LGPD na contabilidade: a auditoria invisível que pode custar 2% do faturamento
Dados de socios, funcionarios e fornecedores nos balanços são dados pessoais. A ANPD já autuou empresas e a multa pode chegar a R$ 50 milhões por infração. O que mudou em 2025 e o que precisa estar no seu controle.
O caso Telekall e o fim da fase de orientação
Em julho de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial sua primeira sanção financeira por descumprimento da LGPD. A empresa autuada foi a Telekall Infoservice. A multa, de R$ 14.400, foi simbolica em valor mas categorica em sinal. A ANPD saiu da fase de orientação e entrou na fase de fiscalização.
De la para ca, o cenário mudou. Em 2025, com regulamentos específicos sobre sanções publicados e plano de fiscalização ativo, a ANPD passou a buscar infrações proativamente, sem depender apenas de denúncias. A multa pode chegar a 2% do faturamento do último exercício, limitada a R$ 50 milhões por infração.
A pergunta não é mais se a fiscalização chega. E quando, e o que ela vai encontrar.
Por que contabilidade trata dado pessoal o tempo todo
Existe uma percepção comum de que LGPD e problema de quem opera marketing, atendimento, RH. A contabilidade, sob essa visão, lida com números, não com pessoas.
A realidade e outra. O razão contábil contem CPF de socios em atas de distribuição de lucros. A folha de pagamento traz dados pessoais sensíveis de todos os funcionarios. Notas fiscais identificam fornecedores e clientes pessoa fisica. Conciliações bancárias citam beneficiarios por nome e documento. Anexos de auditoria incluem contratos com clausulas que identificam pessoas naturais.
Todo esse conteudo e dado pessoal sob a definição da LGPD. E todo ele transita por sistemas, planilhas, e-mails, anexos compartilhados. Cada movimento e, em tese, um tratamento de dado pessoal -- com base legal exigida e trilha de quem acessou o que.
O que a ANPD olha em uma fiscalização
A dosimetria que a ANPD aplica para definir o valor da multa não olha apenas o que aconteceu. Olha a postura.
- Base legal de tratamento: existe? está documentada? aplica-se ao caso concreto?
- Encarregado (DPO): foi indicado? a indicação foi comunicada publicamente?
- Políticas e governança: existem? são seguidas? estão atualizadas?
- Boas práticas: a empresa adota framework reconhecido? participa de programas?
- Cooperação: respondeu prontamente as solicitações? trouxe transparência?
- Medidas corretivas: adotou correção após identificar problema? em quanto tempo?
Boa parte desses critérios depende de uma coisa: evidência. Se a empresa diz que tem política de acesso, ela precisa mostrar quem teve acesso a que dado, quando, e com que base. Se diz que conciliações bancárias são revisadas apenas por usuários autorizados, ela precisa mostrar a trilha. Se diz que dados de socios são consultados sob necessidade, ela precisa mostrar o log.
A trilha de auditoria como evidência de boa fe
Em uma fiscalização da ANPD, dois tipos de empresa se distinguem com clareza.
A primeira chega com discurso. Diz que tem cuidado. Diz que orienta o time. Diz que já pensou no assunto. Quando a ANPD pede evidência de quem acessou determinado dado em determinada data, a empresa precisa reconstruir. A reconstrução demora, e os ganchos para autuação se multiplicam.
A segunda chega com sistema. Cada operação sobre dados sensíveis -- visualizar balancete, exportar folha, alterar conciliação com dados de fornecedor -- está registrada com usuário, data, hora, IP e contexto. A trilha e imutável, ordenada e filtrável. Quando a ANPD pergunta, a resposta e uma consulta.
Essa diferença não é cosmética. E ela que separa multa de advertência, e dentro da multa, separa mínimo de máximo. A "pronta adoção de medidas corretivas" -- um dos critérios explícitos de dosimetria -- so existe na prática para quem tem rastreabilidade.
Custar 2% do faturamento e o pior cenário; não ter resposta e o mais provável
A multa de 2% e a manchete. O cenário diário e mais sutil. E o pedido de informação da ANPD que chega por e-mail formal e exige resposta em prazo curto. E a demanda de um titular pedindo acesso aos próprios dados, que precisa ser respondida em até 15 dias com lista completa de tratamentos. E o incidente de segurança que precisa ser comunicado em prazo razoável, com descrição de medidas tomadas.
Empresas que tratam contabilidade como caixa preta -- onde so o time interno sabe quem acessou o que -- não tem como cumprir esses prazos. Empresas que tratam contabilidade como processo auditável respondem rápido, com evidência, sem fragmentar a operação.
A LGPD, por essa lente, deixa de ser regulamentação adicional. Vira teste de maturidade do controle interno que a empresa já deveria ter independente da lei.
Construir trilha de acesso, log imutável e respostas em prazo curto a partir de planilhas compartilhadas e infraestrutura improvisada e teoricamente possível -- e cansativo. A TOPO trata cada operação contábil como evento auditável por padrão, já preparado para uma fiscalização da ANPD. Conheça a auditoria nativa da plataforma.
Fontes
- ANPD aplica a primeira multa por descumprimento a LGPD -- gov.br
- A primeira sanção aplicada pela ANPD: o Caso Telekall Infoservice -- Jusbrasil
- Multas da LGPD: Impactos Financeiros para Empresas em 2025 -- BRy
- A Era da Orientação Acabou: As Primeiras Multas da ANPD e o Novo Cenário da LGPD -- Gisele Truzzi
- Artigo 52: Sanções administrativas da Autoridade Nacional -- LGPD Brasil
- LGPD em 2025: o que há de mais atual sobre a aplicação da lei -- ANEPS