Como este tema funciona no porte da sua empresa
O gestor cuida diretamente do cadastro de clientes e fornecedores, geralmente em planilha ou sistema simples. O volume é menor, mas os cuidados são os mesmos: coletar só o necessário, ter base legal para cada dado, definir por quanto tempo guarda e como descarta ao fim do relacionamento.
Com CRM e ERP em uso, os dados de clientes e fornecedores estão em sistemas formais. O gestor define as políticas de acesso, retenção e descarte e garante que o sistema cumpra o que a política estabelece. A integração entre comercial, financeiro e TI exige atenção ao fluxo de dados entre sistemas.
Os processos de cadastro, atualização e descarte de dados de clientes e fornecedores são formalizados e auditados. O gestor administrativo garante que sua área opera dentro do programa de privacidade estabelecido pelo DPO, com políticas de acesso e retenção documentadas.
Dados de clientes e fornecedores pessoas físicas são dados pessoais protegidos pela LGPD. Dados de fornecedores pessoas jurídicas como CNPJ e razão social ficam fora do escopo pessoal da LGPD — mas os dados dos representantes e contatos individuais dentro da pessoa jurídica (nome, e-mail, telefone pessoal, CPF) estão dentro da proteção da lei. Tratar esses dados com conformidade significa coletar o mínimo necessário, com base legal definida, aviso de privacidade no ponto de coleta e processo claro de retenção e descarte.
A distinção que mais confunde: dado da empresa versus dado do representante
A confusão entre dado de pessoa jurídica e dado de pessoa física é o ponto que mais gera equívocos no tratamento de dados de fornecedores. Entender a distinção é o que permite ao gestor saber quando aplica a LGPD e quando não aplica.
Dado de fornecedor pessoa jurídica: CNPJ, razão social, endereço comercial, inscrição estadual, dados bancários da empresa. Esses dados identificam a empresa, não um indivíduo — ficam fora do escopo pessoal da LGPD.
Dado do representante ou contato individual dentro do fornecedor: nome do sócio, CPF do representante, e-mail pessoal do contato, telefone pessoal do responsável pelo contrato. Esses dados identificam uma pessoa física e estão dentro do escopo da LGPD — precisam de base legal, aviso de privacidade e critério de retenção.
Na prática, a maioria dos cadastros de fornecedores mistura as duas categorias no mesmo formulário. O gestor precisa saber que as colunas referentes aos representantes individuais têm tratamento diferente das colunas referentes à empresa.
Dados de clientes: o que coletar e com qual base legal
O princípio da necessidade — coletar apenas o que é necessário para a finalidade declarada — é o filtro mais simples para avaliar se um dado de cliente deve ser coletado ou não. Se o gestor não consegue responder imediatamente para que aquele dado específico é usado, o dado provavelmente não deveria estar no cadastro.
Dados típicos de clientes no back-office e suas bases legais:
- Nome e CPF para emissão de nota fiscal: base em obrigação legal (emissão de NF é obrigação fiscal).
- Endereço para entrega de produto ou serviço: base em execução de contrato (necessário para cumprir o que foi contratado).
- Dados bancários para devolução ou reembolso: base em execução de contrato (necessário para processar a devolução).
- E-mail para envio de nota fiscal e comunicações sobre o pedido: base em execução de contrato.
- E-mail para newsletter e comunicações de marketing: base em consentimento (opt-in registrado e específico).
- Data de nascimento sem finalidade clara: sem base legal evidente — não deve ser coletada se não há uso definido.
O aviso de privacidade no formulário de cadastro — físico ou digital — deve informar ao cliente quais dados são coletados, para que finalidade e em qual base legal, com link para a política completa.
Ciclo de vida dos dados de clientes: do cadastro ao descarte
O ciclo de vida dos dados de clientes tem quatro fases que o gestor precisa controlar: coleta, uso durante o relacionamento, retenção após o encerramento e descarte.
- Coleta: com aviso de privacidade, base legal definida e registro apenas do que é necessário.
- Uso durante o relacionamento ativo: os dados são usados para as finalidades declaradas — execução do contrato, comunicações operacionais, obrigações fiscais. Qualquer uso além do declarado requer nova base legal ou consentimento adicional.
- Retenção após o encerramento: mesmo quando o cliente não compra mais ou encerra o contrato, determinados dados precisam ser mantidos por obrigação legal — notas fiscais, registros de transações para o Fisco, dados para eventual processo judicial. O prazo de retenção varia conforme o tipo de dado e a obrigação legal aplicável — definir com apoio do assessor jurídico ou DPO a política de retenção por categoria.
- Descarte: após o período de retenção, os dados que não têm mais razão de ser mantidos devem ser descartados de forma segura — exclusão definitiva nos sistemas, fragmentação de documentos físicos.
O gestor define a política de retenção com apoio do contador ou assessor jurídico, cria uma anotação no sistema ou planilha com o prazo de cada categoria de dado, e implementa uma revisão anual para identificar dados que já ultrapassaram o prazo.
A política de retenção é formalizada e implementada no ERP ou CRM, com alertas automáticos quando o prazo de um dado se aproxima do vencimento. O gestor revisa periodicamente os dados de ex-clientes inativos e coordena o processo de descarte com TI.
A política de retenção e descarte é documentada pelo DPO e implementada nos sistemas com automação. O gestor administrativo garante que sua área segue a política e reporta exceções ao DPO.
Dados bancários de fornecedores: controle especial obrigatório
Dados bancários de fornecedores merecem tratamento diferenciado por dois motivos: são informações altamente sensíveis para a saúde financeira da empresa (alteração fraudulenta pode redirecionar pagamentos) e envolvem dados pessoais dos sócios ou representantes em muitos casos.
Os controles mínimos para dados bancários de fornecedores:
- Acesso restrito: apenas as pessoas responsáveis pelo pagamento devem ter acesso aos dados bancários — não toda a equipe administrativa.
- Processo de alteração com aprovação: qualquer alteração nos dados bancários de um fornecedor deve ter um processo de verificação — confirmação por e-mail ou telefone com o fornecedor, aprovação de um responsável de nível superior, registro da alteração com data e quem autorizou. Alteração de dados bancários sem processo de aprovação é uma das rotas mais exploradas em golpes de engenharia social.
- Atualização periódica: dados bancários de fornecedores inativos devem ser removidos ou arquivados com acesso ainda mais restrito.
Compartilhamento de dados com parceiros: quando o contrato de operador é necessário
Quando um terceiro recebe dados pessoais de clientes ou fornecedores da empresa para prestar um serviço — contabilidade que recebe dados de funcionários, plataforma de e-mail marketing que recebe lista de clientes, transportadora que recebe dados de entrega — esse terceiro é um operador de dados. A LGPD exige que a relação entre o controlador (a empresa) e o operador (o prestador) seja formalizada em contrato.
O contrato com o operador deve incluir, no mínimo:
- Escopo dos dados compartilhados e finalidade do acesso.
- Obrigações de segurança do operador sobre os dados recebidos.
- Proibição de uso dos dados para finalidades diferentes das contratadas.
- Obrigações do operador em caso de incidente de dados.
- Prazo de devolução ou descarte dos dados ao encerrar o contrato.
O gestor administrativo é quem identifica, no dia a dia, quais prestadores recebem dados pessoais e garante que os contratos com eles tenham essas cláusulas. Para a redação das cláusulas, o assessor jurídico ou DPO orienta.
Sinais de que o tratamento de dados de clientes e fornecedores precisa de revisão
Se você se reconhece em três ou mais cenários abaixo, há lacunas no tratamento de dados de clientes e fornecedores que merecem atenção.
- O cadastro de clientes coleta mais dados do que o necessário para a execução do contrato — data de nascimento, estado civil ou outras informações sem finalidade clara.
- Dados de ex-clientes e ex-fornecedores ficam indefinidamente nos sistemas sem critério de descarte.
- Dados bancários de fornecedores podem ser alterados por qualquer usuário do sistema sem aprovação e registro.
- O contrato com clientes não menciona proteção de dados nem como a empresa vai usar as informações fornecidas.
- Representantes de fornecedores — CPF, e-mail pessoal, telefone — são armazenados sem aviso de privacidade ou base legal definida.
Caminhos para revisar o tratamento de dados de clientes e fornecedores
A revisão pode ser conduzida internamente com foco nas situações mais simples, com apoio especializado para os casos mais complexos — grandes bases de dados, múltiplos sistemas, dados sensíveis.
Revisar o cadastro, ajustar os formulários de coleta, definir a política de retenção e atualizar os contratos com os principais clientes e fornecedores, com apoio do assessor jurídico para as cláusulas contratuais.
- Perfil necessário: gestor administrativo disponível para revisar o cadastro e coordenar os ajustes; acesso a assessor jurídico para as cláusulas contratuais.
- Tempo estimado: de 4 a 8 semanas para o ciclo completo de revisão de cadastros, formulários e contratos principais.
- Faz sentido quando: fluxo de dados relativamente simples, base de clientes e fornecedores gerenciável, sem dados sensíveis em grande volume.
- Risco principal: lacunas nos contratos com operadores ou na política de retenção sem validação jurídica adequada.
Contratar consultoria para revisar os fluxos de dados, ajustar políticas de acesso e retenção nos sistemas e garantir que os contratos com todos os operadores de dados estejam adequados.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, TI/Segurança da Informação, Consultoria Jurídica.
- Vantagem: revisão completa e sistemática, cobertura de casos complexos e documentação adequada para cada decisão.
- Faz sentido quando: grande base de clientes, dados sensíveis (saúde, financeiro), múltiplos sistemas com dados replicados ou necessidade de revisão de contratos em volume.
- Resultado típico: cadastros revisados, políticas de retenção definidas e contratos com operadores atualizados em 6 a 12 semanas.
Precisa de apoio para revisar como sua empresa trata dados de clientes e fornecedores?
Se adequar o tratamento de dados de clientes e fornecedores virou prioridade, o oHub conecta sua empresa, de forma gratuita, a consultores especializados em LGPD e assessoria jurídica. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais dados de clientes a empresa pode guardar pela LGPD?
A empresa pode guardar dados de clientes que tenham finalidade definida e base legal válida — dados necessários para execução do contrato (nome, CPF para nota fiscal, endereço para entrega), dados exigidos por obrigação legal (registros fiscais) e dados para os quais há consentimento específico do cliente (e-mail para newsletter). O princípio é coletar apenas o mínimo necessário — qualquer dado sem finalidade clara não deve estar no cadastro.
Como coletar dados de clientes com conformidade com a LGPD?
Incluir aviso de privacidade no ponto de coleta — informando quais dados são coletados, para qual finalidade e em qual base legal, com link para a política completa. Coletar apenas o mínimo necessário para a finalidade. Quando a base é consentimento (newsletter, marketing), usar checkbox desmarcado com texto específico e registrar o consentimento com data e versão da política vigente.
A LGPD se aplica a dados de fornecedores pessoa jurídica?
Não diretamente. Dados que identificam a empresa — CNPJ, razão social, endereço comercial — ficam fora do escopo pessoal da LGPD. Mas os dados dos representantes e contatos individuais dentro da pessoa jurídica — nome, CPF, e-mail pessoal, telefone pessoal — são dados pessoais de pessoas físicas e estão dentro da proteção da LGPD. A mesma organização pode ter dados PJ e dados PF — e o tratamento de cada categoria é diferente.
Por quanto tempo posso guardar os dados de clientes?
Depende do tipo de dado e da obrigação aplicável. Dados fiscais — notas fiscais, registros de transações — precisam ser mantidos pelo prazo de prescrição tributária, que varia conforme o tipo de tributo e deve ser verificado com o contador ou assessor jurídico. Dados sem obrigação legal específica podem ser mantidos enquanto houver finalidade válida — ao encerrar o relacionamento, devem ser descartados ou anonimizados. Definir a política de retenção por categoria de dado com apoio do assessor jurídico ou DPO.
O que fazer com os dados de clientes inativos ou ex-clientes?
Verificar quais dados precisam ser mantidos por obrigação legal — registros fiscais, documentos de transações — e manter apenas esses pelo prazo legal. O restante dos dados pessoais (e-mail de marketing, preferências, dados de contato sem obrigação legal) deve ser descartado de forma segura ao fim do relacionamento ou ao vencer o prazo de retenção definido. Dados que ninguém sabe por que estão nos sistemas são o primeiro sinal de que a política de retenção precisa ser criada.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança — Tratamento de Dados no Contexto Empresarial. Brasília: ANPD. Disponível em: gov.br/anpd.
- Sebrae. LGPD e o relacionamento com clientes. Brasília: Sebrae.
- Brasil. Lei nº 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados Pessoais. Brasília: Presidência da República. Disponível em: planalto.gov.br.