Quando ferramentas pessoais tratam dados de clientes: o risco invisível da LGPD na contabilidade

O fluxo é tão comum que ninguém mais o questiona. O cliente envia o contracheque pelo WhatsApp da gerente. A gerente repassa para o e-mail particular do contador responsável pela folha. O contador baixa o arquivo, salva no Google Drive da conta pessoal, depois copia para uma pasta no desktop do notebook do escritório. No mês seguinte, o ciclo recomeça, com outros documentos, outras pessoas, outras pastas. Multiplique isso por todos os clientes e por todos os colaboradores, e o resultado é uma rede informal de tratamento de dados que cobre a operação inteira, sem dono, sem registro e sem controle.

Cada CPF, RG, endereço, comprovante de residência, contracheque, dado bancário ou contrato que circula nesse fluxo é um evento de tratamento de dados pessoais regulado pela Lei Geral de Proteção de Dados. A LGPD não exige que isso aconteça em um sistema específico, mas exige que aconteça dentro de princípios e obrigações concretas. E é justamente nesse ponto que as ferramentas pessoais não conseguem entregar o que a lei pede.

Este artigo amplia uma discussão que aparece em outros materiais do blog. Em Sinais de que o WhatsApp está custando caro para o seu escritório contábil, tratei dos custos invisíveis do aplicativo mais usado. Aqui, a lente é outra. O problema não é uma ferramenta em particular, e sim o uso de qualquer ambiente pessoal para sustentar a operação profissional de tratamento de dados.

Uma palavra rápida sobre vocabulário

Antes de seguir, vale um esclarecimento técnico que costuma confundir até gestores experientes. A LGPD distingue duas categorias.

Dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável. CPF, RG, endereço, número de telefone, e-mail, comprovante de residência, contracheque e dados bancários se encaixam aqui. O regime protetivo aplicável é o geral.

Dado pessoal sensível tem definição mais restrita. Refere-se a informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde, à vida sexual, dados genéticos e biométricos. Esses recebem tratamento ainda mais rigoroso.

A confusão tem um efeito prático. Muitos gestores acreditam que, por não tratarem dados sensíveis no sentido técnico, a exposição é pequena. Não é. O regime geral da LGPD se aplica integralmente aos dados pessoais comuns, e a maior parte da exposição dos escritórios contábeis está exatamente aí. Há, ainda, dados sensíveis cruzando a operação com mais frequência do que parece, como atestados médicos na folha de pagamento, informações biométricas em controles de ponto e dados de saúde em processos previdenciários.

Resolvido o vocabulário, voltamos ao tema.

O mapa das ferramentas pessoais em uso

Em um escritório contábil médio, a operação acontece distribuída por um conjunto previsível de ambientes pessoais. Vale listar os mais comuns, porque o gestor que enxerga apenas o WhatsApp tende a subestimar o tamanho real do problema.

WhatsApp pessoal dos colaboradores é o canal de maior volume na maioria dos escritórios, e foi tratado em profundidade em material anterior do blog.

E-mail pessoal, geralmente Gmail ou Outlook em conta privada, ainda aparece em muitos fluxos. Em alguns casos, é a conta usada desde antes da contratação do colaborador. Em outros, é uma conta criada especificamente para receber documentos de cliente, mas hospedada em provedor pessoal, sem qualquer vínculo formal com o escritório.

Google Drive ou OneDrive de conta particular costuma armazenar versões em rascunho de balancetes, planilhas de apuração e backups improvisados. Quando o colaborador prefere ferramentas com as quais já está habituado, esses ambientes acabam virando extensão informal do sistema de arquivos do escritório.

Pastas locais em computador pessoal são quase universais em escritórios com regime de home office ou híbrido. Documentos são baixados, processados e armazenados no notebook do colaborador, frequentemente sem segregação clara entre uso profissional e pessoal.

Pendrives, cartões de memória e HDs externos aparecem como vestígio de eras anteriores, mas seguem ativos para transporte de arquivos pesados, especialmente em escritórios que ainda recebem documentação física para digitalização.

Aplicativos de transferência como WeTransfer, Filemail e similares são adotados pontualmente quando o anexo é grande demais para o e-mail, sem critério formal para escolha do serviço.

Mensageiros diversos, do Telegram pessoal ao chat de aplicativos de banco, completam o quadro em situações em que o cliente prefere outro canal.

Cada um desses ambientes tem características próprias, mas todos compartilham um mesmo problema estrutural sob a ótica da LGPD.

O que ferramentas pessoais não conseguem oferecer

A inadequação não está no ato de usar uma ferramenta genérica de tecnologia. Está no fato de o escritório, como agente de tratamento, não controlar adequadamente o ambiente em que os dados de seus clientes circulam. Essa perda de controle se manifesta em sete pontos.

Falta de governança contratual

Quando o escritório utiliza um Google Workspace ou um Microsoft 365 corporativo, existe um contrato entre o escritório e o provedor que define responsabilidades, níveis de serviço e condições de tratamento de dados. Quando o ambiente é pessoal, esse contrato vincula o colaborador, não o escritório. Em qualquer questionamento formal, a pessoa jurídica responsável pelo tratamento sequer aparece na cadeia contratual com o provedor.

Ausência de controle de acesso por função

A regra de ouro da segurança da informação é que cada pessoa acesse apenas o que precisa para executar seu trabalho. Em contas pessoais, o acesso é total. Quem opera a conta vê tudo o que está nela, sem distinção entre o que pertence a um cliente, a outro, ou à vida privada do próprio colaborador.

Inexistência de trilha de auditoria estruturada

A LGPD exige que o agente de tratamento seja capaz de demonstrar quem acessou cada dado, em que momento, para qual finalidade. Em ambientes corporativos, esse log existe e pode ser auditado. Em contas pessoais, o histórico é, na melhor das hipóteses, parcial, e fica em poder do colaborador, não do escritório.

Impossibilidade prática de retenção e descarte

A lei estabelece que dados pessoais devem ser mantidos pelo tempo estritamente necessário à finalidade que justificou seu tratamento, e descartados depois disso. Em ambientes pessoais, dados se acumulam por anos, em pastas que ninguém mais abre, em e-mails arquivados, em pendrives esquecidos em gavetas. Quando o titular exerce o direito de eliminação, o escritório não consegue cumprir, porque não sabe onde os dados estão.

Mistura entre uso pessoal e profissional

A mesma conta de e-mail que recebe documentos de cliente recebe newsletter, compras pessoais, comunicação familiar. O mesmo Drive que armazena planilhas do escritório armazena fotos de família e backups do celular. Essa mistura cria pontos de exposição inesperados, especialmente em casos de invasão de conta por phishing ou senhas vazadas em outros serviços.

Ausência de continuidade após desligamento

Quando um colaborador é desligado, ele leva consigo o acesso aos ambientes pessoais. O e-mail particular não é encerrado, o Drive não é transferido, o WhatsApp segue ativo com todo o histórico. O escritório perde acesso, mas os dados de seus clientes permanecem em poder de alguém que já não compõe sua estrutura. Em situações de saída conflituosa, esse desencontro vira problema grave.

Backups em nuvem fora do raio de controle do escritório

Aparelhos pessoais sincronizam automaticamente com nuvens pessoais. Documentos de cliente acabam replicados em iCloud, Google Fotos, backups automáticos de aplicativos. O escritório não tem como mapear, controlar ou descontinuar essas réplicas, e em uma eventual investigação fica difícil sustentar que o tratamento estava sob a guarda da pessoa jurídica responsável.

A diferença entre ambiente corporativo e pessoal

Vale fixar essa distinção, porque ela é o coração da discussão.

Um ambiente corporativo é aquele em que o escritório, como pessoa jurídica, é o titular da conta junto ao provedor. As licenças são da empresa, os acessos são gerenciados centralmente, as políticas são definidas pelo administrador, o desligamento revoga o acesso, os logs ficam disponíveis para auditoria. Pode ser um Google Workspace, um Microsoft 365 Business, um sistema próprio de gestão documental ou uma combinação dessas peças.

Um ambiente pessoal é aquele em que a conta pertence ao colaborador, mesmo que o uso seja profissional. As políticas são as do provedor para usuário comum, sem camada empresarial. A administração é individual. Os dados pertencem ao titular da conta para fins contratuais, ainda que digam respeito a terceiros.

A LGPD não impede que ferramentas comuns sejam usadas, mas exige que o tratamento aconteça em condições adequadas. Na prática, isso significa que ambientes pessoais não devem sustentar a operação contábil profissional. Não porque a tecnologia seja inferior, e sim porque o vínculo formal entre os dados, a pessoa jurídica responsável e o provedor não existe.

Onde o risco se materializa

Vale aterrissar a discussão em quatro cenários concretos.

O primeiro é o desligamento de colaborador. Quando alguém sai do escritório levando o acesso ao e-mail pessoal, ao Drive pessoal e ao WhatsApp em que tramitavam documentos, o escritório perde a capacidade de controlar o que acontece com aqueles dados. Em situações harmoniosas, o ex-colaborador apaga voluntariamente. Em situações conflituosas, o material pode ser usado de formas que ninguém consegue antecipar.

O segundo é o incidente em conta pessoal. Senhas vazadas em outros serviços, phishing direcionado, acesso indevido a dispositivos. Quando isso atinge uma conta pessoal de colaborador, atinge também os dados dos clientes do escritório que estão naquela conta. A obrigação de comunicar a ANPD e os titulares cabe ao escritório, e a defesa fica fragilizada quando a investigação revela que o tratamento ocorria em ambiente fora do controle da pessoa jurídica.

O terceiro é o pedido de exercício de direito por titular. Quando alguém solicita acesso, correção ou eliminação dos próprios dados, o escritório precisa atender em prazo legal. Em uma operação distribuída por dezenas de contas pessoais, simplesmente não há como mapear todos os pontos em que os dados circulam, e o atendimento ao pedido se torna inviável na prática.

O quarto é a auditoria de cliente corporativo. Empresas com programas de compliance estruturados, sobretudo dos setores regulados, vêm exigindo evidências sobre como seus prestadores tratam dados. Quando o escritório precisa apresentar políticas, procedimentos e registros, e descobre que sua operação está hospedada em ambientes pessoais não auditáveis, o contrato fica em risco ou exige adequação acelerada.

O cenário regulatório que reforça a urgência

Durante alguns anos, foi razoável tratar a LGPD como risco distante. A Autoridade Nacional de Proteção de Dados priorizou a fase de orientação, divulgou guias e raramente aplicou sanções. Esse cenário começou a mudar.

A ANPD saiu da fase experimental para a fase operacional, e o plano de fiscalização passou a contemplar busca ativa por infrações, sem dependência exclusiva de denúncia. A primeira multa foi aplicada a uma microempresa, sinalizando que porte não é critério de isenção. Sanções administrativas podem chegar a R$ 50 milhões por infração, com responsabilidade civil objetiva por danos a titulares na via judicial. Advertência, multa simples, multa diária e publicização da infração podem ser aplicadas cumulativamente.

Para escritórios contábeis, há um agravante. Pesquisas sobre maturidade em compliance no setor têm apontado que parte expressiva ainda não está adequada, o que aumenta a probabilidade de identificação de casos nos próximos ciclos de fiscalização. Não se trata de previsão alarmista, e sim de leitura do ambiente regulatório em curso.

Um diagnóstico em sete perguntas

Antes de pensar em solução, vale fazer uma leitura honesta do estado atual do escritório.

1. O escritório consegue listar todos os ambientes em que dados de clientes estão armazenados neste momento, incluindo contas pessoais de colaboradores?
2. Existe contrato formal entre o escritório e cada um dos provedores que hospedam dados de clientes?
3. Quando um colaborador é desligado, o escritório consegue revogar o acesso dele a todos os ambientes em que dados de clientes circularam, em até trinta dias?
4. Os e-mails usados para receber documentos de clientes estão em domínio corporativo controlado pelo escritório?
5. As planilhas, balancetes e arquivos em rascunho estão em ambiente compartilhado e auditável, ou em pastas pessoais de cada colaborador?
6. Existe política formal definindo quais ferramentas podem ser usadas para quais tipos de documento, com adesão verificada periodicamente?
7. Em caso de pedido formal de eliminação de dados por um titular, o escritório consegue localizar e apagar todas as referências àquele titular nos ambientes em uso?

Respostas hesitantes em quatro ou mais dessas perguntas indicam exposição significativa. A boa notícia é que a mitigação não exige reforma completa em curto prazo, e sim uma sequência de movimentos factíveis.

Caminhos práticos para reduzir a exposição

A redução do risco passa por quatro frentes complementares.

A primeira é centralizar a tramitação documental em ambiente próprio. Documentos de clientes precisam entrar, circular e ser armazenados em um único lugar controlado pelo escritório, com classificação por empresa, categoria e período. Esse ambiente pode ser um sistema dedicado de gestão documental contábil ou uma estrutura corporativa de drive empresarial bem organizada. O importante é que o ambiente exista, que seja conhecido por todos e que substitua os fluxos paralelos.

A segunda é migrar as contas de e-mail para domínio corporativo. E-mails profissionais devem usar o domínio do escritório, hospedados em Workspace ou 365 contratados pela pessoa jurídica. Isso garante que o vínculo contratual com o provedor passe pelo escritório, que o desligamento revogue acessos automaticamente e que logs estejam disponíveis.

A terceira é estabelecer regras claras de uso de dispositivos. Aparelhos usados para tratar dados de clientes, mesmo que de propriedade do colaborador em modelos híbridos, devem operar dentro de políticas escritas, com bloqueio de tela, separação entre aplicativos pessoais e profissionais e procedimentos de revogação de acesso em caso de desligamento.

A quarta é formalizar políticas internas mínimas. Mesmo sem departamento jurídico dedicado, o escritório pode escrever as regras básicas sobre quais ferramentas podem ser usadas, quem acessa o quê, como ocorre o descarte e como se conduz a saída de colaborador. Essas políticas precisam ser conhecidas pela equipe e revisadas com alguma periodicidade.

Nenhuma dessas frentes resolve sozinha. As quatro combinadas mudam o nível de maturidade do escritório de forma significativa, e o caminho mais comum é começar pela primeira, que é a que reduz risco mais rapidamente.

Perguntas frequentes

A LGPD proíbe o uso de ferramentas comuns de tecnologia?

Não. A lei não trata de marcas ou produtos, e sim de princípios e obrigações aplicáveis a qualquer forma de tratamento de dados pessoais. O ponto não é a proibição de uma ferramenta, e sim a inadequação do ambiente pessoal para sustentar a operação profissional de um escritório contábil.

Versões pagas dessas ferramentas, em conta pessoal, resolvem o problema?

Não resolvem o ponto central. Pagar por uma versão premium em conta pessoal apenas adiciona recursos, mas não estabelece vínculo contratual entre o escritório, como pessoa jurídica, e o provedor. A diferença essencial está em quem é o titular da conta, não no plano contratado.

Em escritórios pequenos, faz sentido essa preocupação?

Faz, e talvez ainda mais. O porte do agente de tratamento não exclui as obrigações da LGPD, e a primeira sanção aplicada pela ANPD foi a uma microempresa. Em escritórios menores, a vantagem é que a migração para um cenário adequado tende a ser mais rápida e barata, porque o volume e a complexidade são menores.

Como tratar o histórico já acumulado em contas pessoais?

A recomendação é mapear o que existe, transferir para o ambiente corporativo o que for de retenção necessária e descartar de forma segura o restante. Esse processo costuma ser conduzido em paralelo à migração, e a documentação dos passos é parte importante da demonstração de boa-fé em caso de questionamento futuro.

O escritório precisa contratar um encarregado de dados, o DPO?

A LGPD prevê a figura do encarregado, e a ANPD já regulou aspectos do seu papel. Em escritórios contábeis, dependendo da estrutura, o encarregado pode ser interno ou contratado como serviço externo. Não é o primeiro passo da adequação, mas faz parte do conjunto mais amplo de medidas a serem consideradas no médio prazo.

Conclusão

O uso de ferramentas pessoais para tratar dados de clientes não é um defeito do escritório contábil. É um traço da história recente do setor. Durante anos, a tecnologia disponível para o profissional foi mais ágil em ferramentas comuns do que em sistemas corporativos, e os fluxos informais ofereciam ganho de produtividade real, em um ambiente em que a regulação ainda era distante.

Esse equilíbrio se desfez. A LGPD está em fase de fiscalização ativa, os clientes corporativos elevaram o nível de exigência, e o custo invisível dos ambientes pessoais começou a aparecer em incidentes, perdas de contrato e dificuldades operacionais. A migração para um cenário adequado deixou de ser projeto de longo prazo e passou a ser decisão de gestão.

A boa notícia é que o caminho está mapeado. Centralizar a tramitação documental, migrar e-mails para domínio corporativo, estabelecer regras de dispositivo e formalizar políticas internas mínimas são movimentos factíveis no ritmo de qualquer operação. O escritório que iniciar esse processo agora chega no novo cenário com tempo de respiro. O que adiar a conversa corre o risco de fazê-la sob pressão.