser eliminado, anonimizado ou mantido apenas quando houver fundamento legal para conservação. ## 5. Segurança e rastreabilidade Segurança não pode depender apenas de boa vontade. Precisa ser embutida no sistema e na rotina. Controles mínimos incluem: - acesso por perfil; - privilégio mínimo; - logs de consulta; - revisão periódica de usuários; - segregação entre ambientes; - mascaramento de dados; - criptografia quando cabível; - controle de exportação; - monitoramento de incidentes; - plano de resposta; - registro de evidências. Em cobrança, um ponto crítico é o acesso de operadores e terceiros a bases amplas. Quanto mais dados o operador vê, maior o risco. O sistema deve entregar o necessário para a tarefa, não o máximo disponível. ## 6. Atendimento ao titular LGPD também exige capacidade de resposta. O titular pode pedir confirmação de tratamento, acesso, correção, informações sobre compartilhamento, revisão de decisões automatizadas e outras providências previstas em lei. No setor de crédito, esses pedidos podem se misturar com contestação de dívida, reclamação de cobrança, divergência cadastral, pedido de revisão de score ou discussão judicial. Por isso, o canal do encarregado precisa conversar com jurídico, cobrança, risco e atendimento. Um fluxo maduro define prazo, triagem, responsáveis, respostas padronizadas, exceções e registro da decisão. ## 7. Indicadores de conformidade Para sair do papel, a governança precisa de indicadores. Exemplos: - percentual de processos inventariados; - fornecedores críticos revisados; - acessos privilegiados auditados; - incidentes por canal; - bases com prazo vencido; - solicitações de titulares respondidas; - modelos automatizados documentados; - anexos judiciais revisados; - reclamações de cobrança por exposição indevida. Esses indicadores aproximam privacidade de gestão. ## Conclusão LGPD em crédito e cobrança é menos um projeto jurídico isolado e mais um sistema de gestão. O setor precisa unir regulação, tecnologia, risco, cobrança e jurídico em uma mesma arquitetura operacional. A conformidade defensável nasce quando a empresa consegue demonstrar, com evidências, que trata dados de forma necessária, segura e proporcional. **Fontes oficiais para link externo:** - [LGPD — Lei nº 13.709/2018, texto compilado](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm) - [ANPD — materiais educativos e publicações](https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes) - [ANPD — Guia Orientativo sobre Legítimo Interesse](https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/guia_orientativo_hipoteses_legais_tratamento_de_dados_pessoais_legitimo_interesse) - [Banco Central — Sistema de Informações de Créditos, SCR](https://www.bcb.gov.br/estabilidadefinanceira/scr)
0%