A Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor em setembro de 2020, mas muitos profissionais ainda não perceberam o quanto ela se aplica ao trabalho cotidiano com documentos PDF.
Contratos com CPF do cliente. Holerites com dados do funcionário. Laudos com informações de saúde. Procurações com dados pessoais. Todo dia, escritórios e empresas processam dezenas de documentos PDF que contêm dados pessoais no sentido da LGPD.
Este guia explica o que a lei exige na prática — sem juridiquês desnecessário.
O que é um "dado pessoal" segundo a LGPD?
O art. 5º, I da LGPD define dado pessoal como "qualquer informação relacionada à pessoa natural identificada ou identificável". Na prática, isso inclui:
- Identificadores diretos: CPF, RG, CNH, passaporte, título de eleitor
- Dados de contato: nome completo, e-mail, telefone, endereço
- Dados financeiros: número de conta, dados de cartão, histórico de transações
- Dados de saúde: diagnósticos, laudos, prontuários, atestados médicos
- Dados biométricos: fotos que permitam identificação facial
- Dados profissionais: cargo, salário, histórico trabalhista
Se um PDF contém qualquer um desses elementos, você está tratando dados pessoais e a LGPD se aplica.
🔴Dado sensível = proteção reforçada
Dados sobre saúde, origem racial, religião, orientação sexual e biometria são dados sensíveis pela LGPD e exigem proteção ainda maior. Laudos médicos, prontuários e exames admissionais contêm dados sensíveis.
Quem precisa se preocupar?
A LGPD se aplica a qualquer pessoa física ou jurídica que realize o tratamento de dados pessoais — e tratamento inclui coleta, produção, armazenamento, transmissão, modificação, comunicação e eliminação. Praticamente todo profissional que trabalha com documentos.
Advogados e escritórios de advocacia
A OAB emitiu orientações específicas: escritórios de advocacia são controladores de dados no sentido da LGPD quando coletam e utilizam dados pessoais de clientes, adversários e testemunhas. Documentos como:
- Procurações com CPF, RG e endereço do cliente
- Contratos de honorários com dados financeiros
- Documentos de instrução de processo (certidões, laudos, extratos)
...todos contêm dados pessoais que precisam ser tratados com base legal adequada.
Contadores e escritórios contábeis
Nenhuma área lida com mais dados pessoais e financeiros do que a contabilidade. Folhas de pagamento, declarações de IRPF, notas fiscais, extratos bancários de clientes — tudo isso é dado pessoal ou dado financeiro sensível.
O envio de PDFs com esses dados por e-mail sem criptografia, por exemplo, pode configurar uma falha de segurança notificável à ANPD se houver incidente.
Profissionais de RH
O setor de RH é um dos que mais concentra dados pessoais e sensíveis: admissões com exames médicos, folhas de pagamento, ficha de funcionário com dados completos, atestados de saúde. A LGPD exige:
- Minimização: coletar apenas o que é necessário para a finalidade
- Finalidade: não usar dados do funcionário para fins que ele não autorizou
- Segurança: proteger os dados contra acesso não autorizado
O que muda na prática com PDFs?
1. Você não pode compartilhar mais do que o necessário
Quando envia um PDF com dados pessoais para terceiros (cliente, contador, parceiro), avalie: essa pessoa precisa de todos os dados que estão no documento? Se não, você deve redatar (tarjar) as informações que não são necessárias para a finalidade daquela comunicação.
Exemplo prático: um corretor de imóveis que solicita extrato bancário do locatário para análise de crédito não precisa ver os metadados do documento nem o número de conta completo — apenas o saldo e as movimentações relevantes.
2. Metadados de PDF também são dados pessoais
Um PDF gerado pelo Word ou pelo Adobe Acrobat carrega metadados invisíveis: nome do autor, empresa, data de criação, histórico de revisões. Se você enviar um documento com o nome do criador para um terceiro, está transmitindo um dado pessoal — frequentemente sem intenção.
A solução é remover os metadados antes de compartilhar documentos externos.
3. CPF e dados de identificação devem ser tachados quando não essenciais
A prática de tarjar (redigir) dados pessoais em documentos já existe em processos judiciais há anos — tribunais exigem a tarja de CPF e dados sensíveis em documentos públicos para proteger as partes. Com a LGPD, essa prática se estende ao ambiente corporativo.
Se você está enviando um documento que contém CPF de terceiros para uma finalidade onde esse dado não é necessário, tache-o.
💡Tarjar ≠ deletar
Tarjar (redigir) um dado em PDF significa torná-lo visualmente ilegível no documento, sobrepondo uma caixa preta sobre o texto. Isso é diferente de simplesmente colocar um retângulo branco por cima — o dado original permaneceria acessível.
4. O armazenamento precisa ser seguro
PDFs com dados pessoais armazenados em pastas públicas de rede, pen drives sem senha ou serviços de nuvem sem controle de acesso representam risco de incidente. A LGPD não exige que você use tecnologia de ponta, mas exige que adote medidas técnicas e administrativas razoáveis para proteger os dados.
5. Retenção e descarte
Você não pode guardar dados pessoais indefinidamente. A LGPD exige que os dados sejam mantidos apenas pelo tempo necessário para a finalidade que justificou sua coleta. Quando o prazo termina (contratual, legal ou regulatório), os dados devem ser eliminados ou anonimizados.
Ferramentas para conformidade com PDFs
O pdfbr foi construído com LGPD by design: nenhum arquivo é enviado para servidores externos, e as ferramentas foram desenvolvidas especificamente para as necessidades de conformidade do profissional brasileiro.
Tarjar CPF em PDF
Detecta e tarja automaticamente CPFs, RGs e CNPJs em documentos PDF. Ideal para compartilhar documentos sem expor dados pessoais desnecessários.
Remover Metadados de PDF
Remove nome do autor, empresa, datas e outros metadados invisíveis do PDF antes de compartilhar externamente.
Penalidades da LGPD
A ANPD (Autoridade Nacional de Proteção de Dados) tem competência para aplicar as seguintes sanções (art. 52 da LGPD):
| Sanção | Limite |
|---|---|
| Advertência | — |
| Multa simples | Até 2% do faturamento, limitada a R$ 50 milhões por infração |
| Multa diária | R$ 50 milhões por infração |
| Publicização da infração | — |
| Bloqueio dos dados | — |
| Eliminação dos dados | — |
⚠️Pequenas empresas também estão sujeitas
A LGPD se aplica independentemente do porte da empresa. Pequenos escritórios de advocacia, consultorias e empresas individuais que tratam dados pessoais precisam estar em conformidade.
Por onde começar
A conformidade com a LGPD é um processo, não um evento único. Para quem trabalha com PDFs, três passos iniciais têm o maior impacto:
- Mapeie quais documentos PDF que você processa contêm dados pessoais
- Adote a prática de tarjar dados desnecessários antes de compartilhar documentos externamente
- Remova metadados de todos os PDFs que saem da sua organização
Para uma visão completa das nossas práticas e compromissos com a LGPD, consulte nossa página de conformidade LGPD.
Perguntas frequentes
A LGPD se aplica a documentos físicos?
Sim. A LGPD se aplica ao tratamento de dados pessoais em qualquer meio, incluindo documentos físicos. Na prática, escritórios que digitalizam documentos (criando PDFs de contratos físicos) passam a tratar dados tanto no meio físico quanto digital.
Preciso de consentimento para processar dados de clientes em PDFs?
Não necessariamente. O consentimento é apenas uma das bases legais da LGPD. Para dados de clientes, a base mais comum é a execução do contrato (art. 7º, V) ou o legítimo interesse do controlador. O consentimento expresso é necessário para dados sensíveis sem outra base legal aplicável.
O que fazer se houver um vazamento de PDFs com dados pessoais?
A LGPD exige notificação à ANPD e ao titular dos dados em casos de incidente de segurança que possa acarretar risco ou dano relevante. O prazo recomendado pela ANPD é de 72 horas após a ciência do incidente.