LGPD e dados de GPS de motoristas: o que a empresa pode (e não pode) fazer
Política de quilometragem por GPS no Brasil precisa atender LGPD. Como configurar coleta sem expor a empresa.
O que a LGPD considera dado de localização
A LGPD (Lei 13.709/2018) classifica dado de geolocalização como dado pessoal comum quando vinculado a pessoa física identificada — o que é sempre o caso quando a empresa rastreia veículo de colaborador. A localização não é, por si, dado sensível, mas combinada com horário, itinerário e padrão pode revelar saúde, religião ou orientação sexual, casos em que migra para a categoria sensível e exige base legal mais estrita.
Bases legais para rastreamento de quilometragem
Para o caso específico de reembolso de quilometragem por GPS, a ANPD reconhece três bases legais aplicáveis:
1. **Execução de contrato** (Art. 7º, V): quando o rastreamento é necessário para calcular o reembolso devido. É a base mais sólida e a que recomendamos. 2. **Legítimo interesse** (Art. 7º, IX): quando o rastreamento serve a controle de jornada, segurança ou eficiência operacional, exigindo Relatório de Impacto à Proteção de Dados (RIPD). 3. **Consentimento** (Art. 7º, I): só funciona se o consentimento for verdadeiramente livre — em relação trabalhista, isso é difícil de sustentar; a ANPD desaconselha como base principal.
A prática segura é combinar execução de contrato (com cláusula no contrato de trabalho ou aditivo) e legítimo interesse (com RIPD documentado).
Princípios a respeitar
A Lei exige:
- **Finalidade**: o rastreamento serve apenas para reembolso e controle do trabalho. Usar para fiscalizar a vida pessoal é finalidade incompatível e gera multa. - **Necessidade**: coletar apenas a localização do veículo durante o expediente. Coletar 24/7 é desproporcional. - **Adequação**: a precisão deve ser suficiente para o cálculo da rota; não é necessário rastreamento contínuo a cada 5 segundos. - **Transparência**: o colaborador precisa saber que está sendo rastreado, quando, por quem, com que dados e por quanto tempo serão guardados. - **Segurança**: criptografia em trânsito (TLS 1.2+) e em repouso (AES-256), controles de acesso baseados em função.
Janela de coleta: dentro do expediente apenas
A configuração técnica deve permitir que o motorista pause o GPS quando entra em horário pessoal. Apps modernas (incluindo Quilometragem) implementam um botão 'Modo pessoal' que suspende a coleta. A política deve documentar:
- Quando começa a coleta (início do expediente registrado). - Quando termina (fim do expediente). - Quando pode ser pausada (almoço, deslocamento pessoal autorizado, plantão).
A coleta fora do expediente, mesmo acidental, é uso indevido sob a LGPD.
Retenção de dados
Dados de localização vinculados a viagens reembolsadas devem ser mantidos:
- 5 anos (prazo de prescrição fiscal da Receita Federal). - Após esse período, anonimizar (remover identificação do colaborador) ou eliminar.
Dados de localização de viagens não reembolsadas (descartadas pelo aprovador, viagens pessoais capturadas por engano) devem ser eliminados em até 30 dias.
Direitos do titular
O colaborador tem direito a:
- **Acesso**: ver todos os dados de localização que a empresa mantém sobre ele. - **Correção**: pedir correção de viagens incorretas. - **Eliminação**: pedir eliminação de dados de localização não vinculados a obrigação legal (após o prazo fiscal). - **Portabilidade**: receber em formato estruturado (CSV/JSON) os dados que o concernem. - **Revogação**: revogar o consentimento e parar a coleta (se a base for consentimento).
O atendimento desses pedidos deve acontecer em até 15 dias.
RIPD: quando fazer
O Relatório de Impacto à Proteção de Dados é obrigatório quando o tratamento envolve:
- Dados em larga escala (mais de 100 colaboradores rastreados). - Avaliação ou monitoramento sistemático (rastreamento contínuo é monitoramento). - Decisão automatizada com efeitos jurídicos (cálculo automatizado de reembolso pode ser considerado, especialmente se rejeições são automáticas).
Na prática, qualquer empresa que rastreie mais de 50 motoristas deve produzir e manter atualizado um RIPD para a finalidade de quilometragem.
Comunicação à ANPD
Incidentes de segurança envolvendo dados de localização (vazamento, acesso não autorizado, perda de backup) devem ser comunicados à ANPD em prazo razoável — a Resolução CD/ANPD 15/2024 fixou 3 dias úteis para incidentes que possam causar risco ou dano relevante.
Checklist prático
1. Cláusula no contrato de trabalho mencionando rastreamento por GPS para reembolso. 2. Política de privacidade interna específica sobre dados de localização. 3. RIPD documentado e revisado anualmente. 4. Configuração técnica que limite coleta ao expediente. 5. Processo de atendimento a direitos do titular em até 15 dias. 6. Plano de resposta a incidentes alinhado com Resolução CD/ANPD 15/2024.