CreciFlowAgendar demonstração
LGPD e Compliance

LGPD para Imobiliárias: Guia Completo 2026 (Com Checklist)

Imobiliária trata dados sensíveis em escala — corretores, clientes, imóveis, leads. Este guia cobre obrigações, base legal para prospecção B2B, tratamento de dados públicos do CRECI, implementação prática em 8 passos, checklist pronto e as multas que imobiliárias já levaram.

Por João Lucas Ucceli·21 de abril de 2026·8 min de leitura

A LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018) se aplica a toda imobiliária que trata dados pessoais de brasileiros. Isso inclui dados de corretores, clientes compradores, locatários, proprietários e visitantes do site. Em 2026, a ANPD já sanciona PMEs, a cobrança cresceu e o risco deixou de ser teórico.

Este guia é operacional. Cobre o que a lei exige da imobiliária, as bases legais corretas para prospecção comercial, o tratamento específico de dados públicos do CRECI (seção crítica porque protege o modelo de negócio de quem faz captação ativa), um plano de implementação em 8 passos e um checklist pronto para usar com o time.

Não substitui aconselhamento jurídico — é o briefing para você contratar advogado bem informado, ou implementar o básico com confiança.

O que é LGPD aplicada à imobiliária

A LGPD regula toda operação com dados pessoais: coleta, armazenamento, uso, compartilhamento, eliminação. Para uma imobiliária típica, isso aparece em:

  • Banco de corretores (CRECI + contato para captação)
  • CRM de clientes compradores e locatários (nome, CPF, renda, documentos)
  • Base de proprietários que anunciam (CPF, conta bancária, documentos do imóvel)
  • Leads do site (nome, e-mail, telefone)
  • Câmeras na loja (imagem = dado pessoal)
  • WhatsApp comercial (mensagens, número)

Tudo isso é tratamento de dado pessoal. Tudo isso precisa de base legal, finalidade e segurança.

As 5 obrigações principais da imobiliária

1. Ter base legal para cada tratamento

Você não pode tratar dado pessoal sem uma das 10 bases legais do art. 7º. As que mais aparecem em imobiliária:

  • Consentimento (art. 7º I) — precisa ser livre, informado, específico
  • Execução de contrato (art. 7º V) — cliente em processo de compra ou locação
  • Legítimo interesse (art. 7º IX) — prospecção B2B, segurança, analytics
  • Obrigação legal (art. 7º II) — retenção fiscal de documentos
  • Proteção ao crédito (art. 7º X) — análise de locatário com SPC/Serasa

Sem base legal registrada, qualquer tratamento é ilícito.

2. Informar o titular (transparência)

O titular precisa saber o que você faz com os dados dele. Na prática:

  • Página de Política de Privacidade acessível
  • Aviso em formulários sobre o tratamento
  • Resposta rápida a pedidos de informação

3. Garantir direitos do titular

Art. 18 lista 9 direitos: confirmação, acesso, correção, anonimização, portabilidade, eliminação, informação de compartilhamento, revogação de consentimento, oposição.

Você tem 15 dias para responder a cada pedido (art. 19).

4. Proteger (segurança técnica e administrativa)

Medidas mínimas:

  • Controle de acesso (senha forte, 2FA)
  • Criptografia em trânsito (HTTPS, WhatsApp cifrado)
  • Backups
  • Registro de acessos
  • Contratos com operadores (quem trata dados em seu nome)

5. Registrar (accountability)

Art. 37: manter registro das operações de tratamento. Isso é o Registro de Atividades de Tratamento (RAT). Obrigatório para controlador.

Base legal para prospecção B2B — a parte crítica

Esta é a seção que protege seu modelo de negócio se você faz captação ativa de corretores.

Consentimento não se aplica na maioria dos casos

Pedir consentimento a 1000 corretores por e-mail antes de prospectar é impraticável. E não é necessário.

Legítimo interesse é a base correta

Art. 7º IX autoriza o tratamento baseado em legítimo interesse do controlador ou terceiro. Para prospecção B2B usando dados CRECI, três elementos precisam estar presentes:

  1. Interesse legítimo claro — captação de corretor para operação imobiliária é atividade comercial regular e lícita.
  2. Finalidade específica — oferta deve ser alinhada à profissão pela qual o titular está publicamente inscrito (parceria, contratação, acordo de indicação). Não serve pra oferecer imóvel pra ele comprar ou curso de yoga.
  3. Equilíbrio de direitos — o titular não pode ser surpreendido ou sobrecarregado. Abordagem razoável, frequência controlada, opção de sair.

Dados manifestamente públicos — reforço adicional

Art. 7º IV permite tratamento de dados tornados manifestamente públicos pelo titular. Inscrição no CRECI é um dado tornado público por exigência legal (Lei 6.530/1978) — o profissional precisa estar publicamente inscrito pra exercer a atividade.

A combinação dos dois dispositivos — legítimo interesse + dado público — é a sustentação jurídica mais robusta para prospecção B2B de corretor no Brasil em 2026.

O que torna isso frágil

  • Abordagem fora do escopo profissional → perde legítimo interesse
  • Ignorar direito de oposição → vira tratamento abusivo
  • Não ter processo documentado → dificulta defesa em caso de reclamação

Dados públicos do CRECI e LGPD — seção específica

Os cadastros do CRECI estadual (CRECI-SP, CRECI-RJ, CRECI-MG etc.) são fontes públicas oficiais. Incluem nome, número, situação, cidade, por vezes contato profissional público.

O que é permitido

  • Coletar e armazenar para fins de prospecção B2B alinhada à profissão
  • Compartilhar a base com cliente da imobiliária (operador) sob contrato
  • Usar como referência para qualificação comercial

O que não é permitido

  • Usar pra oferta estranha à profissão do titular
  • Vender a base como produto final pra pessoas físicas sem controle
  • Ignorar pedido de oposição e continuar contactando

Pedido de oposição — fluxo correto

Quando o corretor pede pra não ser contatado:

  1. Confirmar recebimento por escrito
  2. Registrar no sistema (campo opt_out_em, data e motivo quando informado)
  3. Excluir de qualquer cadência ativa
  4. Solicitar ao fornecedor da base (se aplicável) que exclua o contato das próximas entregas
  5. Arquivar a solicitação por 5 anos como prova de compliance

::cta-whatsapp:Operar LGPD-first é mais fácil quando a fonte já entrega base limpa::

Implementação prática — 8 passos

Passo 1 — Mapear dados tratados

Lista bruta de tudo: que dado, de onde vem, onde fica armazenado, quem acessa, por quanto tempo.

Tempo: 4-8 horas.

Passo 2 — Definir base legal para cada tratamento

Para cada item do mapa, definir qual art. 7º se aplica. Registrar no RAT.

Tempo: 2-4 horas.

Passo 3 — Publicar Política de Privacidade e Termos de Uso

Páginas acessíveis no site, linguagem clara, atualizadas quando mudar tratamento.

Tempo: 4-8 horas (pode partir de template, mas deve ser adaptado).

Passo 4 — Designar encarregado e publicar canal

E-mail dedicado (ex: dpo@imobiliaria.com) na página de privacidade.

Tempo: 1 hora.

Passo 5 — Montar RAT (Registro de Atividades de Tratamento)

Planilha ou documento com: finalidade, base legal, categorias de dados, compartilhamentos, retenção, medidas de segurança.

Tempo: 4-6 horas (primeira versão).

Passo 6 — Contratos com operadores

Quem trata dados em seu nome (fornecedor de base, CRM, WhatsApp Business API, agência de marketing) precisa ter cláusula LGPD. Operador sério já tem modelo.

Tempo: 1-2 horas por contrato.

Passo 7 — Processo de atendimento aos titulares

Fluxo documentado: como recebe, quem analisa, quem responde, em quanto tempo, onde registra.

Tempo: 3-4 horas.

Passo 8 — Treinamento da equipe

Time comercial precisa saber o básico: o que pode, o que não pode, pra quem encaminhar dúvida.

Tempo: 1-2 horas em treinamento único + reforço semestral.

Total estimado: 20-35 horas para implementação inicial. Operação depois leva 2-5 horas/mês.

Checklist LGPD para imobiliária

Use como auditoria rápida. Se tiver mais de 3 itens não marcados, priorize correção.

Documentação

  • Política de Privacidade publicada no site
  • Termos de Uso publicados
  • RAT (Registro de Atividades de Tratamento) existe
  • Encarregado designado e canal público
  • Base legal registrada para cada tratamento

Processos

  • Fluxo de atendimento a titular documentado
  • Prazo de 15 dias respeitado nas respostas
  • Opt-outs registrados em campo específico do sistema
  • Contratos com operadores têm cláusula LGPD
  • Treinamento inicial da equipe realizado

Técnica

  • HTTPS em todo o site
  • Senhas de sistema são fortes (gerenciador de senhas)
  • 2FA em acessos críticos (CRM, e-mail, WhatsApp)
  • Backups regulares e testados
  • Registro de acessos habilitado onde possível

Dados CRECI específicos

  • Origem da base documentada (fonte pública oficial)
  • Base legal registrada (art. 7º IV + IX)
  • Fornecedor (se aplicável) tem política LGPD pública
  • Pedidos de oposição são transmitidos ao fornecedor
  • Uso limitado à finalidade profissional do titular

Erros comuns que viram multa

Erro 1 — Usar consentimento onde não é a base correta

Sintoma: formulário "autorizo tratamento" colocado em toda interação. Parece seguro, mas pode ser inválido (art. 8º §4º — consentimento genérico não vale).

Correção: revisar caso a caso. Contrato usa execução de contrato. Prospecção B2B usa legítimo interesse. Newsletter usa consentimento específico.

Erro 2 — Ignorar pedido de oposição

Sintoma: corretor escreveu pedindo remoção, time comercial continuou contatando porque "esqueceu".

Correção: processo de opt-out automático no CRM. Remoção em 48h e exclusão em 15 dias.

Erro 3 — Operador sem contrato LGPD

Sintoma: agência de marketing acessa seu CRM, mas contrato é antigo e não tem cláusula de tratamento. Se vazar, responsabilidade sua.

Correção: adendo LGPD em todo contrato de operador. Modelo existe em várias referências públicas.

Erro 4 — Retenção eterna

Sintoma: cliente de 2019 ainda está no CRM ativo. Zero necessidade legal ou comercial.

Correção: política de retenção escrita. Dados de lead sem ação: 12-24 meses. Contrato encerrado: 5 anos fiscais + eliminação.

Erro 5 — Sem DPO visível

Sintoma: titular quer exercer direito e não encontra canal. Vira reclamação direto na ANPD.

Correção: e-mail dedicado, facilmente localizável no rodapé do site e na Política de Privacidade.

Multas reais aplicadas (referência 2024-2025)

A ANPD publica decisões. Alguns casos relevantes:

  • Empresa de pequeno porte por vazamento de dados: advertência + obrigação de adequação
  • Empresa média por não responder titular: multa R$ 14.400
  • Empresa grande (não imobiliária) por tratamento excessivo: multa R$ 48 milhões
  • Reincidência é agravante severo

A tendência é crescente em frequência e valor. Imobiliária com processo mínimo documentado tem defesa muito mais robusta — normalmente, advertência vira multa só em caso de má-fé ou omissão deliberada.

Conclusão

LGPD não é projeto de 6 meses com consultoria cara. Para imobiliária PME, é um sprint de 3-4 semanas de trabalho focado + 2-5 horas/mês de manutenção.

O principal ganho não é evitar multa — é permitir que a operação cresça sem virar dor. Time comercial confiante de que o que faz é legítimo, cliente confiante de que os dados estão seguros, corretor confiante de que a abordagem respeita a lei.

Se você está pensando em escalar captação de corretor com base LGPD-first, a demonstração do CreciFlow mostra na prática como a origem dos dados + tratamento + canal de oposição ficam documentados. 5 a 10 minutos no WhatsApp — ver como funciona.

Para detalhes específicos sobre origem dos dados do CRECI, ver LGPD e origem dos dados.

Perguntas frequentes

Imobiliária precisa ter encarregado (DPO) pela LGPD?+

A LGPD não obriga toda empresa a ter DPO formal, mas exige que um responsável pelo tratamento esteja designado publicamente (art. 41). Para imobiliárias com volume relevante de dados (>1000 titulares ativos), designar DPO é fortemente recomendado.

Posso usar dados públicos do CRECI pra prospectar corretores?+

Sim, com base legal sólida. Art. 7º IV da LGPD permite tratamento de dados tornados manifestamente públicos pelo titular. O art. 7º IX autoriza o tratamento baseado em legítimo interesse. A combinação dos dois sustenta a prospecção B2B de corretor, desde que a finalidade seja alinhada à profissão pela qual ele está publicamente inscrito.

O que é legítimo interesse e quando posso usar?+

Legítimo interesse (art. 7º IX) é base legal para tratamento quando há interesse legítimo do controlador, finalidade específica, e direitos do titular são preservados. Requer teste LIA (Legitimate Interest Assessment). Para prospecção B2B usando dados CRECI, é a base mais adequada.

Cliente pede pra apagar dados — como devo responder?+

Você tem até 15 dias para responder formalmente a qualquer solicitação (art. 19). Se for exclusão possível (tratamento por legítimo interesse ou consentimento), executar. Se houver obrigação legal de retenção (fiscal, contrato em vigor), explicar o prazo e a base. Registrar tudo.

Quanto custa uma multa de LGPD para imobiliária PME?+

Multas podem chegar a 2% do faturamento (limite R$ 50 milhões por infração). Na prática, a ANPD tem aplicado sanções proporcionais — desde advertência até multas de R$ 20 mil a R$ 500 mil em PMEs. Reincidência e falta de cooperação pioram.

Preciso de consentimento pra enviar proposta por WhatsApp?+

Não necessariamente. Se o contato foi obtido publicamente e a mensagem é alinhada à profissão do titular (ex: corretor recebendo convite para parceria imobiliária), legítimo interesse cobre. Se o titular pedir pra parar, você precisa parar — isso é o direito de oposição.

Qual a diferença entre controlador e operador?+

Controlador decide sobre o tratamento (ex: imobiliária que decide prospectar X corretores). Operador executa sob instrução (ex: agência terceirizada que faz as abordagens). Ambos têm responsabilidades, mas o controlador responde primeiro.

Compliance LGPD só importa se eu for grande?+

Não. A ANPD já aplicou sanções em empresas pequenas. O dever de diligência é proporcional ao risco, não ao tamanho. PME que trata dados de milhares de corretores tem risco relevante — precisa de processo mínimo mesmo com equipe reduzida.

Quer ver a base da sua região ao vivo?

Demonstração rápida no WhatsApp — 5 a 10 minutos. Você sai com uma amostra real da base filtrada pelo seu estado.

Agendar demonstração →