Dado de empresa não é dado pessoal. Essa frase, repetida em reuniões de marketing B2B, é meia verdade que gera multa. Quando o CNPJ vem acompanhado de nome, e-mail e telefone do sócio ou do contato, há dado pessoal no meio, e a Lei 13.709/2018 incide. Em 2026, com a ANPD em ciclo ativo de fiscalização, a distinção deixou de ser acadêmica.
A tese contraintuitiva: a LGPD não proíbe usar dados de PJ para risco e prospecção, ela exige que você escolha e documente a base legal correta. Quem opera com legítimo interesse bem fundamentado tem mais segurança jurídica do que quem se esconde atrás de um consentimento frágil e revogável.
A base legal primeiro: o que a Lei 13.709 exige
A LGPD condiciona todo tratamento de dado pessoal a uma das dez hipóteses do artigo 7º. Para dados de PJ que carregam informação de pessoas físicas, as bases mais usadas são o legítimo interesse, o cumprimento de obrigação legal e a execução de contrato. Consentimento é uma base entre várias, não a regra geral (Lei 13.709/2018).
O ponto que muitas operações ignoram: a base legal precisa ser definida antes do tratamento, não depois. A escolha governa o que é permitido. Legítimo interesse exige teste de proporcionalidade e transparência. Obrigação legal exige a norma que obriga. Misturar bases ou trocá-las quando dá problema é, em si, irregularidade.
Dados de risco de crédito têm fundamento próprio. A Lei do Cadastro Positivo (Lei 12.414/2011, alterada pela LC 166/2019) autoriza o tratamento de dados para análise de risco, e a LGPD convive com ela. Isso dá lastro a bureaus e a quem consulta idoneidade de PJ, desde que respeitados finalidade e segurança.
A convivência entre LGPD e leis setoriais define o que é permitido. Para dados de risco, a Lei do Cadastro Positivo (Lei 12.414/2011, alterada pela LC 166/2019) dá fundamento próprio; para o sistema financeiro, normas do Banco Central e do COAF impõem o tratamento de dados como dever de prevenção. A base legal correta nasce desse cruzamento, não de uma regra única.
O erro recorrente é tratar consentimento como única saída. Pedir consentimento para tudo cria base frágil, revogável a qualquer momento, e ainda transmite a falsa ideia de que sem ele nada é possível. Para risco e prospecção B2B, o legítimo interesse bem fundamentado costuma ser mais sólido e mais estável que um consentimento genérico.
A ANPD em 2026: de orientadora a fiscalizadora
ANPD; Lei 13.709/2018, 2026
A Autoridade Nacional de Proteção de Dados consolidou em 2025 e 2026 seu papel sancionador, com regulamento de dosimetria de sanções e agenda regulatória pública. A fase pedagógica deu lugar a processos administrativos, com multas que podem chegar a 2% do faturamento, limitadas a R$50 milhões por infração (ANPD, 2026).
A autoridade publicou normas sobre comunicação de incidente, transferência internacional e tratamento de dados por agentes de pequeno porte. O recado é de previsibilidade: a régua existe, está escrita e será aplicada. Operar sem mapeamento de dados e sem base legal definida virou exposição concreta.
A atuação da ANPD evolui da orientação para a fiscalização efetiva, com aplicação de sanções proporcionais e foco em incidentes de segurança e bases legais inadequadas (ANPD, relatório de atividades, 2026).
Para o uso de dados em risco e marketing, três temas concentram a atenção do regulador: transparência sobre a origem do dado, respeito aos direitos do titular e segurança da informação. Quem trata dado de terceiros sem conseguir explicar de onde veio está no grupo de maior risco.
O regulador também ampliou a régua sobre agentes de tratamento de pequeno porte, com regime simplificado mas não isento. A mensagem é que porte não dispensa base legal nem segurança, apenas calibra a proporcionalidade das exigências. Startup e PME que tratam dados de PJ entram, sim, no escopo da fiscalização.
A cooperação internacional reforça a tendência. A ANPD participa de fóruns globais de autoridades de privacidade, e a régua brasileira converge com referências como o regime europeu. Quem opera com base em padrões internacionais de governança tende a estar à frente do que o regulador local passa a exigir.
Dados de PJ no marketing B2B: o que muda
Pressao de demanda por dados de risco
No marketing B2B, o dado puramente corporativo, como razão social, CNPJ, CNAE e endereço comercial, tem proteção mais branda porque não identifica pessoa natural. O risco aparece quando se agregam nome, cargo, e-mail nominal e telefone direto de um indivíduo, transformando a base em dado pessoal sujeito à LGPD.
A prospecção B2B é viável sob legítimo interesse, desde que haja relação plausível entre o contato e a oferta, transparência na primeira comunicação e canal fácil de oposição (opt-out). O abuso, listas compradas sem origem, disparo em massa sem relação, é o que atrai reclamação e sanção.
| Tipo de dado | Natureza | Base legal usual | Cuidado principal |
|---|---|---|---|
| Razao social, CNPJ, CNAE | Corporativo puro | Fora do escopo de dado pessoal | Atualizacao e veracidade |
| E-mail nominal do contato | Dado pessoal | Legitimo interesse | Transparencia e opt-out |
| Dado de risco/crédito da PJ | Misto | Cadastro Positivo + LGPD | Finalidade e seguranca |
| Quadro societário (PF) | Dado pessoal | Obrigacao legal / legitimo interesse | Fonte licita e minimizacao |
O cenário econômico aumenta a tentação de prospectar a frio. Com cerca de 9 milhões de empresas inadimplentes em abril de 2026 (Serasa Experian, 2026) e dívida total do país perto de R$557 bilhões em maio de 2026 (G1, mai/2026), cresce a demanda por dados de risco. Demanda alta não suspende a LGPD.
A qualidade do dado de contato também é questão de eficiência, não só de risco. Base desatualizada gera disparo para endereço morto, contato que mudou de empresa e telefone inválido, o que derruba a taxa de conversão e ainda multiplica reclamações. Dado velho é, ao mesmo tempo, passivo legal e desperdício comercial.
Origem lícita e minimização: o teste que separa o regular do arriscado
Origem lícita significa conseguir demonstrar de onde cada dado veio e por que o uso é legítimo. A LGPD não exige consentimento para tudo, mas exige rastreabilidade e finalidade. Dado sem proveniência conhecida é passivo, não ativo, porque não há como defender o tratamento diante de uma reclamação.
Minimização é o segundo filtro. Trata-se de coletar apenas o necessário para a finalidade declarada. Para qualificar uma PJ como cliente potencial, firmografia e situação cadastral bastam. Acumular dado pessoal sensível do sócio sem necessidade só amplia o risco sem agregar decisão.
- Proveniência: registrar a fonte de cada conjunto de dados e a base legal aplicável.
- Finalidade: usar o dado apenas para o propósito declarado ao titular.
- Minimização: descartar o que não serve à decisão de risco ou de venda.
- Direitos: ter processo para atender acesso, correção e oposição do titular.
A vigilância de pessoas está fora do jogo. A linha ética e legal é clara: avaliar a idoneidade e a saúde operacional de uma empresa é legítimo; perfilar e rastrear indivíduos é abusivo. Fornecedores sérios de dados operam com supervisão humana e fontes lícitas, não com raspagem indiscriminada.
A relação entre LGPD e demanda por dados de risco vai se intensificar com a economia pressionada. Com a dívida média por pessoa em R$6.728,51 em março de 2026 (G1, mai/2026) e a inadimplência empresarial em níveis recordes, cresce a busca por análise de crédito e por prospecção qualificada. Demanda maior por dado significa exigência maior de governança, não menor.
A conformidade vira, nesse contexto, fator de diferenciação comercial. Empresas que compram dados passam a exigir prova de origem lícita dos fornecedores, porque herdam o risco da cadeia. Quem trata privacidade como selo de qualidade ganha acesso a clientes que recusam fornecedor sem governança.
O treinamento das equipes de vendas e de risco completa o programa. A maioria dos incidentes de privacidade nasce de erro operacional, e-mail em cópia aberta, exportação indevida de base, uso fora da finalidade, e não de ataque sofisticado. Pessoa treinada é o controle mais barato e mais eficaz.
Governança de dados: o programa mínimo para 2026
Um programa de privacidade defensável tem inventário de dados, bases legais documentadas, política de segurança e plano de resposta a incidentes. Esse conjunto não é burocracia, é o que a ANPD pede quando abre um processo. Sem registro, a empresa não consegue provar boa-fé nem proporcionalidade.
O encarregado de dados, o DPO, é figura prevista em lei e ponto de contato com a autoridade e com titulares. Mesmo empresas de menor porte ganham ao nomear um responsável claro, porque a ausência de governança é justamente o que agrava a dosimetria de uma eventual sanção.
Quem compra dados de terceiros deve estender a exigência ao fornecedor. Contrato com cláusulas de LGPD, garantia de origem lícita e direito de auditoria transferem segurança para a operação. Comprar base barata sem proveniência é importar o passivo de outro para dentro de casa.
A anonimização e a pseudonimização são aliadas subaproveitadas. Quando a finalidade analítica não exige identificar a pessoa, trabalhar com dado agregado ou pseudonimizado reduz o risco regulatório sem perder valor de decisão. Para muitas análises de mercado B2B, o CNPJ e a firmografia bastam, e o dado pessoal sequer precisa entrar.
O registro das operações de tratamento, previsto na LGPD, é a espinha dorsal da defesa. Manter atualizado o registro das atividades de tratamento documenta finalidade, base legal e fluxo de cada dado. É esse documento que a empresa apresenta quando a ANPD pergunta o que faz e por quê.
Legítimo interesse: o teste que sustenta o uso
O legítimo interesse é a base legal mais útil para risco e prospecção B2B, mas exige um teste documentado para se sustentar. A LGPD pede o chamado teste de proporcionalidade: demonstrar a finalidade legítima, a necessidade do tratamento e o equilíbrio entre o interesse da empresa e os direitos do titular.
A finalidade tem de ser concreta. Avaliar a idoneidade de uma PJ para conceder crédito ou aceitar um seller é interesse legítimo claro. Disparar oferta a uma lista sem relação plausível com o destinatário, não. A diferença entre os dois casos é o que o regulador examina quando recebe uma reclamação.
A necessidade impõe a pergunta incômoda: dá para alcançar a finalidade com menos dado? Se a decisão de risco se resolve com firmografia e situação cadastral, agregar dado pessoal sensível do sócio reprova no teste. Excesso de coleta não fortalece o legítimo interesse, ele o enfraquece.
O equilíbrio fecha o teste. O titular tem de poder se opor com facilidade e entender de onde veio o dado. Transparência na primeira comunicação e opt-out funcional são o que tornam o legítimo interesse defensável. Documentar esse raciocínio antes do uso é o que separa a operação regular da exposta.
Incidentes de segurança e comunicação à ANPD
Um incidente de segurança com dados pessoais aciona deveres específicos na LGPD: avaliar o risco aos titulares e, quando relevante, comunicar a ANPD e os afetados em prazo razoável. A autoridade regulou a forma e o conteúdo dessa comunicação, e a omissão agrava a dosimetria de qualquer sanção (ANPD, 2026).
O vazamento de base de dados de PJ que contenha dados pessoais de contatos e sócios entra nesse regime. Não basta ter sofrido o ataque; é preciso demonstrar que havia medidas de segurança razoáveis e que a resposta foi tempestiva. Segurança da informação deixou de ser tema de TI para virar item de conformidade.
O plano de resposta a incidente é o que transforma caos em processo. Quem já tem inventário de dados sabe exatamente o que vazou, quem foi afetado e qual o risco. Quem não tem descobre tudo isso no pior momento, sob prazo regulatório e atenção pública.
A segurança da informação deixou de ser tema exclusivo de tecnologia. Criptografia, controle de acesso e minimização reduzem tanto o risco de incidente quanto a gravidade de uma eventual sanção, porque a ANPD pondera as medidas adotadas na dosimetria (ANPD, 2026). Investir em segurança é, também, investir em defesa regulatória.
O plano de resposta a incidente precisa ser ensaiado, não apenas escrito. Saber em horas o que vazou, quem foi afetado e qual o risco depende de inventário de dados pronto antes da crise. Empresa que descobre o próprio mapa de dados durante o incidente perde o prazo e a credibilidade ao mesmo tempo.
Comprar dados com segurança jurídica
Contratar um fornecedor de dados sem checar a proveniência é importar passivo. A LGPD responsabiliza a cadeia de tratamento, e quem usa a base responde pelo que ela contém. Por isso o contrato precisa garantir origem lícita, finalidade compatível e direito de auditoria sobre a fonte.
A diligência sobre o fornecedor espelha a diligência sobre clientes. Vale perguntar de onde vêm os dados, qual a base legal de coleta, como o titular pode exercer direitos e quais controles de segurança existem. Fornecedor que não responde a isso é risco contratado, não solução.
| Pratica | Operação exposta | Operação defensavel |
|---|---|---|
| Origem do dado | Lista sem proveniencia | Fonte licita documentada |
| Base legal | Indefinida ou trocada | Definida antes do uso |
| Direitos do titular | Sem canal | Acesso, correcao e oposicao |
| Seguranca | Sem plano de incidente | Plano e inventario prontos |
O resultado prático é qualidade. Base com proveniência tende a ser mais atualizada e acurada, justamente o que melhora a decisão de risco e a taxa de acerto na prospecção. Conformidade e performance, aqui, andam juntas, não em lados opostos.
O dado de PJ, bem governado, é vantagem competitiva mensurável. A demanda por análise de risco cresce com a inadimplência empresarial perto de 9 milhões de empresas em abril de 2026 (Serasa Experian, 2026), e quem oferece dado com origem lícita e atualizada decide melhor e vende mais. Conformidade vira atributo de produto, não custo de retaguarda.
A reforma tributária reforça essa demanda por outro caminho. Com o crédito da CBS e do IBS dependente da regularidade cadastral da cadeia (Receita Federal, 2026), conhecer a situação de cada CNPJ parceiro passa a ter valor fiscal direto, e esse conhecimento precisa respeitar a LGPD na origem.
A diferenciação por governança já aparece nas exigências de compra. Cada vez mais clientes pedem prova de origem lícita e cláusulas de LGPD do fornecedor de dados, porque herdam o risco da cadeia. Quem não consegue demonstrar proveniência perde negócio, não só fica exposto a multa.
A decisão de 2026: tratar privacidade como vantagem
A decisão de fundo é parar de ver a LGPD como obstáculo e passar a usá-la como filtro de qualidade. Base legal definida, origem lícita e minimização não só evitam multa, eles melhoram a própria operação de risco e de vendas, porque dado rastreável e atualizado decide melhor.
Três passos imediatos rendem mais: mapear quais bases pessoais existem no funil de risco e de marketing; definir e documentar a base legal de cada uso; e exigir de todo fornecedor de dados a prova de proveniência. O custo é baixo perto de uma sanção de até R$50 milhões por infração.
A fiscalização da ANPD em 2026 não pune quem usa dado, pune quem usa dado sem governança. Operar com transparência e fontes lícitas é, ao mesmo tempo, o caminho de menor risco regulatório e de maior qualidade de decisão. A conformidade, bem feita, é o melhor dado que a empresa pode ter.
Leia também no DataHub
Fontes
- Planalto - Lei 13.709/2018 (LGPD) (2018)
- ANPD - Autoridade Nacional de Protecao de Dados (2026)
- ANPD - Regulamento de dosimetria e aplicacao de sancoes (2026)
- Planalto - Lei 12.414/2011 (Cadastro Positivo) (2011)
- Planalto - LC 166/2019 (2019)
- Serasa Experian - Inadimplencia empresarial (2026)
- G1 - Raio-x da inadimplencia no Brasil (2026)