Setorial12 min de leitura

LGPD na indústria: dados de IoT, supply chain e manufatura

Equipe Confidata·
Compartilhar

A indústria tem historicamente separado o mundo de Tecnologia da Informação (TI) do mundo de Tecnologia Operacional (TO) — os sistemas que controlam máquinas, linhas de produção e infraestrutura física. Essa separação está acabando. IoT industrial, sistemas SCADA conectados à internet, monitoramento de trabalhadores em tempo real e cadeias de suprimento digitalizadas trazem dados pessoais para dentro do chão de fábrica — e com eles, as obrigações da LGPD.

Este artigo mapeia os principais pontos de interseção entre o ambiente industrial e a proteção de dados pessoais.

Quando dados industriais se tornam dados pessoais

Nem todo dado gerado em uma indústria é pessoal. O dado de temperatura de um forno industrial não é pessoal. O dado de vibração de um equipamento não é pessoal. Mas muitos dados que parecem puramente operacionais se tornam pessoais quando vinculados a um trabalhador identificado ou identificável.

Exemplos de dados industriais que são pessoais

Monitoramento de trabalhadores:

  • Localização de trabalhadores em tempo real via crachás RFID ou GPS
  • Produtividade individual: peças produzidas por operador, tempo de ciclo por trabalhador
  • Erros e rejeições associados a operadores específicos
  • Logs de acesso a sistemas de controle (qual operador operou qual máquina, quando)
  • Controle de ponto biométrico (impressão digital, reconhecimento facial)
  • Monitoramento de fadiga ou atenção por câmeras com análise de IA

Monitoramento de veículos com motoristas identificados:

  • Rastreamento GPS de caminhões com motoristas identificados (velocidade, paradas, rotas)
  • Dados de telemetria vinculados a motoristas específicos (frenagens bruscas, aceleração)

Sistemas de saúde ocupacional:

  • Resultados de exames médicos periódicos (PCMSO)
  • Laudos de saúde ocupacional (LTCAT, PPR)
  • Registro de acidentes de trabalho vinculados a trabalhadores identificados

IoT industrial e dados pessoais

A Internet das Coisas Industrial (IIoT) é a maior fonte emergente de dados pessoais no ambiente de manufatura. Sensores, atuadores e dispositivos conectados geram fluxos contínuos de dados que, individualmente, podem não ser pessoais — mas que, quando agregados e vinculados a trabalhadores, criam perfis detalhados de comportamento e desempenho.

O problema da escala e da granularidade

Um sensor que registra a produção de uma linha a cada segundo, combinado com o registro de qual operador estava naquela linha naquele momento, cria um log contínuo e detalhado de cada trabalhador. Isso é tratamento de dados pessoais — em larga escala, com potencial de impacto na vida profissional do trabalhador.

As obrigações da LGPD para dados de IoT industrial

  1. Base legal: qual é a base legal para o monitoramento? As opções mais frequentes são:

    • Legítimo interesse (Art. 7º, IX): controle de qualidade, segurança industrial, eficiência operacional — desde que o interesse da empresa supere o impacto sobre o trabalhador
    • Execução de contrato de trabalho (Art. 7º, V): quando o monitoramento é inerente à função
    • Obrigação legal (Art. 7º, II): quando exigido por normas regulamentadoras (NRs) ou pela fiscalização trabalhista

  2. Proporcionalidade: o nível de granularidade do monitoramento é necessário? Se a finalidade é controle de qualidade, é necessário vincular cada peça a um operador específico? Se a finalidade é segurança, é necessário monitoramento contínuo de localização ou é suficiente o controle de acesso a zonas de risco?

  3. Transparência: trabalhadores devem ser informados sobre o monitoramento — o que é coletado, para quê, como é usado e por quanto tempo é retido.

  4. RIPD: monitoramento contínuo de trabalhadores com tecnologia IoT é um tratamento que pode gerar riscos relevantes aos titulares e geralmente exige RIPD.

Monitoramento de trabalhadores: os limites da LGPD e do direito trabalhista

O monitoramento de trabalhadores é um ponto de fricção entre o direito do empregador de dirigir o trabalho (CLT, Art. 2º) e o direito à privacidade e à proteção de dados do trabalhador (CF, Art. 5º, X e XII; LGPD).

O que é permitido

O empregador pode monitorar trabalhadores para fins legítimos relacionados à gestão do trabalho:

  • Controle de acesso a áreas restritas por razões de segurança
  • Registro de ponto (com as ressalvas sobre biometria)
  • Monitoramento de produtividade em ambientes onde é inerente à função
  • Rastreamento de veículos da empresa para fins logísticos

O que é problemático ou proibido

  • Monitoramento de vida pessoal do trabalhador fora do horário de trabalho (ex: rastreamento GPS fora do expediente)
  • Monitoramento de câmeras em áreas privativas (banheiros, vestiários)
  • Monitoramento de comunicações pessoais em dispositivos próprios do trabalhador
  • Uso de dados de monitoramento para fins disciplinares sem comunicação prévia ao trabalhador sobre esse uso

A questão do consentimento no contexto empregatício

Para tratamentos que dependem de consentimento (especialmente para dados sensíveis como biometria), o ambiente de trabalho apresenta o problema do consentimento não livre: o trabalhador pode sentir pressão para consentir com o monitoramento por medo de represálias. Por isso, quando possível, é preferível fundamentar o monitoramento em legítimo interesse (com análise de balanceamento documentada) ou em execução de contrato, em vez de consentimento.

Supply chain e dados pessoais

A cadeia de suprimentos envolve múltiplos agentes — fornecedores, distribuidores, transportadoras, prestadores de serviço — e o compartilhamento de dados pessoais entre eles é frequente e muitas vezes não regulamentado.

Dados pessoais que transitam na supply chain

  • Dados de contato de compradores e representantes comerciais de fornecedores
  • Dados de motoristas e entregadores (CNH, dados de veículo, localização em tempo real)
  • Dados de trabalhadores de prestadores de serviço (dados de acesso às instalações, controle de ponto)
  • Dados de pessoas autorizadas a receber mercadorias

As obrigações de compartilhamento

Quando a indústria compartilha dados pessoais com parceiros da cadeia de suprimentos:

  1. Se o parceiro atua como operador (processa dados nas instruções da indústria): é necessário DPA (Art. 39 da LGPD)
  2. Se o parceiro atua como controlador independente (define suas próprias finalidades): é necessária base legal para a transferência e informação ao titular sobre o compartilhamento
  3. Se o parceiro está em outro país (cadeia de suprimentos global): são necessárias as salvaguardas do Art. 33 da LGPD para transferências internacionais

Due diligence de privacidade na supply chain

Grandes indústrias com programas de conformidade LGPD maduros estão começando a exigir conformidade de seus fornecedores como condição contratual — especialmente quando esses fornecedores acessam sistemas internos, instalações ou dados de clientes. Uma indústria pode ser responsabilizada solidariamente por danos causados por um operador negligente.

Sistemas SCADA e OT: interseção com a LGPD

Sistemas SCADA (Supervisory Control and Data Acquisition) e outros sistemas de Tecnologia Operacional (TO) controlam processos industriais. Na maioria dos casos, os dados que processam não são pessoais — são dados de máquinas, equipamentos e processos.

No entanto, a crescente convergência TI/TO cria pontos de interseção:

  • Logs de acesso a sistemas SCADA registram qual operador acessou qual sistema, quando — dados pessoais
  • Sistemas de manutenção preditiva que vinculam diagnósticos de falha a operadores específicos
  • Sistemas de qualidade que registram lotes de produção com identificação do operador responsável

Para esses sistemas, o importante é identificar quais campos ou registros contêm dados pessoais e aplicar as proteções adequadas a esses dados específicos — sem a necessidade de tratar todo o sistema SCADA como sistema de dados pessoais.

Normas Regulamentadoras e LGPD

Diversas Normas Regulamentadoras do MTE (Ministério do Trabalho e Emprego) exigem coleta de dados pessoais de trabalhadores — o que fornece base legal na categoria "obrigação legal" (Art. 7º, II da LGPD):

  • NR-7 (PCMSO): exige exames médicos periódicos e registro dos resultados
  • NR-9: exige avaliação e controle de exposições ocupacionais a agentes físicos, químicos e biológicos — o monitoramento de exposição é registrado por trabalhador
  • NR-15: laudos de insalubridade que podem identificar trabalhadores expostos
  • NR-17: avaliação ergonômica por posto de trabalho, vinculada aos trabalhadores que o ocupam

A coleta desses dados com base na obrigação legal não exige consentimento, mas exige as demais proteções (segurança, minimização, retenção proporcional, informação ao titular).

Conclusão

A indústria que digitaliza operações sem mapear os dados pessoais que essa digitalização gera está acumulando risco. IoT industrial, monitoramento de trabalhadores, sistemas de qualidade e cadeias de suprimento digitais são fontes crescentes de dados pessoais — e de obrigações sob a LGPD.

O ponto de partida é o mesmo de qualquer setor: mapear o que é coletado, identificar as bases legais, formalizar os contratos com parceiros e garantir que os trabalhadores saibam o que está sendo coletado sobre eles e para quê. A diferença no ambiente industrial é a escala e a complexidade técnica — o que torna o inventário de atividades de tratamento especialmente importante como ferramenta de gestão.

A Confidata ajuda organizações industriais a mapear dados pessoais em ambientes de TI e TO, identificar riscos de privacidade em sistemas IoT e formalizar contratos de processamento com parceiros de supply chain.

Compartilhar
#LGPD#indústria#IoT#supply chain#manufatura#dados industriais#privacidade

Artigos relacionados

LGPD no setor imobiliário: corretoras, construtoras e condomíniosSetorial · 12 minLGPD para ONGs e Fundações: Guia de Adequação [2026]Setorial · 13 minLGPD para contadores e escritórios contábeisSetorial · 11 minLGPD para Condomínios — Câmeras, Portaria Digital e Dados de MoradoresSetorial · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista