← Voltar ao blog

LGPD e dados de teste: o que todo dev precisa saber

·6 min de leitura

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 e mudou a forma como empresas brasileiras tratam dados pessoais. Mas muitos times de desenvolvimento ainda usam dados reais em ambientes de teste e staging — frequentemente sem perceber que isso é uma violação.

O que a LGPD diz sobre dados de teste?

A LGPD (Lei 13.709/2018) se aplica a qualquer operação de tratamento de dados pessoais, independente do ambiente. Isso inclui:

  • Ambiente de desenvolvimento — seu localhost, bancos de dados locais
  • Staging/homologação — servidores compartilhados entre equipe
  • CI/CD pipelines — testes automatizados que rodam em cada commit
  • Demos e treinamentos — apresentações com dados de exemplo

Se o dado identifica ou pode identificar uma pessoa real (nome, CPF, email, telefone, endereço), a LGPD se aplica. Não importa se é "só para teste".

Os riscos reais

Usar dados pessoais reais em ambientes de teste cria riscos concretos:

  • Dumps de banco vazam. Backups de staging acabam em S3 buckets públicos, repositórios Git, ou Slack channels.
  • Logs capturam dados. Ferramentas de monitoramento como Sentry, Datadog e CloudWatch registram payloads com dados reais.
  • Ambientes são compartilhados. Estagiários, terceiros e ferramentas de CI têm acesso a ambientes de teste.
  • Multas são reais. A ANPD pode aplicar multas de até 2% do faturamento, limitado a R$50 milhões por infração.

A solução: dados sintéticos

Dados sintéticos (ou fictícios) são dados que parecem reais mas não pertencem a ninguém. Um CPF gerado algoritmicamente passa na validação mod-11 mas não está cadastrado na Receita Federal. Um nome como "Aline Teixeira Andrade" pode existir no mundo real, mas o registro gerado (nome + CPF + email + endereço combinados) não corresponde a nenhuma pessoa.

Benefícios de usar dados sintéticos:

  • Conformidade total com a LGPD — sem dados pessoais, sem obrigação legal
  • Testes mais realistas — dados no formato correto, com validações passando
  • Sem risco de vazamento — se o dump vazar, nenhuma pessoa é afetada
  • Facilidade de geração em massa — API gera milhares de registros em segundos

Como implementar na prática

  1. Substitua dumps de produção por dados sintéticos. Em vez de copiar o banco de produção para staging, gere dados fictícios com a mesma estrutura.
  2. Integre no CI/CD. Use a API do FakeForge para popular o banco antes de cada suíte de testes.
  3. Use presets correlacionados. O preset "customer" gera nome + CPF + email + telefone + endereço onde o email bate com o nome — dados coerentes entre si.
  4. Documente a prática. Inclua no README do projeto que dados de teste são sintéticos e como gerá-los.

Resumo

  • Copiar banco de produção para staging
  • Usar seu CPF ou de colegas em testes
  • Hardcodar dados reais em fixtures de teste
  • Gerar dados sintéticos com validação correta
  • Usar API para popular banco de teste automaticamente
  • Dados correlacionados (nome ↔ email ↔ CPF)