A LGPD entrou em vigor em 2020 com a solenidade de uma lei que sabia que ia ser ignorada por uma parcela considerável do mercado por pelo menos dois anos.

E foi.

Com a naturalidade com que o Brasil trata regulamentação nova: esperando que alguém próximo fosse autuado primeiro para decidir se levava a sério.

Em 2026, o cenário mudou o suficiente para que a postura de espera tenha se tornado uma aposta de risco com odds piores do que pareciam no início.

A ANPD, Autoridade Nacional de Proteção de Dados, saiu da fase educativa e entrou na fase de fiscalização com a convicção de quem estava esperando apenas que a estrutura estivesse pronta. Processos administrativos foram abertos. Multas foram aplicadas. O mercado acordou.

Para escritórios de contabilidade, a LGPD não é tema periférico de compliance corporativo de grande empresa. É um risco operacional real, porque a natureza do serviço contábil envolve, por definição, o tratamento de alguns dos dados mais sensíveis que existem na relação entre empresa e terceiros: dado fiscal, dado bancário, dado de folha de pagamento, dado de sócio com CPF, patrimônio, rendimento e história tributária.

E boa parte desse dado trafega pelo site.

O que a LGPD tem a ver com o site do escritório

Existe uma percepção equivocada de que a LGPD é problema do departamento jurídico de empresas grandes, com sistema de TI complexo e banco de dados com milhões de registros. Para o escritório contábil de médio porte, esse enquadramento é confortável e errado.

O site do escritório coleta dado pessoal toda vez que um visitante preenche um formulário de contato.

Coleta dado de navegação toda vez que um cookie de analytics registra comportamento de usuário.

Coleta dado de cliente toda vez que um portal de documentos recebe um arquivo com CPF, CNPJ ou informação financeira identificada.

Todos esses dados, sob a perspectiva da LGPD, precisam de base legal para serem coletados, de finalidade declarada para justificar o tratamento, de medida de segurança adequada para proteger contra acesso não autorizado e de política de privacidade acessível que informe o titular sobre o que acontece com o que ele forneceu.

A ausência de qualquer um desses elementos não configura apenas risco de multa, que a ANPD pode aplicar em até 2% do faturamento limitado a R$ 50 milhões por infração.

Configura, para o cliente que descobrir, uma ruptura de confiança num relacionamento que depende de confiança como condição de existência.

LGPD e escritório contábil: os dados que o seu negócio trata sem perceber

O escritório de contabilidade é, pela natureza do serviço, um agente de tratamento de dados pessoais em quantidade e sensibilidade acima da média do mercado.

Dados que o escritório coleta e trata no exercício da atividade contábil: CPF e dados pessoais dos sócios da empresa cliente, folha de pagamento com dados de todos os funcionários, extrato bancário com histórico de transações, declarações de imposto de renda com rendimento total, patrimônio e dependentes, certidões e documentos pessoais para abertura de empresa e processos societários.

Dados que o site coleta além do óbvio: endereço IP de visitantes registrado pelo servidor de hospedagem, comportamento de navegação registrado pelo Google Analytics, nome e e-mail de quem preencheu formulário de contato ou baixou material, dados de acesso ao portal do cliente com log de atividade.

A LGPD não distingue dado de cliente de dado de visitante do site. Todo dado pessoal identificado ou identificável que o escritório coleta, armazena ou processa entra no escopo da lei, e cada um deles exige tratamento adequado com a mesma seriedade que o escritório trata a exatidão de uma DCTF.

O que o site contábil seguro precisa ter para estar em conformidade

A adequação do site à proteção dados escritório contábil não exige projeto de tecnologia de médio porte. Exige que alguns elementos estejam presentes, visíveis e funcionando de forma que o visitante possa exercer os direitos que a LGPD garante.

Política de privacidade acessível e legível

A política de privacidade é o documento que informa o titular dos dados o que o escritório coleta, com qual finalidade, por quanto tempo armazena, com quem compartilha e como o titular pode solicitar acesso, correção ou exclusão.

Precisa estar acessível pelo site, em linguagem que um não jurista consiga entender, e precisa ser real, ou seja, descrever o que o escritório efetivamente faz com os dados, não um texto genérico copiado de outro site com o nome trocado.

Esse detalhe da autenticidade importa porque a ANPD avalia não apenas se a política existe, mas se ela corresponde à prática. Uma política de privacidade que promete não compartilhar dados com terceiros numa empresa que usa Google Analytics, Meta Pixel e RD Station simultaneamente tem uma inconsistência que nenhuma auditoria vai passar.

Aviso de cookies com consentimento genuíno

O aviso de cookies que aparece na primeira visita ao site não é decoração legal. É o mecanismo pelo qual o escritório obtém o consentimento do visitante para cookies que vão além dos estritamente necessários para o funcionamento do site.

Cookies de analytics, cookies de remarketing e cookies de ferramentas de automação de marketing precisam de consentimento explícito antes de serem ativados. O aviso que diz “continuando a navegar você aceita os cookies” sem opção real de recusa não atende o requisito de consentimento livre e informado que a LGPD exige.

Um sistema de gerenciamento de cookies adequado apresenta ao visitante as categorias de cookies, permite aceitar todas, recusar as não essenciais ou personalizar por categoria, e registra o consentimento com data e hora para eventual comprovação.

Formulários com base legal declarada

Cada formulário do site que coleta dado pessoal precisa informar, antes do envio, para qual finalidade aquele dado será usado e qual é a base legal que justifica a coleta. Para formulários de contato, a base legal costuma ser o legítimo interesse ou a execução de contrato. Para captação de leads em troca de material, o consentimento é a base mais adequada.

O campo de confirmação de política de privacidade com link para o documento completo, obrigatório antes do envio, não é apenas boas práticas. É o registro de que o titular foi informado e concordou, que é exatamente o que o escritório precisará demonstrar se questionado.

Segurança do portal de documentos

O portal do cliente é o ponto de maior risco de conformidade no site contábil seguro porque é onde os dados mais sensíveis trafegam. Documentos fiscais, extratos bancários, folhas de pagamento.

Esses arquivos precisam de criptografia em trânsito e em repouso, controle de acesso individual por cliente, log de acesso que registra quem acessou o quê e quando, e política de retenção que define por quanto tempo os arquivos ficam disponíveis antes de serem excluídos ou arquivados.

A ausência de qualquer um desses elementos num portal de documentos não é apenas risco de LGPD. É risco de vazamento de dado que, dependendo do tipo de informação exposta, pode gerar dano ao cliente que fundamenta responsabilidade civil além da sanção administrativa.

LGPD e o WhatsApp: o canal que ninguém está tratando como dado pessoal

Existe um ponto cego na discussão sobre proteção dados escritório contábil que os guias de compliance raramente abordam porque é incômodo demais: o WhatsApp.

O escritório que recebe extrato bancário, holerite, certidão com CPF e contratos por WhatsApp está tratando dado pessoal sensível num canal que não oferece garantias de conformidade com a LGPD, cujo servidor fica fora do Brasil em infraestrutura sobre a qual o escritório não tem nenhum controle, e cujos dados podem ser acessados por quem tem acesso ao dispositivo móvel de qualquer funcionário que participe das conversas.

A LGPD não proíbe o uso do WhatsApp. Mas exige que o tratamento de dados pessoais seja feito com medidas de segurança adequadas ao risco dos dados tratados. Dado fiscal e dado de folha de pagamento têm risco elevado.

Medida adequada para esse risco é canal com criptografia controlada, acesso auditável e política de retenção gerenciável.

O portal de documentos integrado ao site existe, entre outros motivos, para resolver exatamente essa inconsistência entre a sensibilidade do dado que o escritório trata e o canal pelo qual esse dado costuma chegar.

O que fazer agora: um roteiro de adequação em três etapas

Para o escritório que está lendo este artigo com a expressão de quem percebeu que tem mais trabalho pela frente do que esperava, um roteiro prático que organiza a adequação por ordem de impacto e urgência.

A primeira etapa é a auditoria de dados: mapear quais dados pessoais o escritório coleta, por qual canal, com qual finalidade, onde armazena e com quem compartilha.

Esse mapeamento, chamado de inventário de dados ou ROPA na terminologia europeia equivalente, é o ponto de partida para qualquer decisão subsequente porque você não consegue proteger o que não sabe que tem.

A segunda etapa é a adequação do site: implementar política de privacidade real, sistema de consentimento de cookies funcional, termos de uso atualizados e formulários com base legal declarada.

Essa etapa tem impacto visível para o visitante e demonstra conformidade básica antes de qualquer fiscalização.

A terceira etapa é a adequação operacional: migrar troca de documentos sensíveis para canal seguro, treinar a equipe sobre o que pode e o que não pode ser solicitado por canal informal, estabelecer processo para atender solicitações de titulares (acesso, correção, exclusão) e definir política de retenção de dados com prazo e critério.

Nenhuma dessas etapas exige jurídico especializado em proteção de dados para começar. Exige intenção e organização, que são recursos que o escritório contábil já tem por vocação.

A LGPD como argumento de posicionamento, não só de compliance

Aqui está o ângulo que transforma a LGPD de custo de adequação em diferencial competitivo para escritórios contábeis que atendem empresas com sensibilidade a dado e regulação.

O empresário que contrata contabilidade está entregando informações sobre as quais tem obrigação de sigilo com sócios, com funcionários e com a própria reputação.

Saber que o escritório trata esses dados com seriedade documentável, com política de privacidade real, com portal seguro e com processo de conformidade estabelecido, não é apenas tranquilizador. É, para uma parcela crescente de clientes, critério de escolha.

Escritórios que comunicam conformidade com LGPD de forma ativa no site, que mencionam criptografia do portal de documentos, que têm política de privacidade que claramente foi escrita por alguém que entende do negócio, estão diferenciando a entrega antes de qualquer reunião sobre honorário.

Conformidade com LGPD, nesse sentido, não é só não ser multado. É ser o tipo de escritório que o cliente com dado sensível prefere contratar.

Se você quer um site contábil seguro, com conformidade LGPD integrada desde a estrutura, política de privacidade real e portal de documentos criptografado, fale com um especialista do Meu Site Contábil.

Construímos sites para escritórios contábeis com todos os elementos de conformidade digital no lugar. Quer saber mais? É só clicar abaixo.

👉 Quero um site contábil seguro e em conformidade com a LGPD