LGPD na cobrança: o checklist de conformidade 2026
10 de junho de 2026
A LGPD não proíbe cobrar dívidas. Essa é a primeira confusão a desfazer. A Lei Geral de Proteção de Dados regula como os dados pessoais do inadimplente podem ser tratados durante a recuperação de crédito e exige que a empresa consiga comprovar que tratou esses dados dentro da lei.
Para uma operação financeira de médio ou grande porte, a diferença entre cobrar e cobrar em conformidade não está na intenção, mas na capacidade de provar cada contato: quem acionou, quando, por qual canal e com qual base legal.
Em 2026, esse ponto deixou de ser teórico. A própria ANPD colocou a hipótese legal de proteção ao crédito — a base sobre a qual a maioria das cobranças se apoia — na sua agenda regulatória.
Este conteúdo organiza, em um único checklist, o que a sua operação precisa cumprir, combinando LGPD, Código de Defesa do Consumidor e Código Civil, e como sustentar essa conformidade diante de uma auditoria ou de uma contestação judicial.
O que a LGPD muda na cobrança (e por que o CDC e o Código Civil entram juntos)
A cobrança no Brasil nunca foi regida por uma única lei. Antes da LGPD, o Código de Defesa do Consumidor já determinava, no artigo 42, que o consumidor inadimplente não pode ser exposto a ridículo nem submetido a constrangimento ou ameaça, e garantia a devolução em dobro do que foi cobrado indevidamente.
O artigo 71 do mesmo código trata como abusiva a cobrança que usa ameaça, coação ou interferência no trabalho e no descanso do devedor. O Código Civil, por sua vez, disciplina a relação obrigacional e os prazos de prescrição.
A LGPD acrescentou uma camada nova: o tratamento dos dados pessoais do devedor — coleta, uso, compartilhamento e guarda — passou a exigir base legal, finalidade definida e segurança.
Conformidade real, portanto, é a interseção dessas três normas. Cumprir a LGPD e violar o artigo 42 do CDC continua sendo uma cobrança irregular. Tratar a LGPD isoladamente, como fazem a maioria dos materiais sobre o tema, deixa metade do risco descoberto.
As bases legais que sustentam a cobrança sob a LGPD
Todo tratamento de dados pessoais precisa de uma base legal, conforme o artigo 7º da LGPD. Na cobrança, quatro delas são relevantes. Escolher a base correta define o que a empresa pode fazer com o dado e o que o titular pode contestar.
| Base legal | Quando se aplica na cobrança | Principal cuidado |
|---|---|---|
| Execução de contrato (art. 7º, V) | Cobrar o próprio cliente por dívida originada de um contrato existente | Restringe-se ao necessário para executar o contrato; não cobre uso para marketing |
| Proteção ao crédito (art. 7º, X) | Tratar dados para análise e recuperação de crédito, inclusive negativação | É a base mais usada na cobrança e está na agenda regulatória da ANPD para 2025-2026 |
| Legítimo interesse (art. 7º, IX) | Acionamentos e atualização de contato quando as bases acima não cobrem | Exige teste de proporcionalidade documentado e não vale para dados sensíveis |
| Consentimento (art. 7º, I) | Usos ou canais não amparados pelas bases anteriores | Precisa ser livre, informado e revogável a qualquer momento |
Um exemplo torna a escolha concreta. Ao cobrar a fatura em atraso de um cliente ativo, a base costuma ser a execução do contrato; ao consultar bureaus e negativar, entra a proteção ao crédito; ao atualizar um telefone desatualizado para localizar o devedor, recorre-se ao legítimo interesse, com o teste de proporcionalidade registrado. Encadear as bases corretas ao longo do processo, em vez de forçar uma única para tudo, é o que sustenta a operação diante de uma fiscalização.
Surge aqui uma das dúvidas mais comuns: preciso de consentimento ou basta o interesse legítimo? Na maioria dos casos, a cobrança da própria dívida se apoia em execução de contrato ou em proteção ao crédito, sem necessidade de consentimento. O consentimento entra quando o uso extrapola essas bases — por exemplo, um canal não previsto. Tratar o consentimento como obrigatório para tudo engessa a operação; ignorá-lo quando ele é necessário cria o risco oposto.
O que pode e o que não pode na cobrança (LGPD + CDC)
Combinando a LGPD com o CDC, o perímetro do que é permitido fica claro. A tabela abaixo resume os limites mais consultados pelas operações de cobrança.
| PODE | NÃO PODE |
|---|---|
| Contatar o próprio devedor por telefone, carta, e-mail, SMS ou WhatsApp | Expor a dívida a terceiros — família, vizinhos, colegas ou empregador |
| Contatar fiador ou avalista, que respondem solidariamente pela dívida | Contatar referências pessoais ou comerciais que não respondem pela dívida |
| Negativar o devedor após notificação prévia | Cobrar com ameaça, coação ou constrangimento (art. 71 do CDC) |
| Compartilhar dados com assessoria terceirizada, se previsto na política de privacidade | Cobrar com frequência abusiva, a ponto de interferir no trabalho ou no descanso |
| Manter contato em horário comercial razoável | Enviar correspondência que revele o valor ou a existência da dívida a quem a veja |
Três perguntas frequentes se resolvem nessa moldura. Posso cobrar pelo WhatsApp? Sim, desde que haja base legal e canal autorizado, e que o conteúdo não exponha a dívida a quem eventualmente visualize a mensagem. Posso falar da dívida com um parente do devedor? Não, salvo se essa pessoa for fiadora ou avalista. Qual o horário permitido? Horário comercial razoável; contatos fora disso ou repetitivos tendem a ser caracterizados como abusivos.
Vale um alerta sobre a terceirização. Compartilhar dados com uma assessoria de cobrança é permitido, mas não transfere a responsabilidade. Se a assessoria vaza ou usa indevidamente as informações, o credor que as forneceu pode responder solidariamente. Por isso, contratar uma assessoria em conformidade — e registrar essa exigência em contrato — faz parte da conformidade do próprio credor, não da empresa contratada.
Consentimento de canal: WhatsApp, SMS e ligação na régua de cobrança
A LGPD exige que o uso de WhatsApp, SMS ou ligação para fins de cobrança esteja amparado em base legal e que o titular possa revogar a autorização. Em operações sem registro estruturado, o disparo por um canal não autorizado se transforma em passivo. A boa prática registra, por contato, qual canal foi autorizado e a data dessa autorização ou de sua revogação.
Há também o limite de frequência. Mesmo na fase anterior ao vencimento, o artigo 71 do CDC se aplica, e a saturação de mensagens pode caracterizar abuso. Uma régua de cobrança bem desenhada mantém a cadência espaçada justamente para não cruzar essa linha. O mesmo cuidado vale para o conteúdo: uma biblioteca de mensagens para cobrança padronizadas e revisadas evita que um operador improvise uma abordagem coercitiva. Em operações que estruturam a comunicação antes do atraso, esse controle já nasce na régua de cobrança preventiva.
Retenção, exclusão e anonimização dos dados do inadimplente
A LGPD impõe que os dados sejam mantidos apenas pelo tempo necessário à finalidade que justificou o tratamento. Na cobrança, isso se conecta diretamente à prescrição. O CDC e o Código Civil estabelecem prazos, e a pretensão de cobrança de dívidas líquidas prescreve, em regra, em cinco anos. Enquanto existe exigibilidade ou necessidade de defesa em eventual ação, há finalidade que sustenta a guarda dos dados. Encerrada essa finalidade, eles devem ser eliminados ou anonimizados.
Daí a pergunta: por quanto tempo posso guardar os dados de um inadimplente? Enquanto durar a finalidade — a exigibilidade da dívida e os prazos legais de guarda. Após a quitação e o decurso dos prazos, manter os dados indefinidamente, sem justificativa, contraria o princípio da necessidade. Quando a empresa precisa preservar estatísticas de carteira sem identificar o titular, a anonimização é a alternativa correta.
Trilha de auditoria: não basta cumprir, é preciso provar
Cumprir a LGPD é metade do problema; a outra metade é comprovar que cumpriu. Em uma auditoria externa, a ausência de histórico estruturado de cada cobrança gera ressalva. Em uma ação por cobrança indevida, o registro de quem disparou, quando, por qual canal e com qual mensagem é a primeira prova solicitada. Uma trilha de auditoria confiável registra cada acionamento com usuário, data e hora, canal, modelo de mensagem e status de entrega, sem permitir edição retroativa.
Esse controle também é mensurável. A taxa de conformidade dos contatos — o percentual de acionamentos realizados dentro do canal, horário e base legal corretos — é um dos indicadores de cobrança que uma operação madura monitora. Planilhas não sustentam esse nível de rastreabilidade: não registram autor, não impedem alteração e não conversam com o restante da operação. É por isso que a trilha de auditoria é, na prática, uma função do CRM de cobrança, e não uma política à parte.
Veja na prática como o Siscobra Manager registra cada acionamento com usuário, canal e horário e solicite uma demonstração para a sua operação.
LGPD na cobrança B2B: o que muda quando o devedor é uma empresa
Boa parte do conteúdo sobre LGPD e cobrança parte do pressuposto de que o devedor é pessoa física. Em operações B2B, o devedor é uma empresa, mas os dados tratados continuam sendo, em grande parte, de pessoas físicas: o contato do setor financeiro, o sócio que assina como avalista, o responsável que atende a ligação. A LGPD protege esses titulares mesmo quando a dívida é da pessoa jurídica.
Três pontos merecem atenção redobrada em B2B. Carteiras multi-CNPJ exigem que o tratamento e a segregação de dados respeitem cada entidade e cada base de contatos. Dados de fiadores e avalistas pessoa física entram no escopo da LGPD com a mesma proteção do devedor principal. E o direcionamento do contato importa: acionar a pessoa errada dentro da empresa, ou expor a dívida a um colaborador que não responde por ela, repete em ambiente corporativo a mesma violação que ocorreria com um terceiro no B2C.
ANPD em 2026: o que esperar da fiscalização
Até aqui, a fiscalização da LGPD foi mais anunciada do que aplicada. A primeira multa pública da ANPD foi aplicada apenas em 2023, e por um bom tempo permaneceu como caso isolado. Isso levou parte do mercado a subestimar o risco — uma leitura arriscada para 2026.
A ANPD foi transformada em agência reguladora e ampliou sua estrutura, e o cenário mudou de patamar. A Resolução CD/ANPD nº 23, de dezembro de 2024, definiu a Agenda Regulatória 2025-2026 e incluiu expressamente a hipótese legal de proteção ao crédito entre os temas a regulamentar — exatamente a base sobre a qual a maior parte das cobranças se apoia. Em paralelo, a Deliberação CD nº 10/2025 passou a prever multas diárias por descumprimento de medidas cautelares.
O risco real, portanto, vai além da multa de até R$ 50 milhões ou 2% do faturamento prevista no artigo 52 da LGPD — teto que ainda não foi aplicado em sua plenitude no país.
Ele está na combinação de risco regulatório crescente, exposição reputacional e, sobretudo, risco judicial: ações individuais por cobrança indevida ou exposição de dados, nas quais a ausência de trilha de auditoria pesa contra o credor.
Há ainda movimentação legislativa — tramita na Câmara um projeto que altera o CDC para exigir, entre outros pontos, a gravação das cobranças por telefone, com identificação do atendente, data e hora. A direção é clara: mais rastreabilidade, não menos.
O checklist de conformidade LGPD na cobrança para 2026
O checklist a seguir organiza, em sete frentes, o que uma operação de cobrança precisa manter sob controle em 2026. Funciona como autoavaliação: cada item não cumprido é um ponto de exposição.
- Base legal — base legal definida e documentada por finalidade; teste de legítimo interesse registrado quando aplicável.
- Comunicação transparente — aviso de privacidade informando o uso dos dados na cobrança e canal de atendimento ao titular.
- Contato dentro das regras — contato restrito ao devedor, fiador e avalista; horário adequado; cadência sem abuso; nenhuma exposição a terceiros.
- Consentimento e canal — registro do canal autorizado por contato e mecanismo de revogação em funcionamento.
- Segurança e acesso — acesso aos dados restrito a quem atua na cobrança e controles técnicos contra vazamento.
- Retenção — prazos de guarda definidos conforme a prescrição e rotina de exclusão ou anonimização após o fim da finalidade.
- Trilha de auditoria e governança — registro imutável de cada acionamento; indicador de conformidade monitorado; contratos com assessorias revisados; encarregado (DPO) designado.
Como um sistema de cobrança operacionaliza a conformidade
Relendo o checklist, um padrão aparece: quase nenhum item se resolve com política escrita. Base legal por finalidade, canal autorizado por contato, horário e cadência controlados, retenção parametrizada e trilha imutável são execução — e execução em volume só se sustenta em sistema. Essa é a diferença entre afirmar conformidade e conseguir demonstrá-la.
Um sistema de cobrança preparado para isso aplica a régua dentro dos limites de canal e horário, restringe o acesso por perfil de usuário, registra cada acionamento de forma rastreável e parametriza a guarda dos dados conforme a finalidade.
Em operações de grande volume, é o que separa a conformidade declarada da conformidade comprovável. Para avaliar como uma operação enterprise sustenta esses controles na prática, fale com um especialista da Siscobra e conheça o Siscobra Manager.
