Qualquer evento que coleta nome, e-mail ou CPF já trata dados pessoais — e está sujeito à LGPD. Isso inclui convenções corporativas, congressos científicos, festivais, eventos gratuitos e eventos online.
O problema é que a maioria dos organizadores de eventos não se enxerga como responsável por dados pessoais. Enxerga como responsável por programação, logística, inscrições. A LGPD muda essa visão: quem coleta e usa dados de participantes é o controlador desses dados — e tem obrigações legais sobre eles.
Este guia é prático. Não substitui consultoria jurídica, mas responde as perguntas que organizadores fazem no dia a dia: o que posso ou não fazer com os dados dos participantes, como lidar com patrocinadores, quanto tempo guardar as informações e o que observar na escolha de uma plataforma.
1. O que é LGPD e por que ela impacta eventos
A LGPD — Lei Geral de Proteção de Dados, nº 13.709/2018 — regula o uso de dados pessoais no Brasil. Ela define regras sobre como esses dados podem ser coletados, usados, armazenados e compartilhados, e estabelece direitos para os titulares (as pessoas a quem os dados pertencem).
Dois papéis são centrais na LGPD:
Controlador é quem decide por que e como os dados são tratados. Na maioria dos eventos, o organizador é o controlador: ele decide quais dados coletar no formulário de inscrição, para quê os usar, com quem compartilhar.
Operador é quem trata os dados por conta do controlador. A plataforma de gestão de eventos que o organizador usa — para inscrições, credenciamento, app — é operadora. Ela processa os dados, mas seguindo as instruções do organizador.
Essa distinção importa porque a responsabilidade principal é do controlador. Se os dados dos participantes forem usados de forma inadequada, quem responde é o organizador — não a plataforma.
O que são dados pessoais no contexto de eventos? Qualquer informação que identifique ou possa identificar uma pessoa: nome, e-mail, CPF, telefone, cargo, empresa, foto do crachá, registro de check-in, histórico de sessões acessadas no app, resultado de enquete, participação em networking.
Dados sensíveis — categoria que exige cuidado adicional — incluem informações de saúde, biometria (foto facial para reconhecimento, por exemplo) e origem racial. Eventos médicos ou com credenciamento biométrico precisam de atenção redobrada.
2. A LGPD se aplica ao meu evento?
Sim. Se o evento coleta qualquer dado pessoal de participantes, palestrantes, expositores ou prestadores de serviço, a LGPD se aplica.
Os casos cobertos incluem: eventos corporativos, congressos e conferências, feiras e exposições, eventos esportivos, eventos culturais e festivais, eventos online, eventos híbridos e eventos gratuitos.
O ponto sobre eventos gratuitos merece atenção: muitos organizadores assumem que, por não cobrar ingresso, não precisam se preocupar com a lei. Isso é incorreto. A LGPD não distingue evento pago de gratuito. O que importa é se há coleta e uso de dados pessoais — e em qualquer evento com formulário de inscrição, há.
3. Quais dados um organizador coleta — e em qual etapa
Para entender onde a LGPD incide, é útil mapear os dados coletados por etapa do evento:
Inscrição: nome, e-mail, CPF, telefone, empresa, cargo, tipo de ingresso, necessidades especiais (quando coletadas), dados de pagamento e fiscais.
Credenciamento: data e hora de check-in, área acessada, impressão de crachá, foto (em sistemas com reconhecimento facial).
Durante o evento: participação em sessões, enquetes, perguntas a palestrantes, interações no feed do app, conexões de networking, escaneamento de QR codes em estandes de expositores.
Pós-evento: lista de presença, certificados emitidos, pesquisa de satisfação, relatórios de participação.
Cada dado coletado em cada etapa precisa ter uma finalidade definida e uma base legal que justifique o tratamento. Coletar dado sem finalidade clara é, em si, uma irregularidade.
4. Os erros mais comuns de LGPD em eventos
Conhecer os erros mais frequentes ajuda a identificar o que precisa ser ajustado antes mesmo de montar um checklist.
Compartilhar a lista completa de participantes com patrocinadores sem autorização. É o erro mais comum — e um dos mais graves. A maioria dos participantes não sabe que seus dados estão sendo repassados a terceiros.
Usar bases de e-mail compradas ou cedidas por parceiros para divulgar o evento. Esses contatos nunca autorizaram receber comunicação daquele organizador, e o uso viola a LGPD independentemente da origem dos dados.
Enviar e-mails de marketing pós-evento sem base legal adequada. Quem se inscreveu em um evento não necessariamente autorizou receber comunicações futuras. Sem consentimento explícito para esse fim, o envio é irregular.
Manter dados de participantes indefinidamente. Não existe justificativa legal para guardar dados para sempre. Cada finalidade tem um prazo razoável — após ele, os dados devem ser descartados.
Usar planilhas espalhadas sem controle de acesso. Um arquivo no Google Drive compartilhado com toda a equipe — incluindo prestadores externos — é um ponto de risco real. Quem tem acesso a esses dados?
Não registrar a base legal usada para cada operação. Se questionado pela ANPD ou por um participante, o organizador precisa saber com qual fundamento legal está tratando cada conjunto de dados.
Colocar o CPF visível no crachá. O CPF não é necessário para o participante se identificar no evento — e a exposição desnecessária de dado sensível viola o princípio da minimização.
Não ter política de privacidade acessível no site de inscrição. O participante tem o direito de saber, antes de se inscrever, como seus dados serão usados.
5. Consentimento: quando é — e quando não é — necessário
A maior confusão prática da LGPD em eventos é achar que tudo exige consentimento. A lei prevê dez bases legais para tratamento de dados, e o consentimento é apenas uma delas.
Para eventos, as bases mais relevantes são:
Execução de contrato: quando o tratamento é necessário para cumprir o que foi contratado. A inscrição em um evento é uma relação contratual — coletar nome e e-mail para emitir o ingresso e enviar comunicações operacionais (confirmação, local, horário) está coberto por essa base. Consentimento separado não é necessário.
Obrigação legal: quando a lei exige o tratamento. Dados fiscais para emissão de nota fiscal, por exemplo, têm essa base.
Legítimo interesse: quando há interesse legítimo do organizador ou do participante, desde que não prevaleça sobre os direitos do titular. O uso pode ser questionado — deve ser documentado com cuidado.
Consentimento: quando nenhuma outra base se aplica. Envio de e-mails de marketing, compartilhamento de dados com patrocinadores e uso de foto biométrica geralmente exigem consentimento explícito.
A orientação prática é: para cada finalidade de coleta, definir antes do evento qual base legal será usada — e documentar essa definição. Isso resolve a maior parte dos problemas.
6. Posso compartilhar dados dos participantes com patrocinadores?
Essa é a dúvida mais frequente — e a que mais gera problemas quando mal respondida.
A resposta direta: depende de como é feito.
O que não pode ser feito: entregar a lista completa de inscritos para um patrocinador sem que os participantes tenham sido informados e, na maioria dos casos, sem que tenham autorizado.
O que pode ser feito: quando o participante autoriza explicitamente durante a inscrição, com linguagem clara e específica. O consentimento precisa indicar para quais patrocinadores os dados serão compartilhados, ou ao menos descrever a categoria (por exemplo: “empresas parceiras do evento nas áreas de tecnologia e saúde”). Consentimento genérico e escondido no meio de termos de uso extensos não é suficiente.
Alternativas melhores — e mais seguras — para patrocinadores:
A captura de leads pelo aplicativo do evento é a solução mais adequada do ponto de vista da LGPD: o participante se aproxima do estande do expositor, escolhe compartilhar seus dados escaneando o QR Code do expositor, e o contato fica registrado como um lead opt-in. O participante decide com quem compartilha — o organizador não precisa intermediar a lista.
Formulários de interesse no estande e consentimentos individuais por patrocinador seguem a mesma lógica: o participante age ativamente, o dado não é transferido em massa.
7. LGPD no credenciamento do evento
O credenciamento é um ponto de coleta e processamento de dados em tempo real — e frequentemente recebe menos atenção do que deveria na adequação à LGPD.
Boas práticas:
O crachá deve exibir apenas o necessário para identificação no evento: nome e, quando relevante, empresa. O CPF não deveria aparecer no crachá de participante — é um dado sensível exposto sem finalidade clara.
O acesso ao sistema de check-in precisa ser controlado. Voluntários, recepcionistas contratados por terceiros e prestadores de serviço não deveriam ter acesso a todos os dados dos participantes — apenas ao que precisam para executar a função deles.
Se o evento usa reconhecimento facial, é preciso ter atenção redobrada. Foto biométrica é dado sensível e exige consentimento explícito para coleta e uso.
Os registros de check-in — quem entrou, quando e em qual área — devem ser tratados com o mesmo cuidado que os dados de inscrição: finalidade definida, prazo de retenção estabelecido, acesso restrito.
8. LGPD em aplicativos para eventos
O aplicativo do evento coleta dados de comportamento que vão além do formulário de inscrição: sessões visitadas, interações no feed, conexões de networking, enquetes respondidas, perguntas feitas a palestrantes.
Boas práticas para o app:
A política de privacidade do evento precisa estar acessível dentro do app — não apenas no site de inscrição.
O participante deve poder controlar o que aparece para outros usuários. Configurações de visibilidade do perfil — quem pode ver nome, cargo, empresa, foto — são um requisito de boa prática, não diferencial.
A coleta de leads por parte de expositores deve funcionar por iniciativa do participante: o participante escaneia o QR Code do estande, não o contrário. Isso garante que o consentimento é ativo e individualizado.
O app deve ser tratado como extensão da política de privacidade do evento — não como sistema separado com regras próprias.
9. Por quanto tempo posso guardar os dados dos participantes?
A LGPD não define prazos únicos para todos os dados. O prazo adequado depende da finalidade para qual o dado foi coletado e da base legal usada.
Orientações práticas por tipo de dado:
Dados de inscrição e pagamento: enquanto houver obrigação legal. Para fins fiscais e contábeis, a legislação tributária geralmente exige guarda por cinco anos.
Dados de certificados: dependendo do tipo de evento e da área profissional dos participantes, pode haver necessidade de manutenção por prazo maior, para que o organizador possa comprovar a emissão se questionado.
Dados coletados para marketing: enquanto o consentimento estiver ativo. O participante pode revogar o consentimento a qualquer momento — e o dado precisa ser excluído após a revogação.
Dados comportamentais do app: devem ter um prazo definido antes do evento. Não há justificativa para guardar indefinidamente informações de sessões visitadas ou enquetes respondidas.
Direito de exclusão: o participante pode solicitar a exclusão de seus dados. O organizador tem o prazo de quinze dias para responder à solicitação e, quando não houver obrigação legal de guarda, deve excluir os dados.
A orientação mais importante: definir a política de retenção antes do evento, não depois. É muito mais difícil organizar isso quando já existem milhares de registros acumulados sem critério.
10. LGPD em eventos científicos e acadêmicos
Eventos científicos têm especificidades que merecem atenção.
Na revisão por pares, o avaliador não deve ter acesso à identidade do autor. A revisão cega é uma prática acadêmica consolidada — mas exige que o sistema de submissão realmente impeça a visualização cruzada, não apenas que o organizador confie na boa-fé dos avaliadores.
Na publicação de anais, os dados dos autores aparecem em documento público. Isso precisa estar previsto no momento da submissão — e os autores precisam estar cientes de que seus dados serão publicados.
Certificados com carga horária específica têm valor profissional e, em algumas especialidades, são obrigatórios para revalidação de registro. Esses documentos devem ser tratados com cuidado, pois têm implicações legais e profissionais para o participante.
Eventos científicos que usam call for papers, revisão por pares e certificados com carga horária têm uma camada adicional de complexidade na gestão de dados — cada etapa do processo envolve dados de autores, avaliadores e participantes que precisam ser tratados com as devidas bases legais.
11. Checklist LGPD para organizadores de eventos
Antes do evento
- [ ] Política de privacidade publicada e acessível no site de inscrição
- [ ] Base legal definida para cada finalidade de coleta de dados
- [ ] Formulário de inscrição coleta apenas dados necessários (princípio da minimização)
- [ ] Consentimento configurado quando obrigatório: marketing, compartilhamento com patrocinadores, foto biométrica
- [ ] Contrato com a plataforma de eventos formalizando a relação de operador (DPA)
- [ ] Controle de acesso definido: quem da equipe acessa quais dados
- [ ] Política de retenção de dados definida para cada tipo de dado
Durante o evento
- [ ] Equipe de credenciamento orientada sobre acesso e manuseio de dados
- [ ] Crachá exibe apenas dados necessários (sem CPF visível)
- [ ] Compartilhamento com expositores feito por consentimento individual, não por lista
- [ ] App configurado com controles de privacidade adequados
Após o evento
- [ ] Dados mantidos apenas pelo prazo necessário para cada finalidade
- [ ] Processo definido para atender solicitações de exclusão de dados
- [ ] Relatórios e listas armazenados em ambiente com controle de acesso
- [ ] Dados descartados de forma segura ao final do prazo
12. Como escolher uma plataforma de eventos compatível com a LGPD
A plataforma de gestão de eventos é operadora dos dados dos participantes — e o contrato com ela é parte da adequação à LGPD. Antes de contratar, pergunte:
A empresa possui política de privacidade e documentação sobre adequação à LGPD? Existe um Acordo de Processamento de Dados (DPA) disponível para assinar?
Há controle de acesso por perfil de usuário — é possível restringir o que cada membro da equipe vê e faz?
Os dados trafegam com criptografia? Os servidores estão no Brasil ou em países com garantias equivalentes?
A plataforma permite configurar consentimentos no formulário de inscrição — marketing, compartilhamento com parceiros, termos específicos?
É possível exportar e excluir dados dos participantes quando necessário — para atender solicitações de exclusão?
Ponto-chave: quanto mais sistemas separados o organizador usa — uma plataforma para inscrição, outra para credenciamento, outra para o app — maior a superfície de risco e maior o número de operadores de dados envolvidos. Uma plataforma integrada reduz esse risco de forma concreta.
13. Como a Doity ajuda organizadores na adequação à LGPD
A Doity centraliza inscrição, credenciamento, aplicativo e certificados em um único sistema. Do ponto de vista da LGPD, isso significa menos operadores de dados, menos pontos de risco e mais controle para o organizador.
Controle de acesso por usuário: cada membro da equipe acessa apenas o que precisa para exercer sua função. Voluntários de credenciamento, coordenadores de programação e gestores financeiros têm visibilidades diferentes no mesmo sistema.
Formulário configurável: o organizador coleta apenas os dados que vai usar. É possível configurar campos obrigatórios e opcionais, e adicionar checkboxes de consentimento para finalidades específicas — marketing, compartilhamento com parceiros, termos do evento.
Captura de leads pelo app por iniciativa do participante: expositores e patrocinadores capturam contatos pelo QR Code no estande — o participante decide com quem compartilha seus dados. Isso elimina a necessidade de repassar listas de inscritos para patrocinadores.
Credenciamento com QR Code, inclusive offline: sem exposição desnecessária de dados e com controle de quem acessa o sistema de check-in.
Certificados automáticos: emitidos com base no check-in por atividade, sem intervenção manual e sem exposição desnecessária de dados a terceiros.
Os dados dos participantes pertencem ao organizador. A Doity é operadora — não utiliza esses dados para fins próprios e não os repassa a terceiros sem autorização.
Este conteúdo é informativo e não substitui consultoria jurídica especializada. Para adequação completa à LGPD, recomenda-se acompanhamento de profissional da área.
Perguntas frequentes sobre LGPD em eventos
1. A LGPD se aplica a eventos? Sim. Qualquer evento que coleta dados pessoais de participantes, palestrantes, expositores ou prestadores de serviço está sujeito à LGPD.
2. Eventos gratuitos precisam seguir a LGPD? Sim. A lei não distingue eventos pagos de gratuitos. O que importa é se há coleta e uso de dados pessoais.
3. Posso compartilhar a lista de participantes com patrocinadores? Não livremente. O compartilhamento exige consentimento explícito dos participantes ou outra base legal adequada. A prática mais segura é permitir que expositores capturem leads diretamente pelo app, com consentimento individual.
4. Posso vender dados dos inscritos? Não. A comercialização de dados pessoais sem consentimento específico para esse fim é proibida pela LGPD.
5. Preciso de consentimento para fazer a inscrição no evento? Não necessariamente. A inscrição é uma relação contratual — a coleta dos dados necessários para executar essa relação está coberta pela base de execução de contrato.
6. Preciso de consentimento para enviar e-mails após o evento? Depende do conteúdo. E-mails operacionais (confirmação, certificado) têm base em contrato. E-mails de marketing para eventos futuros geralmente exigem consentimento.
7. Posso colocar o CPF no crachá do participante? Não é recomendado. O CPF não é necessário para identificação no evento — e exibir dado sensível sem necessidade viola o princípio da minimização.
8. Posso divulgar fotos do evento nas redes sociais? Quando a foto identifica pessoas, há tratamento de dado pessoal. A prática mais comum é prever isso na política de privacidade e, quando possível, obter consentimento expresso para uso de imagem.
9. Por quanto tempo posso guardar os dados dos participantes? Depende da finalidade. Dados fiscais: geralmente cinco anos. Dados de marketing: enquanto o consentimento estiver ativo. Dados comportamentais: prazo definido pelo organizador antes do evento.
10. O participante pode pedir para excluir seus dados? Sim. O direito de exclusão está previsto na LGPD. O organizador tem quinze dias para responder e, quando não houver obrigação legal de guarda, deve excluir os dados.
11. Como tratar dados de palestrantes? Palestrantes são titulares de dados como qualquer participante. A base legal mais comum para uso dos dados (nome, foto, bio, currículo) é o contrato de prestação de serviço. Use de imagem para divulgação deve ser previsto contratualmente.
12. Como tratar dados de patrocinadores e expositores? Dados de pessoas jurídicas não são protegidos pela LGPD — mas dados de contatos individuais dentro dessas empresas são. E-mail corporativo de um contato específico é dado pessoal.
13. Aplicativos para eventos precisam seguir a LGPD? Sim. O app coleta dados de comportamento dos participantes e precisa seguir as mesmas regras de finalidade, minimização, consentimento e segurança.
14. Eventos online precisam seguir a LGPD? Sim. A lei se aplica a qualquer tratamento de dados de pessoas no Brasil, independentemente do formato do evento.
15. Eventos científicos têm regras específicas de LGPD? Não regras específicas na lei, mas práticas que precisam de atenção: revisão cega de submissões, publicação de dados de autores em anais e certificados com carga horária para fins profissionais.
16. O que é um DPA e preciso ter com a plataforma de eventos? DPA (Data Processing Agreement ou Acordo de Processamento de Dados) é o contrato entre controlador e operador previsto na LGPD. Formaliza como a plataforma vai tratar os dados dos seus participantes. É recomendável ter com qualquer fornecedor que processe dados pessoais.
17. Qual a multa por descumprimento da LGPD? A ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil, limitado a R$ 50 milhões por infração. Além das multas, há riscos reputacionais e ações de consumidores nos casos mais graves.
18. Quem é responsável pelos dados: o organizador ou a plataforma de eventos? O organizador é o controlador e tem a responsabilidade principal. A plataforma é operadora e responde por tratar os dados fora das instruções recebidas. Ambos podem ser responsabilizados, mas a relação precisa estar formalizada em contrato.
19. Como escolher uma plataforma de eventos compatível com a LGPD? Verifique se a plataforma tem política de privacidade e DPA disponível, controle de acesso por perfil, criptografia de dados, possibilidade de exportar e excluir dados, e configuração de consentimentos no formulário de inscrição.
20. A Doity é compatível com a LGPD? A Doity é uma plataforma operadora de dados que segue a LGPD. Isso inclui controle de acesso por usuário, criptografia, DPA disponível para contratantes e funcionalidades que facilitam a adequação do organizador — como configuração de consentimentos, coleta minimizada de dados e captura de leads por iniciativa do participante. A conformidade completa depende também das práticas do próprio organizador.
Este conteúdo é informativo e não substitui consultoria jurídica especializada. Para adequação completa à LGPD, recomenda-se acompanhamento de profissional da área.
