GestãoFitnessPortal independente

Academia · Compliance e jurídico

LGPD em academia: como tratar anamnese, biometria e foto sem virar passivo de R$ 50 milhões

Academia trata dados sensíveis de saúde em volume alto: anamnese, biometria, foto, condição médica. A Lei 13.709/2018 e a ANPD não diferenciam por porte da empresa, e a multa por descumprimento chega a 2% do faturamento limitada a R$ 50 milhões por infração.

Edição · 2026-05-19 Leitura · 14 min Redação · Redação GestãoFitness

# Por que LGPD em academia não é tema corporativo distante

Academia brasileira média trata, em uma semana típica, mais dados pessoais sensíveis que uma clínica médica de pequeno porte. Cadastra anamnese com histórico de doença e medicação. Coleta foto padronizada (frente, lateral, costas) na avaliação inicial. Registra biometria digital ou facial para catraca. Armazena dados de cartão de crédito para cobrança recorrente. Mantém histórico de presença, frequência, treino executado, e às vezes dados de wearables integrados. Tudo isso sob a Lei 13.709/2018 (LGPD).

A ANPD (Autoridade Nacional de Proteção de Dados), criada em 2020 e em plena atividade de fiscalização desde 2022, publicou em 2024 e 2025 orientações específicas para setores que tratam dados sensíveis. Academia entrou no radar a partir de incidentes públicos de vazamento (cases discutidos em fóruns ACAD Brasil em 2024) e por ações civis públicas movidas por consumidores que tiveram imagem usada sem consentimento adequado.

Este texto resolve o tema em camadas operacionais. Define base legal correta para cada tipo de tratamento, regra específica para dados sensíveis de saúde, requisitos de termo de consentimento para foto e vídeo, prazo de retenção, direitos do titular, papel do encarregado (DPO), e processo formal de resposta a incidente. Não substitui orientação jurídica especializada, mas estabelece o piso operacional que toda academia precisa atingir.

# A tese: a maior dor não é multa, é incidente

A leitura comum sobre LGPD foca em multa máxima de 2% do faturamento, limitada a R$ 50 milhões por infração (Art. 52 da LGPD). O risco real para academia média, no entanto, raramente passa pelo cenário de multa máxima. A ANPD opera com dosimetria progressiva (Resolução CD/ANPD 4/2023), iniciando por advertência simples e escalando conforme histórico e gravidade.

O risco operacional concreto vem de outras três fontes. Primeiro, incidente de segurança (vazamento de dados, fraude no sistema de gestão, roubo de dispositivo com acesso administrativo) que gera obrigação de notificação à ANPD em 48 horas e comunicação aos titulares, com custo operacional alto e impacto reputacional grave. Segundo, ação civil pública movida por consumidor (foto usada sem consentimento em rede social, anamnese compartilhada com terceiro), com dano moral entre R$ 5.000 e R$ 50.000 por titular afetado. Terceiro, processo trabalhista de funcionário que teve dado pessoal usado indevidamente.

A defesa contra os três cenários não é evitar tratar dado. É documentar o tratamento de forma auditável, com base legal correta, finalidade declarada, prazo de retenção, e processo de resposta a exercício de direitos. Quando o tratamento está documentado, a ANPD trata como conformidade. Quando não está, mesmo o tratamento mais inocente vira incidente.

Quando o tratamento está documentado, a ANPD trata como conformidade. Quando não está, mesmo o tratamento mais inocente vira incidente.

# Base legal: a primeira decisão que define todo o restante

O Art. 7 da LGPD estabelece dez bases legais para tratamento de dados pessoais. Em academia, as três que aparecem com mais frequência são: consentimento do titular (Art. 7, I), execução de contrato (Art. 7, V), e legítimo interesse (Art. 7, IX). Para dados sensíveis de saúde, o Art. 11 acrescenta restrições específicas: o consentimento precisa ser destacado, livre, informado e específico para cada finalidade.

Erro frequente é confundir consentimento (que precisa ser revogável a qualquer momento) com execução de contrato (que persiste enquanto o contrato vige). Cadastro de aluno, cobrança, controle de acesso e prestação do serviço operam sob execução de contrato. Não precisam de consentimento adicional, porque sem esses dados a academia não pode prestar o serviço contratado.

Anamnese, foto padronizada, biometria, comunicação de marketing, e compartilhamento de dado com parceiros (Wellhub, Totalpass, app de wearable) operam sob bases diferentes. Anamnese e foto, por envolverem dado sensível, precisam de consentimento destacado. Biometria pode operar sob consentimento (com alternativa de cartão ou QR Code para quem não consentir) ou sob legítimo interesse documentado. Marketing precisa de consentimento específico, revogável.

# Dados sensíveis de saúde: a regra reforçada do Art. 11

Dado sensível, conforme Art. 5, II, da LGPD, inclui informação sobre saúde, vida sexual, biometria, dados genéticos, origem étnica, opinião política e convicção religiosa. Em academia, os tipos mais frequentes são saúde (anamnese, condição médica, medicação, lesão) e biometria (impressão digital, reconhecimento facial). O Art. 11 estabelece que o tratamento de dado sensível só pode ocorrer mediante consentimento destacado e específico, ou em hipóteses listadas (cumprimento de obrigação legal, exercício regular de direito, proteção da vida, etc.).

Para academia, a regra prática é: anamnese e dados de saúde precisam de termo de consentimento específico, separado do contrato de matrícula, com linguagem clara sobre o que será tratado, para qual finalidade, por quanto tempo, e com quais terceiros (se houver) será compartilhado. Esse termo precisa ser arquivado de forma auditável, em formato digital com timestamp ou em papel assinado com data.

Biometria tem regra adicional. A ANPD publicou em 2024 orientação técnica recomendando que a coleta de biometria seja sempre acompanhada de alternativa não biométrica (cartão, QR Code), de forma que o aluno tenha liberdade de não consentir sem perder acesso ao serviço. Quando a alternativa não está disponível, a base legal de legítimo interesse é difícil de sustentar, e a academia fica exposta.

# Foto e vídeo: o termo que poucas academias têm

Foto padronizada de avaliação inicial (frente, lateral, costas) é dado pessoal sensível por revelar informação sobre o corpo do titular. Vídeo de execução de exercício, gravado pelo professor, idem. Foto ou vídeo do aluno em sala de aula coletiva, divulgada em redes sociais da academia, exige consentimento específico, com finalidade declarada (uso institucional de marketing, comunicação interna, etc.).

Termo de consentimento para foto e vídeo precisa cobrir cinco pontos. Primeiro, identificação do tipo de imagem coletada (foto padronizada de avaliação, foto em sala, vídeo de aula). Segundo, finalidade exata (acompanhamento técnico do aluno, divulgação em rede social da academia, uso em material institucional). Terceiro, canais onde será publicada (Instagram, Facebook, site, etc.). Quarto, prazo de retenção. Quinto, regra de revogação (como o aluno solicita remoção e em quanto tempo a academia executa).

Erro estrutural mais comum em academia brasileira é incluir cláusula genérica de autorização de uso de imagem no contrato de matrícula. A ANPD em orientação de 2024 considerou essa prática inadequada, porque viola o princípio de especificidade do consentimento (Art. 8 da LGPD). Termo separado, com linguagem clara e opção de não autorizar sem prejuízo do serviço, é a forma correta.

  • Foto padronizada de avaliação inicial: termo de consentimento específico, finalidade restrita ao acompanhamento técnico do aluno
  • Foto do aluno em sala (treinando, aula coletiva, evento): termo separado, com canais de divulgação detalhados
  • Vídeo de execução de exercício pelo professor: consentimento específico, com finalidade de feedback técnico
  • Imagem de criança ou adolescente: consentimento dos pais ou responsáveis, conforme Art. 14 da LGPD
  • Câmeras de segurança em vestiário: vedado por NR e por princípio da finalidade
  • Câmeras de segurança em sala: permitido com aviso visível e finalidade declarada (segurança patrimonial)

# Encarregado (DPO): quando é obrigatório e quem pode ser

O Art. 41 da LGPD estabelece que o controlador deve indicar encarregado pelo tratamento de dados pessoais (DPO, Data Protection Officer). Originalmente, a obrigação alcançava todas as organizações. A ANPD publicou em 2021 a Resolução CD/ANPD 2/2021, que estabeleceu critérios para microempresa e empresa de pequeno porte (e organizações sem fins lucrativos com baixo risco) ficarem dispensadas, desde que mantenham canal de comunicação com titular.

Academia enquadrada como ME (Microempresa, faturamento até R$ 360 mil/ano) ou EPP (Empresa de Pequeno Porte, até R$ 4,8 milhões/ano) e que não trata dado sensível em larga escala pode optar por não indicar DPO formal, desde que mantenha canal de comunicação acessível para titular exercer direitos. Academia que ultrapassa esses limites ou que trata dado sensível em larga escala (faz, em volume relevante, anamnese e biometria) deve indicar DPO.

DPO pode ser pessoa física ou jurídica, interna ou externa, e não precisa ser advogado. Critérios mínimos: conhecimento de LGPD, comunicação direta com a alta administração, e canal acessível ao titular. Custo de DPO externo terceirizado em 2026 fica entre R$ 800 e R$ 3.500 mensais, dependendo do porte da operação. Para academia média, contratar DPO externo é geralmente mais barato e seguro que treinar funcionário interno.

# Multa ANPD: tabela e dosimetria

A Resolução CD/ANPD 4/2023 estabeleceu a metodologia de dosimetria das sanções administrativas da LGPD. As multas variam conforme natureza da infração, gravidade, vantagem econômica auferida pelo infrator, condição econômica do infrator, reincidência, cooperação do infrator e adoção de política de boas práticas. A tabela abaixo resume as principais sanções aplicáveis.

Importante: a ANPD não inicia automaticamente com multa máxima. O padrão é gradação progressiva. Microempresa e empresa de pequeno porte, em primeira infração e sem incidente grave, frequentemente recebem advertência ou multa simbólica, com prazo para regularizar. Reincidência ou recusa em corrigir muda o cenário.

Sanções administrativas LGPD aplicáveis a academia, ANPD
SançãoFaixa de aplicaçãoAplicação típica em academia
AdvertênciaPrimeira infração, gravidade leveTermo de consentimento ausente, prazo de retenção não definido
Multa simplesAté 2% do faturamento, limitada a R$ 50 milhões por infraçãoTratamento de dado sensível sem base legal, vazamento de dados
Multa diáriaAté R$ 50 milhões por infração, aplicada por descumprimento de obrigaçãoNão cumprimento de exercício de direitos do titular após prazo
Publicização da infraçãoReputacional, sem custo diretoDivulgação no site da ANPD em incidentes graves
Bloqueio de dadosSuspensão temporária do tratamentoEm casos de risco grave a titulares
Eliminação de dadosExclusão obrigatória dos dados tratadosAplicada em violação grave ou recorrente
Suspensão parcial do funcionamentoRestrição da operação da empresaAplicação extrema, raríssima em academia

# Incidente de segurança: o protocolo de 48 horas

O Art. 48 da LGPD estabelece que o controlador deve comunicar à ANPD e ao titular afetado a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A ANPD publicou em 2024 regulamento específico (Resolução CD/ANPD 15/2024) detalhando prazo de 48 horas para comunicação inicial à ANPD após conhecimento do incidente.

Em academia, incidentes mais comuns são: invasão do sistema de gestão (ataque externo ou exploração de credencial), perda ou roubo de dispositivo com acesso a dados (laptop do gerente, celular do coordenador), envio errôneo de dado pessoal (e-mail com lista de alunos ao endereço errado), ou compartilhamento indevido com terceiro (foto de aluno publicada sem consentimento).

Protocolo de resposta em 48 horas inclui sete passos. Primeiro, identificar e conter o incidente (suspender acesso comprometido, isolar sistema afetado). Segundo, documentar timeline e escopo. Terceiro, avaliar risco aos titulares (quais dados foram afetados, quantos titulares, gravidade). Quarto, notificar a ANPD com descrição estruturada. Quinto, comunicar aos titulares afetados. Sexto, executar medidas de mitigação. Sétimo, registrar lições aprendidas e revisar controles. O DPO ou consultor jurídico especializado coordena o processo. Sem protocolo escrito, o incidente vira crise.

# Direitos do titular: o que o aluno pode pedir e o que a academia tem que entregar

O Art. 18 da LGPD estabelece nove direitos do titular: confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários, portabilidade, eliminação dos dados tratados com consentimento, informação sobre uso compartilhado, revogação do consentimento. Em academia, os direitos mais exercidos são acesso, correção, eliminação e portabilidade.

A academia precisa ter processo formal de resposta a pedido. Canal acessível (e-mail dedicado, formulário no site, ou contato do DPO), prazo máximo de 15 dias para responder (Art. 19), registro de todos os pedidos recebidos com data e resposta. Quando o pedido vai contra obrigação legal (manter dado para fins fiscais, por exemplo), a recusa precisa estar fundamentada e comunicada ao titular.

Erro estrutural é tratar pedido de direito como hostilidade do aluno. Quando o aluno pede para eliminar dados após cancelamento, a academia deve verificar quais dados precisam ser mantidos por obrigação legal (contábil, fiscal, trabalhista) e eliminar o restante. Resposta em prazo, com linguagem clara, é o que separa conformidade de incidente. Pedido não respondido em 15 dias pode gerar denúncia à ANPD.

# Prazo de retenção: quanto tempo guardar cada tipo de dado

A LGPD estabelece princípio de necessidade (Art. 6, III): dados devem ser tratados pelo tempo necessário ao cumprimento da finalidade. Não existe prazo universal aplicável. Cada tipo de dado tem prazo derivado de obrigação legal específica ou de necessidade operacional declarada.

Em academia, prazos típicos seguem orientação consolidada por DPOs setoriais e por publicações da ANPD em 2024 e 2025. Dados contábeis e fiscais (nota fiscal, recibo, comprovante de pagamento) devem ser mantidos por 5 a 10 anos conforme legislação fiscal. Dados trabalhistas de funcionário (folha, eSocial, FGTS) por até 30 anos. Dados de cliente em contrato vigente: durante a vigência. Pós-cancelamento, prazo prudencial de 2 a 5 anos para fins de reativação e defesa em ação eventual.

Anamnese, foto e biometria precisam de prazo específico declarado no termo de consentimento. Recomendação prática: 12 a 24 meses após cancelamento, com eliminação automática ou anonimização documentada. Foto institucional usada em marketing pode ter prazo maior, mas precisa de revogação acessível pelo titular.

# Contrato com sistema de gestão: o termo de operador

Quando a academia contrata sistema de gestão fitness, ela age como controladora (define finalidades e meios do tratamento) e o fornecedor age como operador (processa em nome da controladora). O Art. 39 da LGPD estabelece que o operador deve realizar o tratamento conforme instruções da controladora, e o contrato precisa formalizar essa relação por escrito.

Termo de operador anexo ao contrato deve cobrir nove pontos. Primeiro, definição das partes e seus papéis (controlador e operador). Segundo, finalidade do tratamento (cadastro, cobrança, controle de acesso, etc.). Terceiro, tipos de dados tratados (incluindo expressamente os sensíveis). Quarto, autorização para subcontratação (sub-operadores), com obrigação de comunicação prévia. Quinto, obrigações de segurança técnica e organizacional (criptografia, controle de acesso, backup). Sexto, prazo de retenção e regra de eliminação ao fim do contrato. Sétimo, processo de notificação de incidente. Oitavo, suporte ao controlador no exercício de direitos do titular. Nono, jurisdição e governança.

Sistema de gestão que não entrega termo de operador por escrito é risco direto à academia. Em caso de incidente, a responsabilidade pode recair sobre a controladora porque não documentou a relação. O contrato é a peça que distribui responsabilidade conforme a LGPD.

# A decisão prática para esta semana

Se sua academia ainda não tem programa formal de LGPD, três passos cabem em 21 dias. Primeiro, mapeie todos os tipos de dado pessoal que sua academia trata: cadastro, anamnese, biometria, foto, pagamento, presença, comunicação. Para cada tipo, identifique base legal aplicável (consentimento, execução de contrato, legítimo interesse).

Segundo, revise os documentos centrais: contrato de matrícula (deve ter cláusula de tratamento de dados clara, não como autorização genérica), termo de consentimento separado para anamnese e foto, política de privacidade publicada no site e no app, contrato com sistema de gestão (termo de operador anexo). Terceiro, defina canal de exercício de direitos (e-mail ou formulário acessível) e processo escrito de resposta em até 15 dias.

Quando o porte ou a complexidade exigir, contrate DPO externo. Custo entre R$ 800 e R$ 3.500 mensais protege contra passivo que pode chegar a milhões em caso de incidente grave.

# O que ler depois

Quando o programa LGPD estiver desenhado, dois textos complementam este. O guia sobre escolher sistema de gestão entra em detalhe sobre o termo de operador e a documentação que o fornecedor precisa entregar. O guia sobre contratar professor em CLT cobre LGPD aplicada à folha e ao tratamento de dados de funcionário.

Para o lado operacional, vale também o texto sobre onboarding de 30 dias (que coleta anamnese e foto, momentos críticos sob LGPD) e o guia de roteiros de retenção (que utiliza dado pessoal em comunicação ativa, exigindo base legal correta).

Perguntas frequentes

Minha academia tem 200 alunos. Preciso ter DPO?
Provavelmente não. A Resolução CD/ANPD 2/2021 dispensa microempresa (faturamento até R$ 360 mil/ano) e empresa de pequeno porte (até R$ 4,8 milhões/ano) da obrigação formal de indicar DPO, desde que mantenham canal de comunicação acessível para titular exercer direitos. Quando o porte ou a complexidade aumenta (academia trata biometria em larga escala, opera com várias unidades, integra com múltiplos parceiros), DPO formal passa a ser recomendável.
Posso publicar foto do meu aluno na rede social da academia?
Apenas com consentimento específico, em termo separado do contrato de matrícula. O termo precisa descrever exatamente os canais de divulgação (Instagram, Facebook, site), a finalidade (institucional, marketing), o prazo, e a forma de revogação. Cláusula genérica de autorização de uso de imagem no contrato é considerada inadequada pela ANPD em orientação de 2024.
Quanto tempo posso guardar a anamnese do meu aluno?
Durante a vigência do contrato, sob base legal de execução de contrato. Após cancelamento, prazo prudencial entre 12 e 24 meses, com eliminação automática ou anonimização documentada. O prazo exato precisa estar declarado no termo de consentimento da anamnese. Dados contábeis e fiscais (notas fiscais, recibos) seguem prazo da legislação fiscal, entre 5 e 10 anos.
O que fazer se vazar dados da minha academia?
Aplicar o protocolo de 48 horas. Primeiro, conter o incidente (suspender acesso, isolar sistema). Segundo, avaliar escopo e risco. Terceiro, comunicar à ANPD em até 48 horas após conhecimento do incidente (Resolução CD/ANPD 15/2024), com descrição estruturada. Quarto, comunicar aos titulares afetados. Quinto, executar medidas de mitigação. Sem protocolo escrito e DPO acionável, o incidente vira crise grave. Contratar consultoria especializada em resposta a incidente compensa a urgência.
Aluno pediu para eliminar todos os dados após cancelar. Tenho que apagar tudo?
Não. A academia precisa verificar quais dados precisam ser mantidos por obrigação legal (contábil, fiscal, trabalhista) e eliminar o restante. Dados de nota fiscal, recibo de pagamento e registro de eSocial seguem prazos legais (5 a 30 anos conforme o caso) e não podem ser eliminados a pedido do titular. A resposta ao aluno precisa explicar essa distinção em até 15 dias, conforme Art. 19 da LGPD.
Posso usar biometria digital ou facial sem o aluno consentir?
Não. A ANPD em orientação de 2024 recomenda que a coleta de biometria seja sempre acompanhada de alternativa não biométrica (cartão, QR Code), de forma que o aluno tenha liberdade de não consentir sem perder acesso ao serviço. Quando a alternativa não existe, a base legal de legítimo interesse é difícil de sustentar e a academia fica exposta a sanção em fiscalização ou ação civil.

Fontes consultadas

  1. Lei 13.709/2018 (LGPD) · 2018
  2. ANPD, orientações e guias setoriais · 2024
  3. Resolução CD/ANPD 2/2021 (microempresa e EPP) · 2021
  4. Resolução CD/ANPD 4/2023 (dosimetria de sanções) · 2023
  5. Resolução CD/ANPD 15/2024 (incidentes de segurança) · 2024
  6. ACAD Brasil, Anuário do Setor Fitness · 2024
  7. CREF/SC, Boas Práticas em Educação Física · 2024
  8. Resolução CONFEF 358/2022 · 2022
  9. Sebrae PR, mercado de academias dados e tendências · 2024
  10. Sistema Pacto, mercado fitness em 2026 · 2025

Como citar esta reportagem

ABNT: REDAÇÃO GESTÃOFITNESS. LGPD em academia: como tratar anamnese, biometria e foto sem virar passivo de R$ 50 milhões. GestãoFitness, 2026-05-19. Disponível em: <https://gestaofitness.net/academia/compliance/lgpd>. Acesso em: data.

APA: Redação GestãoFitness. (2026). LGPD em academia: como tratar anamnese, biometria e foto sem virar passivo de R$ 50 milhões. GestãoFitness. https://gestaofitness.net/academia/compliance/lgpd

Permalink: https://gestaofitness.net/academia/compliance/lgpd

Identificador canônico: https://gestaofitness.net/academia/compliance/lgpd

Fontes verificáveis na reportagem: 10

Curadoria editorial

Leituras adjacentes selecionadas pela redação

Academia· Tecnologia e dados no ar Como escolher sistema de gestão (ERP fitness) como escolher sistema de gestão para academia Academia· RH e equipe no ar Contratação de professor CLT como contratar professor de musculação CLT Academia· Retenção e experiência no ar Onboarding dos primeiros 30 dias como receber aluno novo academia Academia· Retenção e experiência no ar Calcular e interpretar churn como calcular churn em academia Academia· Financeiro e cobrança no ar Precificação de planos como precificar plano de academia Personal· Profissão e regulamentação no ar CREF, CONFEF e Resolução 358 cref resolução 358 personal trainer o que muda
Continue lendo · alta afinidade

Mais sobre compliance e jurídico

Academia · Compliance e jurídico no ar NR-1, NR-23 e segurança do trabalho nr 1 academia obrigatoriedade GER-01 gerente how-to Academia · Compliance e jurídico no ar PAR-Q, anamnese e responsabilidade civil anamnese obrigatória academia COT-01 coordenador how-to Academia · Compliance e jurídico no ar CREF e fiscalização do conselho fiscalização cref academia COT-01 + DON-01 informational
Mesma audiência editorial

Para DON-01 dono

Academia · Financeiro e cobrança no ar Reduzir inadimplência como reduzir inadimplência em academia DON-01 dono informational Academia · Financeiro e cobrança no ar Precificação de planos como precificar plano de academia DON-01 dono informational Academia · Expansão e M&A no ar Abrir segunda unidade vs franquear abrir segunda academia ou franquear DON-01 dono commercial-investigation Academia · Tecnologia e dados no ar Aplicativo do aluno aplicativo de treino para academia vale a pena DON-01 dono commercial-investigation
Outras frentes

No hub Academia

Academia · Marketing e captação no ar Parcerias e convênios empresariais vale a pena aceitar gympass na academia DON-01 dono commercial-investigation Academia · Financeiro e cobrança no ar Meios de pagamento (PIX, recorrência, boleto) melhor forma de cobrar mensalidade academia DON-01 dono commercial-investigation Academia · Marketing e captação no ar Site, landing page e captura de lead como fazer site para academia que converte MKT marketing how-to Academia · Tecnologia e dados no ar BI e dashboard de indicadores indicadores de academia para dashboard GER-01 gerente how-to
Cross-pilar editorial

De outros hubs do portal

Atleta · Comece agora no ar Avaliação física inicial que exames fazer antes de começar academia iniciante destreinada informational Atleta · Resultados no ar Recomposição corporal como fazer recomposição corporal adulto atleta em progresso informational Atleta · Onde treinar no ar Como escolher academia perto como escolher academia perto de casa critérios iniciante decidindo transactional
Referências externas

Entidades canônicas referenciadas

Entidade ↗ externo CONFEF Entidade ↗ externo CREF4 (SP) Entidade ↗ externo CFN Entidade ↗ externo COFFITO Entidade ↗ externo CFM Entidade ↗ externo CFP

Receba os destaques

A newsletter chega toda quinta-feira