A LGPD não impede o enriquecimento de dados em cobrança — ela define as condições para que esse tratamento seja legítimo. Em geral, o uso de e-mail, CPF e sinais digitais para qualificar uma carteira de inadimplentes se apoia na execução de contrato ou no legítimo interesse do credor, e não exige consentimento adicional do devedor. O ponto central não é "pode ou não pode", e sim ter finalidade clara, usar apenas o necessário e tratar os dados com segurança.
Atualizado em junho de 2026 · por Autentify
conteúdo informativo · não substitui orientação jurídica
Quando o assunto é LGPD, é comum que a primeira reação seja perguntar "posso ou não posso usar esse dado?". Mas a lei não funciona como uma lista de dados proibidos e permitidos — ela funciona em torno de finalidade, base legal e proporcionalidade. A mesma informação pode ser perfeitamente legítima em um contexto e problemática em outro, dependendo de por que e como ela é usada.
No caso de cobrança, existe uma relação contratual de origem: alguém contraiu uma dívida, e o credor tem o direito — e em muitos casos a obrigação regulatória — de tentar recuperá-la de forma adequada. Enriquecer os dados desse contato para entender se o e-mail cadastrado ainda é válido, ou se o canal de contato está atualizado, está dentro da finalidade original da relação: cobrar uma dívida real, de forma eficiente e com menos desgaste para ambos os lados.
A LGPD prevê dez bases legais para tratamento de dados pessoais. Em operações de cobrança, duas costumam ser as mais aplicáveis.
Quando o tratamento é necessário para executar um contrato do qual o titular é parte — por exemplo, cobrar uma dívida originada de um contrato de crédito, compra ou prestação de serviço.
Quando o credor tem um interesse legítimo em recuperar valores devidos, desde que esse interesse seja equilibrado com os direitos e expectativas do titular dos dados — daí a importância de proporcionalidade.
Essas bases não autorizam qualquer uso de dados pessoais — apenas o que é necessário e proporcional à finalidade de cobrança. Usar os mesmos dados para fins não relacionados exigiria outra base legal.
Documente que o enriquecimento serve para qualificar contatos de uma carteira em atraso, e não para outros fins.
Use apenas os dados necessários — e-mail e CPF são suficientes para a maior parte das decisões de priorização.
Garanta que sua política de privacidade descreva, em linguagem acessível, que dados de contato podem ser enriquecidos para fins de cobrança.
Trabalhe com fornecedores que tenham infraestrutura segura e práticas alinhadas à LGPD, com contratos de processamento de dados claros.
Os riscos de compliance em enriquecimento de dados raramente vêm do enriquecimento em si — vêm do uso fora da finalidade original. Por exemplo: usar dados enriquecidos de uma carteira de cobrança para campanhas de marketing não relacionadas, ou compartilhar essas informações com terceiros sem uma base legal própria para esse novo uso.
Outro ponto de atenção é a retenção: dados enriquecidos devem ser mantidos apenas pelo tempo necessário para a finalidade de cobrança, e não armazenados indefinidamente "por precaução". Ter um fornecedor que processa os dados sem retê-los além do necessário ajuda a manter essa governança simples.
Em resumo: o enriquecimento de dados para cobrança é uma prática comum e, em geral, compatível com a LGPD — desde que esteja ancorado em uma finalidade real (recuperar uma dívida existente), use o mínimo necessário e seja tratado com segurança. Este conteúdo é informativo e não substitui orientação jurídica especializada para o seu caso específico.
Sim, desde que exista uma base legal adequada para o tratamento, como a execução de um contrato preexistente ou o legítimo interesse do credor em cobrar uma dívida real. A LGPD não proíbe o enriquecimento, mas exige que ele seja proporcional e justificável.
Na maioria dos casos de cobrança, a base legal usada não é o consentimento, e sim a execução de contrato ou o legítimo interesse, já que existe uma relação contratual e uma dívida real por trás do tratamento. Ainda assim, é importante que o titular seja informado sobre o tratamento, conforme a política de privacidade do credor.
Dados como e-mail, CPF, histórico digital e sinais de risco financeiro não são, por padrão, dados sensíveis na definição da LGPD (que trata de origem racial, saúde, religião, etc.), mas exigem cuidado por serem dados pessoais — o que implica em finalidade definida, minimização e segurança no tratamento.
A Autentify opera com infraestrutura em AWS e práticas alinhadas à LGPD, processando e-mail e CPF para gerar scores e recomendações sem expor dados sensíveis adicionais. As políticas completas estão descritas em autentify.com.br/privacy.html.
O que é, o que muda em cada contato e como aplicar na sua carteira.
Como o Collections entrega essa camada de dados via API ou em lote.
Como a plataforma trata dados pessoais em todos os seus produtos.
Converse com um especialista sobre como o Collections enriquece carteiras de cobrança de forma alinhada à LGPD.