LGPD na contabilidade: como proteger os dados dos seus clientes

O elefante na sala da contabilidade

Vou ser direto: a maioria dos escritórios contábeis não está em conformidade com a LGPD. Não por má vontade, mas porque o dia a dia é corrido e a adequação parece complicada. Só que ignorar o assunto não é mais uma opção.

Escritórios contábeis lidam com CPF, RG, extrato bancário, folha de pagamento, informe de rendimentos, contratos. São dados pessoais e dados sensíveis dos seus clientes e dos funcionários dos seus clientes. A LGPD se aplica a tudo isso.

A ANPD (Autoridade Nacional de Proteção de Dados) já está aplicando sanções. Em 2025, as primeiras multas chegaram. E escritórios contábeis, por lidarem com volume alto de dados pessoais, são alvos naturais de fiscalização.

O que a LGPD exige na prática

Sem juridiquês, o que você precisa entender:

Base legal para tratar dados. Você precisa de uma justificativa para coletar e processar os dados dos clientes. Para contadores, a base legal mais comum é "obrigação legal" (porque a legislação tributária exige esses dados) e "execução de contrato" (porque o cliente contratou seus serviços).

Finalidade. Você só pode usar os dados para aquilo que justificou. Dados do IR do cliente não podem ser usados para marketing, por exemplo.

Minimização. Colete apenas o que é necessário. Se você não precisa da foto do RG para uma determinada obrigação, não peça.

Segurança. Você precisa proteger os dados contra acesso não autorizado, vazamento, e perda. Isso inclui medidas técnicas (sistemas seguros, senhas, criptografia) e organizacionais (quem tem acesso ao quê).

Direitos do titular. Seus clientes podem pedir para ver quais dados você tem, solicitar correção, e em alguns casos pedir a exclusão.

Onde os escritórios mais erram

Documentos por WhatsApp

Esse é o erro mais comum e o mais grave em termos de LGPD. Quando o cliente manda um extrato bancário por WhatsApp, esse documento passa por servidores do Meta (empresa americana), fica armazenado no celular do seu assistente, e pode ser acessado por qualquer pessoa que tenha acesso ao aparelho.

Não há controle de acesso, não há registro de quem viu, não há como garantir que o documento foi excluído depois de usado. Do ponto de vista da LGPD, é um cenário de risco alto.

Documentos por e-mail sem criptografia

E-mail comum (Gmail, Outlook) não é criptografado ponta a ponta. Documentos em anexo podem ser interceptados em trânsito. Além disso, ficam armazenados na caixa de entrada indefinidamente.

Pastas compartilhadas sem controle de acesso

Google Drive, Dropbox ou pasta no servidor sem permissões definidas. Todo mundo do escritório acessa tudo. O estagiário vê a folha de pagamento do maior cliente.

Dados em computadores pessoais

Funcionários que levam trabalho para casa em pen drive ou que acessam o sistema do escritório pelo computador pessoal, sem antivírus e sem senha.

O que fazer (de forma prática)

Não precisa contratar uma consultoria de R$ 50 mil para se adequar. Para um escritório de pequeno e médio porte, as ações mais importantes são:

1. Pare de receber documentos por WhatsApp

Sério. Esse é o primeiro passo e o mais impactante. Use um canal seguro e rastreável.

O Anexei foi feito com isso em mente. Os documentos trafegam por conexão criptografada (TLS), ficam armazenados no Supabase com isolamento por escritório, e os links de acesso expiram automaticamente. Não há acesso público aos arquivos. Cada ação é registrada em log de atividades.

É um nível de segurança que você não consegue garantir com WhatsApp nem com e-mail.

2. Defina quem acessa o quê

Nem todo funcionário do escritório precisa acessar todos os clientes. Crie níveis de acesso. O assistente que cuida do MEI não precisa ver os dados do cliente do Lucro Real.

3. Tenha um termo de consentimento

Inclua no contrato de prestação de serviços uma cláusula sobre tratamento de dados. Explique quais dados são coletados, para que finalidade, como são armazenados, e por quanto tempo.

Não precisa ser complexo. Existem modelos prontos do CFC (Conselho Federal de Contabilidade) que você pode adaptar.

4. Defina uma política de retenção

Por quanto tempo você guarda os documentos dos clientes? A legislação tributária exige 5 anos para a maioria dos documentos, 10 anos para folha de pagamento. Depois desse prazo, os dados devem ser eliminados.

Na prática, poucos escritórios apagam dados antigos. Mas a LGPD exige que você tenha uma política e que a siga.

5. Prepare um plano de resposta a incidentes

Se acontecer um vazamento (computador roubado, acesso indevido, ransomware), você precisa saber o que fazer:

• Identificar o que foi comprometido
• Notificar a ANPD em até 2 dias úteis (casos graves)
• Notificar os titulares afetados
• Documentar o incidente e as medidas tomadas

Parece exagerado para um escritório pequeno, mas ter um protocolo escrito (nem que seja uma página) já demonstra boa fé.

O que isso tem a ver com coleta de documentos

Tudo. A coleta de documentos é o momento em que dados sensíveis transitam entre o cliente e o escritório. Se esse trânsito acontece por WhatsApp, a cadeia inteira de proteção se quebra.

Usar uma ferramenta com criptografia em trânsito, links temporários, e log de atividades não resolve toda a LGPD, mas resolve o ponto mais vulnerável do processo.

Conclusão

LGPD não é opcional. As multas podem chegar a 2% do faturamento (limitadas a R$ 50 milhões por infração), e a ANPD está ativa. Para escritórios contábeis, os riscos são reais porque o volume de dados pessoais é alto.

As mudanças mais importantes não custam muito: trocar WhatsApp por um canal seguro, definir controles de acesso, e documentar o que você faz com os dados. É trabalho de uma semana, no máximo.

Se quiser começar pelo ponto mais vulnerável, que é a coleta de documentos, o Anexei tem plano gratuito e foi construído com segurança desde o primeiro dia. Links temporários, criptografia, isolamento de dados, sem armazenamento de IP. Dá para testar com 5 solicitações sem compromisso.