Um analista contábil, no fim do expediente, seleciona uma pasta inteira de clientes e anexa em um e-mail pessoal “para adiantar trabalho em casa”. Um estagiário copia uma planilha com CPF, salário e dados de folha de pagamento de dezenas de funcionários para um pendrive. Um colaborador que está de saída da empresa baixa uma cópia dos arquivos fiscais de clientes “por garantia”. Nenhum desses casos, na maioria dos escritórios contábeis, dispara qualquer alerta — porque não existe nada monitorando esse tipo de movimentação de dado.
Antivírus não resolve isso. Antivírus protege contra software malicioso; não impede que uma pessoa autorizada a acessar o dado o envie para onde não deveria. Esse é exatamente o problema que o DLP (Data Loss Prevention, ou prevenção contra perda de dados) foi criado para resolver, e é um ponto cego em praticamente todo escritório contábil que já auditamos no ABC Paulista e em São Paulo.
O detalhe mais importante deste post: se o escritório já usa Microsoft 365 Business Premium, o DLP já está incluído na licença. A grande maioria simplesmente nunca ativou.
O que é DLP e por que o escritório contábil precisa mais do que um antivírus
DLP é uma camada de política que monitora e controla como dados sensíveis se movem — por e-mail, por upload para nuvem, por cópia para USB, por impressão. Em vez de proteger contra ataque externo (que é a função do antivírus e do firewall), o DLP protege contra vazamento pela via legítima: alguém que já tem acesso ao dado, mas está movendo esse dado para um lugar que a política da empresa não permite.
Escritório contábil é um dos ambientes onde esse risco é mais concentrado, porque a natureza do trabalho exige lidar, todos os dias, com CPF, CNPJ, dados de folha de pagamento, declaração de Imposto de Renda, extrato bancário de clientes pessoa física e jurídica. Diferente de uma empresa comum, em que talvez só o RH e o financeiro tenham acesso a dado sensível, no escritório contábil praticamente toda a equipe operacional — do estagiário ao sócio — passa o dia manipulando esse tipo de informação de terceiros.
Sem DLP, a única barreira contra vazamento é o bom senso e a ética de cada colaborador. Isso não é uma crítica à equipe — é reconhecer que erro humano (anexar o arquivo errado, mandar e-mail para o destinatário errado, copiar dado para um dispositivo pessoal sem pensar duas vezes) é a causa mais comum de vazamento de dado, mais do que ataque hacker sofisticado. DLP cria uma rede de proteção que não depende de ninguém lembrar da regra na hora certa.
Quais dados do escritório contábil precisam de proteção ativa (e por quê)
Nem todo documento do escritório precisa do mesmo nível de controle, e tentar proteger tudo igualmente costuma travar o trabalho e gerar resistência da equipe. Os tipos de dado que merecem política de DLP dedicada são os seguintes.
CPF e CNPJ em volume. Um documento isolado com um CPF é diferente de uma planilha com 200 CPFs de clientes. DLP consegue detectar esse padrão — não pelo dado individual, mas pela concentração — e aplicar regra diferente para arquivo com múltiplos registros.
Dados de folha de pagamento e Imposto de Renda. Esses arquivos combinam dado financeiro e dado pessoal sensível (às vezes incluindo dado de saúde, em caso de licença médica registrada). É o tipo de informação que, se vazar, gera dano concreto e mensurável ao cliente final e responsabilização direta ao escritório contábil pela LGPD.
Extratos bancários e dados de conciliação. Informação financeira detalhada de clientes, que normalmente circula entre o financeiro do escritório e o sistema contábil, e que não deveria sair da empresa por canal não corporativo.
Documentos de auditoria e apuração fiscal. Papéis de trabalho que sustentam decisões fiscais tomadas para o cliente — o tipo de documento que, fora de contexto ou em mãos erradas, pode ser usado de forma prejudicial ao cliente ou ao próprio escritório.
A lógica de priorizar essas categorias, em vez de tentar bloquear tudo, é o que faz o DLP funcionar na prática sem virar um empecilho que a equipe tenta contornar.
DLP nativo no Microsoft 365: o que você já tem e não configurou
Aqui está o ponto que mais surpreende os clientes quando fazemos o diagnóstico: quem já paga Microsoft 365 Business Premium já tem acesso ao Microsoft Purview, a plataforma de conformidade e proteção de dados da Microsoft, que inclui políticas de DLP prontas para uso.
O Purview vem com classificadores de informação sensível já treinados para reconhecer padrões como CPF, CNPJ, número de cartão de crédito e outros formatos comuns no Brasil, além de permitir criar classificadores customizados para documentos específicos do escritório (como o modelo de papel de trabalho de apuração, por exemplo). Isso significa que não é preciso comprar uma ferramenta de DLP separada — o trabalho é configurar o que já está pago.
Na prática, a configuração básica cobre três frentes: e-mail (bloquear ou alertar quando um e-mail com determinado tipo de dado sensível está saindo para fora do domínio da empresa), SharePoint e OneDrive (impedir compartilhamento externo de arquivo classificado como sensível sem aprovação), e endpoint (controlar cópia para USB e impressão em dispositivos gerenciados pela empresa via Microsoft Entra ID). Essa terceira frente depende de os dispositivos estarem ingressados no Microsoft Entra ID e da gestão de acesso estar organizada — outro ponto que costuma estar pela metade nos escritórios que revisamos.
Vale revisar isso junto com o guia de configuração do Microsoft 365 para contabilidades, porque DLP depende de uma base de identidade e dispositivo já organizada para funcionar bem — não adianta configurar política de DLP sofisticada se qualquer pessoa consegue entrar com qualquer dispositivo sem controle de acesso.
Como criar políticas de DLP sem travar o trabalho do contador
O erro mais comum ao implementar DLP é começar bloqueando tudo de forma agressiva, o que gera reclamação da equipe, pedidos de exceção toda hora, e no fim das contas a política sendo desativada porque “atrapalha mais do que ajuda”. A forma que recomendamos para escritório contábil é em três fases.
Na primeira fase, a política roda em modo de auditoria — apenas registrando quando um dado sensível está sendo movido de forma que a regra consideraria arriscada, sem bloquear nada. Isso permite entender o comportamento real da equipe (quais tipos de compartilhamento acontecem, com que frequência, para onde) antes de decidir o que realmente precisa ser bloqueado.
Na segunda fase, ativamos alertas e avisos ao usuário — quando alguém tenta enviar um e-mail com CPF em volume para fora do domínio, por exemplo, aparece um aviso pedindo confirmação (“este e-mail contém dado sensível, você tem certeza que quer enviar?”). Isso já reduz drasticamente o erro por distração, sem impedir o trabalho legítimo (como enviar a declaração de IR para o próprio cliente, que é parte normal da rotina).
Na terceira fase, bloqueamos de fato os cenários de risco mais claro — como cópia de arquivo com dado sensível para USB não corporativo, ou compartilhamento externo de planilha de folha de pagamento sem aprovação prévia de um gestor.
Esse rollout gradual é o que faz a diferença entre uma política de DLP que a equipe respeita e uma que a equipe aprende a burlar.
DLP e LGPD: o que registrar para uma eventual auditoria
A LGPD não exige uma ferramenta específica de DLP, mas exige que a empresa demonstre medidas técnicas e administrativas adequadas para proteger dado pessoal — e DLP é exatamente esse tipo de evidência que um escritório contábil consegue apresentar em caso de auditoria ou de incidente reportado à ANPD.
O que vale manter documentado: quais políticas de DLP estão ativas e desde quando, quais categorias de dado elas protegem, um histórico dos incidentes detectados (mesmo os que foram apenas alertados, não bloqueados) e como cada um foi tratado, e evidência de que a equipe foi treinada sobre a política — um simples registro de comunicado interno já ajuda.
Esse tipo de registro tem valor duplo: serve de defesa em caso de fiscalização, mas também é o material de base para revisar e melhorar a política com o tempo, à medida que o escritório entende melhor onde o risco real está concentrado. Se o escritório ainda não tem clareza sobre o que a LGPD exige de forma mais ampla, vale complementar essa leitura com o guia sobre o que a LGPD exige da TI da empresa.
Conclusão
DLP não é uma ferramenta a mais para comprar — na grande maioria dos escritórios contábeis que atendemos, é um recurso que já está pago dentro do Microsoft 365 e simplesmente nunca foi ligado. O ganho de segurança de configurar isso corretamente é desproporcional ao esforço, porque fecha exatamente a brecha mais comum de vazamento de dado: não o ataque externo, mas o movimento descuidado de um dado sensível por alguém que tinha acesso legítimo a ele.
Perguntas frequentes
DLP substitui antivírus e firewall?
Não. São camadas complementares. Antivírus e firewall protegem contra ameaça externa; DLP controla o movimento de dado sensível por quem já tem acesso autorizado a ele.
Preciso comprar uma licença extra para ter DLP?
Se o escritório já tem Microsoft 365 Business Premium, o DLP básico via Microsoft Purview já está incluído. Recursos mais avançados de conformidade podem exigir licenciamento adicional (como o E5 Compliance), mas raramente é necessário para o porte de um escritório contábil de pequeno e médio porte.
DLP vai travar o envio normal de documentos para o cliente?
Se configurado corretamente, não. A política pode ser ajustada para permitir o fluxo normal de trabalho (como enviar a declaração de IR para o próprio dono do CPF) e restringir apenas os cenários de risco real, como envio em massa para destinatário externo desconhecido.
Quanto tempo leva para implementar DLP no escritório?
A configuração inicial em modo de auditoria pode ser feita em poucos dias. O processo completo, incluindo o período de observação e o ajuste gradual das políticas até o bloqueio efetivo, costuma levar de 4 a 8 semanas para rodar de forma estável.
A TI do seu escritório está pronta para o próximo fechamento?
Faça o Diagnóstico gratuito da Altcom e descubra o que pode ser melhorado antes que vire um problema.
TI Especializada para Contabilidade por Região
Atendemos escritórios contábeis em:
TI para Contabilidade em São Paulo |
TI para Contabilidade em São Bernardo do Campo |
TI para Contabilidade em São Caetano do Sul