Beta · Estamos validando o produto. Pode ter instabilidades. Saiba mais

leituradeplaca
Voltar para o blog
·11 min·Israel Oriente

LGPD e placa de veículo: você pode armazenar imagens e dados de placas captadas?

Análise prática sobre placa de veículo como dado pessoal sob a LGPD, base legal para captura, retenção, anonimização e responsabilidades de quem opera câmeras de leitura de placa.

lgpdcompliancelegal

Aviso: este post foi escrito por dev, não por advogado. Reflete a leitura técnica da LGPD aplicada ao caso de OCR de placa, mas não substitui orientação jurídica formal. Para implementação em produção em casos sensíveis (fiscalização pública, vigilância, contratos B2B com cláusula de proteção de dados), contrate revisão de advogado especializado em LGPD.

A pergunta aparece em todo projeto que envolve câmera + placa: "posso armazenar isso?". A resposta curta é "depende". A resposta longa exige entender três coisas: quando placa é dado pessoal, qual base legal você invoca para tratar, e qual é a responsabilidade técnica que cai sobre você.

Vou destrinchar.

A placa é dado pessoal?

A LGPD (Lei 13.709/2018) define no art. 5º, I:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

A placa do veículo, isoladamente, é apenas um identificador do veículo (não da pessoa). Mas:

  1. Combinada com a base do RENAVAM/DETRAN, ela identifica o proprietário (CPF, endereço)
  2. Combinada com fotos contextuais (rosto do motorista, hora, local), pode identificar o condutor
  3. Combinada com histórico de presença (carro X passou no portão Y às 14h), revela rotina de uma pessoa identificável

A ANPD (Autoridade Nacional de Proteção de Dados) já se posicionou em comunicado oficial que placa de veículo é dado pessoal sempre que houver possibilidade razoável de associá-la a uma pessoa, mesmo sem essa associação ser feita ativamente pelo controlador.

Conclusão prática: se você capta placa, assuma que está tratando dado pessoal. Não vale o argumento "é só uma placa, não é nome".

Quem é o controlador, quem é o operador?

Distinção crítica que muda quem responde por o quê:

  • Controlador (art. 5º, VI): quem decide o propósito e os meios do tratamento
  • Operador (art. 5º, VII): quem executa o tratamento em nome do controlador

Exemplo concreto

Cenário: estacionamento usa câmera para registrar entrada/saída e cobrar pelo tempo. Manda fotos para uma API de OCR.

  • Controlador: o estacionamento. Foi ele que decidiu coletar, por quê coletar (faturamento), e quanto tempo guardar.
  • Operador: a API de OCR (no caso, a leituradeplaca). Recebe a foto, executa o reconhecimento, devolve o texto. Não decide nada sobre os dados.

Quem é responsável por garantir base legal, comunicar incidentes e responder a titulares: o controlador (estacionamento). O operador tem deveres acessórios (segurança, restituição/eliminação ao fim do contrato), mas não responde como se fosse o controlador.

Por que isso importa para você

Se você está construindo um sistema que usa nossa API:

  • Você é o controlador.
  • Nós (leituradeplaca) somos operador.
  • Você precisa de base legal para captar a placa (próxima seção).
  • Nós precisamos de contrato (DPA — Data Processing Agreement) que registra essa relação. Nossa Política de Privacidade cobre isso para clientes self-serve.

Se você está construindo um produto que outras empresas vão usar para captar placa — você é simultaneamente operador (em relação ao seu cliente) e responsável por exigir base legal dos seus clientes. Mais complicado.

Quais bases legais funcionam para captar placa?

A LGPD lista 10 bases (art. 7º). Quatro são realisticamente aplicáveis a OCR de placa:

1. Execução de contrato (art. 7º, V)

A base mais sólida para a maioria dos casos comerciais.

Quando se aplica:

  • Estacionamento cobra pelo tempo → coletar placa é necessário para emitir nota e cobrar
  • Pedágio Free Flow → idem
  • Locadora de veículo registra entrega/devolução → idem

O que exige:

  • Cliente assinou contrato com você (mesmo que digital, ao entrar no estacionamento) ou
  • Está em fase pré-contratual (cotação, reserva)
  • O tratamento é necessário para executar o contrato (não acessório)

2. Legítimo interesse (art. 7º, IX)

Mais flexível, exige análise de balanceamento.

Quando se aplica:

  • Condomínio registra placas para segurança da portaria
  • Empresa registra placas que entram no pátio para auditoria
  • Sistema de fiscalização privada (zona azul, área restrita)

O que exige:

  • Documentar a finalidade legítima (segurança, fiscalização, auditoria)
  • Avaliar se essa finalidade prevalece sobre os direitos do titular
  • Garantir transparência (placa visível avisando que há captura, política pública)
  • O titular pode pedir oposição (art. 18, §2º) — você tem que ter como atender

Quando NÃO se aplica:

  • Captura para fins de marketing (ex: "vamos ver quem é o dono desse carro pra mandar oferta")
  • Captura sistemática sem aviso prévio
  • Fins discriminatórios

3. Cumprimento de obrigação legal (art. 7º, II)

Ferramenta poderosa para casos públicos.

Quando se aplica:

  • Polícia, Detran, agente público autorizado por lei
  • Fiscalização ambiental (ex: rodízio em São Paulo)
  • Pedágios concessionários (legislação setorial)

O que exige:

  • Lei explícita autorizando a coleta
  • Não vale "é importante para a sociedade" — precisa de base normativa concreta

4. Consentimento (art. 7º, I)

Última opção, não primeira. Dificulta a operação porque o titular pode revogar a qualquer momento (art. 8º, §5º) e você tem que parar.

Quando faz sentido:

  • Sistema voluntário (ex: clube de motoristas que opta-in para usar passe livre por placa)
  • App de gestão pessoal de veículo

Quando não faz sentido:

  • Estacionamento, pedágio, condomínio — ninguém vai assinar consentimento ao passar pela cancela. Use execução de contrato ou legítimo interesse.

Quanto tempo posso guardar?

Princípio geral (art. 6º, V — necessidade): só pelo tempo necessário para a finalidade declarada. Duas estratégias:

Estratégia A — Não armazenar nada

Manda a foto pra OCR, recebe a placa, descarta a imagem imediatamente. Guarda só a placa em texto + timestamp + valor cobrado.

Vantagens:

  • Risco LGPD próximo de zero (não há imagem para vazar)
  • Storage mínimo
  • Cumprimento automático do princípio de minimização (art. 6º, III)

Quando funciona:

  • A placa em texto basta para sua finalidade (cobrança, controle de acesso, auditoria)
  • Você não precisa revisitar a imagem original

É o que a leituradeplaca faz por padrão: não armazenamos as imagens enviadas, apenas o resultado.

Estratégia B — Armazenar com TTL (time-to-live)

Guarda a imagem por X dias, depois apaga automaticamente.

Boas práticas:

  • Definir TTL por finalidade — exemplo: estacionamento 30 dias (até prazo de contestação de cobrança), depois apaga
  • Documentar o TTL na sua Política de Privacidade
  • Implementar deleção automática (cron job + script — não confiar em "vou apagar depois")

Estratégia C — Anonimização

Guarda a imagem mas borra rosto, contexto, mantém só a placa visível.

Quando vale:

  • Treinamento de modelo de OCR (você é provedor de tecnologia)
  • Estatísticas operacionais agregadas

Cuidado: a placa em si pode reidentificar a pessoa via cruzamento com base externa. Anonimização é mais difícil do que parece.

Direitos do titular que você precisa atender

Lista do que um motorista pode pedir e como você deve responder em prazo razoável (art. 18):

DireitoO que significa para captura de placa
Confirmação de tratamento"Você tem registro do meu carro placa XXX1234?" → sim/não
AcessoCópia dos registros (datas, locais, fotos se houver)
CorreçãoPouco aplicável (placa é o que é)
Anonimização/eliminaçãoApagar registros — mas pondere se há base legal que obriga manter (cobrança em curso, processo judicial)
PortabilidadeExportar registros em formato eletrônico legível
Revogação de consentimentoSe você usou consentimento como base, parar imediatamente
OposiçãoSe usou legítimo interesse, balancear de novo no caso específico

Você precisa de:

  • Um canal de contato publicado (DPO ou equivalente) — email basta
  • Prazo de resposta razoável — recomenda-se 15 dias úteis
  • Logs auditáveis das solicitações recebidas e respondidas

Checklist mínimo de compliance

Para um sistema de OCR de placa em produção:

  • Política de Privacidade publicada explicando: o que coleta, por que, com quem compartilha, quanto tempo guarda, como pedir exclusão
  • Aviso visível no local da captação ("Este local possui captura automática de placa para fins de X")
  • Contrato de operação com cada operador (sua API de OCR, seu provedor de banco) — DPA
  • Base legal documentada para cada tipo de captura (execução de contrato, legítimo interesse, etc)
  • TTL implementado — apagar automaticamente após X dias
  • Canal de contato para titulares (email mínimo)
  • Logs de incidente — se vazar, você precisa comunicar ANPD em prazo razoável (art. 48)
  • Não compartilhar dados com terceiros sem nova base legal
  • Treinamento básico da equipe operacional (porteiro, atendente) sobre o que é dado pessoal

Casos comuns rapidamente

"Posso colocar câmera na entrada do meu condomínio?"

Sim, com legítimo interesse (segurança), avisos visíveis, política de privacidade do condomínio, TTL e DPO designado (geralmente o síndico ou administradora).

"Posso vender os dados de placas captadas para empresas de marketing?"

Não. Mudou a finalidade — você precisaria de consentimento específico de cada titular, o que é inviável em massa. E mesmo com consentimento, é eticamente questionável.

"Sou desenvolvedor de app, capto placa para o usuário identificar veículos. Sou controlador?"

Depende. Se o usuário usa para uso pessoal/doméstico (LGPD não se aplica — art. 4º, I), você é só fornecedor de tecnologia. Se o usuário usa profissionalmente (vistoria, fiscalização), ele é controlador e você é operador.

"Posso usar fotos de placas capturadas para treinar meu modelo de IA?"

Provavelmente não, sem consentimento. Mudou a finalidade. Estratégia: usar dataset público anonimizado (UFPR-ALPR) ou contratar dataset comercial específico para treino.

Próximos passos

Se você está construindo um sistema novo:

  1. Decida a finalidade declarada (estacionamento, controle, fiscalização)
  2. Documente a base legal correspondente
  3. Configure TTL e canal de contato desde o dia 1
  4. Use uma API que não armazena imagens (como a leituradeplaca) para reduzir sua superfície de risco

Se já está em produção e tem dúvida sobre conformidade:

  • Lista de reformas: aplicar o checklist acima sobre o que está rodando
  • Idealmente: passar 1h com advogado de tecnologia para validar caso específico
  • Considere designar DPO formal se opera em múltiplas localizações

Quer integrar uma API de OCR que já vem com privacidade por padrão (sem armazenamento de imagens, RLS, auditoria)? Crie conta — R$ 4,99 te dá 100 leituras pra começar.

Pronto para integrar?

Crie uma conta e ganhe acesso à API em menos de 60 segundos.

Criar contaVer documentação