27/06/2026 · Equipe GálagoTEF
LGPD e dados de pagamento: boas práticas
Todo negócio que aceita cartão trata dados pessoais, e a LGPD (Lei Geral de Proteção de Dados, Lei 13.709/2018) define como isso deve ser feito. Aplicar a LGPD a dados de pagamento não é burocracia opcional: é o que protege o lojista de multas, vazamentos e perda de confiança do cliente. Este guia mostra o que muda quando o dado é financeiro e quais boas práticas adotar no dia a dia.
O que a LGPD considera dado pessoal em pagamentos
Nem todo dado de uma transação é “número de cartão”. A LGPD protege qualquer informação que identifique ou torne identificável uma pessoa natural. No contexto de pagamentos, isso inclui:
- Nome do portador impresso no cartão;
- CPF vinculado à venda ou à nota fiscal;
- Dados de contato coletados no caixa (e-mail, telefone, endereço de entrega);
- Histórico de compras associado a um cliente;
- Em alguns casos, os últimos dígitos do cartão combinados a outros dados.
O número completo do cartão (PAN), a validade e o código de segurança são regidos também pelo padrão PCI DSS, tema que tratamos em PCI DSS: o que o lojista precisa saber. LGPD e PCI se complementam: um cuida da privacidade da pessoa, o outro da segurança do dado do cartão.
Bases legais para tratar dados de pagamento
A LGPD exige uma base legal para cada tratamento. Para pagamentos, as mais comuns são:
- Execução de contrato: processar a venda que o cliente pediu não precisa de consentimento separado — é necessário para cumprir o negócio.
- Obrigação legal: guardar dados fiscais e de transação pelo prazo exigido pela Receita e pelo Banco Central.
- Legítimo interesse: prevenção a fraude, por exemplo, pode se apoiar aqui, desde que documentado e proporcional.
- Consentimento: necessário para usos que fogem da venda, como enviar marketing ou compartilhar dados com terceiros para fins próprios.
O erro clássico é pedir consentimento para tudo. Se o tratamento é necessário para a venda, a base correta costuma ser execução de contrato, não consentimento — que o cliente poderia revogar.
Boas práticas no tratamento de dados de pagamento
Independentemente da base legal, alguns cuidados reduzem drasticamente o risco:
- Minimize a coleta. Só peça CPF, e-mail ou telefone se houver finalidade real. Dado que você não guarda não vaza.
- Nunca armazene o CVV. O código de segurança não pode ser retido após a autorização — isso vale tanto para PCI quanto como boa prática de LGPD.
- Use tokenização. Substitua o número do cartão por um token sempre que precisar referenciar a transação depois. Explicamos o mecanismo em Segurança em TEF: tokenização e criptografia.
- Controle acessos. Cada colaborador vê só o necessário. Registre quem acessou o quê.
- Defina prazos de retenção. Guarde pelo tempo da obrigação legal e descarte com segurança depois.
- Criptografe em trânsito e em repouso. HTTPS/TLS na comunicação e criptografia no banco.
Direitos do titular e como respondê-los
O cliente pode pedir acesso, correção, portabilidade ou exclusão dos dados. Nem tudo pode ser apagado — dados fiscais e de transação precisam ser mantidos pelo prazo legal —, mas você deve saber responder. Tenha um canal claro para receber solicitações e um responsável pelo tema. Um registro organizado das transações ajuda a atender esses pedidos sem virar caça ao tesouro; boas rotinas de conciliação de cartões já deixam esse histórico rastreável.
E se houver vazamento?
Em incidente que possa gerar risco relevante aos titulares, a LGPD exige comunicar a ANPD e os afetados em prazo razoável. Ter logs, backups e um plano de resposta definido antes do incidente faz toda a diferença na hora de conter o dano e demonstrar diligência.
O papel do hub de TEF na conformidade
Concentrar as transações em um hub reduz a superfície exposta: em vez de vários pontos guardando dados sensíveis, o fluxo passa por uma camada única, com criptografia, tokenização e auditoria. O GálagoTEF registra cada transação com trilha de auditoria e isolamento por empresa, o que facilita atender tanto a LGPD quanto exigências de segurança de pagamento. Você pode acompanhar como os dados trafegam consultando a documentação da API.
Tratar dados de pagamento com responsabilidade é proteger o seu negócio e o seu cliente ao mesmo tempo. Comece a centralizar e auditar seus pagamentos em maquininha com o GálagoTEF: crie sua conta em app.galagotef.com.br e tenha controle e conformidade desde o primeiro swipe.