LGPD para fabricantes de sinalização: O que você precisa saber antes da carta chegar.

LGPD parece um problema de grandes empresas. Não é. A Lei Geral de Proteção de Dados se aplica a todo negócio que processa dados pessoais — e você processa. Nomes de clientes, endereços, e-mails, números de telefone, fotos de fachadas (às vezes com pessoas visíveis), dados de fatura. Todos são dados pessoais.

O que a LGPD exige

1. Registro de atividades de processamento

Você deve documentar que dados processa, por que, por quanto tempo e quem tem acesso. Uma tabela simples é suficiente: "Dados do cliente — Cumprimento de pedido — 10 anos (obrigação de retenção) — Proprietário + Escritório".

2. Acordo de processamento de dados (DPA)

Com todo provedor de nuvem que processa seus dados, você precisa de um DPA. Seu software de contabilidade, ferramenta de e-mail, hospedagem de site e software da indústria. PlotonIQ fornece um DPA — peça aos seus outros provedores.

3. Localização do servidor

É aqui que fica crítico. Se você usa shopVOX (servidores nos EUA), Trello (servidores nos EUA) ou Google Drive (distribuído globalmente), seus dados de cliente ficam nos EUA. Desde a decisão Schrems II, transferências de dados para os EUA são juridicamente problemáticas.

Solução mais segura: servidores europeus. PlotonIQ roda na Hetzner em Falkenstein, Alemanha. Certificado ISO 27001. Nenhuma transferência de dados para países terceiros.

4. Criptografia

Dados devem ser criptografados em trânsito (TLS) e em repouso (AES-256). Senhas devem ter hash (bcrypt, não MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT com rotação de refresh token.

5. Períodos de retenção

Você não pode armazenar dados para sempre. Lei tributária: 10 anos para faturas, 6 anos para correspondência comercial. Depois disso: excluir. Fotos do local: excluir após conclusão do projeto, a menos que o cliente consinta com armazenamento mais longo.

6. Direitos do titular dos dados

Seu cliente tem direito ao acesso, retificação, exclusão e portabilidade de dados. Você deve responder em 30 dias.

Erros comuns em empresas de sinalização

WhatsApp para negócios: WhatsApp compartilha metadados com a Meta. Números de telefone de clientes são transferidos para servidores nos EUA. Não é compatível com LGPD sem API Business e DPA. Alternativa: portal do cliente PlotonIQ com aprovação digital e timestamp.

Fotos em telefones pessoais: Se seu instalador tira fotos do local no telefone pessoal, dados do cliente ficam em dispositivo não gerenciado. Solução: tirar fotos diretamente no app PlotonIQ — upload criptografado, nunca armazenado no dispositivo.

Sem documentação de rastreamento: Google Analytics, Facebook Pixel — toda ferramenta de rastreamento precisa de consentimento e documentação. PlotonIQ: sem Google Analytics, sem pixels de rastreamento, sem cookies não essenciais.

Lista de verificação de 10 pontos

1. Criar registro de atividades de processamento. 2. Assinar DPAs com todos provedores de nuvem. 3. Política de privacidade no site. 4. Servidores na UE. 5. Definir períodos de retenção. 6. Verificar criptografia. 7. Controles de acesso (quem vê o quê). 8. Fotos apenas em apps gerenciados. 9. Substituir WhatsApp por ferramentas profissionais. 10. Avaliação de impacto para rastreamento GPS/geofencing.

Conclusão

LGPD não é ciência espacial. Com o software certo, a maior parte é automática: criptografia, localização do servidor, períodos de retenção, controles de acesso. A maior alavanca: longe de ferramentas dos EUA e WhatsApp, em direção a uma solução europeia da indústria onde LGPD não é um recurso — é o padrão.