LGPD e Microsoft 365: como garantir conformidade real
A Lei Geral de Proteção de Dados (LGPD) completou 4 anos com multas reais sendo aplicadas pela ANPD. Para empresas que usam Microsoft 365, a boa notícia é que a plataforma inclui ferramentas nativas para implementar os controles exigidos pela lei. A má notícia é que essas ferramentas precisam ser configuradas, elas não funcionam "out of the box".
LGPD e o ecossistema Microsoft
O Microsoft 365 abrange vários artigos da LGPD diretamente: controle de acesso a dados pessoais (Art. 46), registro de operações de tratamento (Art. 37), medidas de segurança adequadas (Art. 46) e mecanismos de exclusão de dados (Art. 18). As ferramentas que cobrem esses requisitos estão no Microsoft Purview.
Microsoft Purview: o centro de conformidade
O Microsoft Purview Compliance Portal é o hub central para LGPD no M365. As principais funcionalidades são:
- Compliance Manager: avalia automaticamente seu nível de conformidade com LGPD, ISO 27001 e GDPR, com score e lista de ações recomendadas
- Content Explorer: localiza onde dados sensíveis (CPF, RG, dados de saúde) estão armazenados no Exchange, SharePoint e OneDrive
- Data Map: mapeia fluxos de dados pessoais entre serviços
- eDiscovery: permite localizar e exportar dados de usuários específicos para atender solicitações de titulares (Art. 18 LGPD)
Importante: O Microsoft Purview está disponível no Microsoft 365 Business Premium e nos planos E3/E5. No Business Basic e Standard, a cobertura de conformidade é limitada. Este é um dos principais motivos para que equipes com acesso a dados sensíveis (RH, Jurídico, Financeiro) sejam licenciadas com Business Premium.
DLP, Prevenção de Perda de Dados
As políticas de DLP (Data Loss Prevention) monitoram e bloqueiam o compartilhamento de dados sensíveis fora da organização. Para LGPD, as políticas essenciais são:
- CPF e CNPJ: bloquear compartilhamento externo de documentos que contenham esses identificadores
- Dados de saúde: identificar e proteger prontuários, laudos e dados médicos
- Dados financeiros: bloquear envio de planilhas com dados de cartão de crédito ou conta bancária
- E-mail para domínios externos: exigir justificativa quando dados sensíveis são enviados para fora da organização
Sensitivity Labels: classificação de documentos
Sensitivity Labels permitem classificar documentos e e-mails por nível de sensibilidade, aplicando proteções automaticamente. Uma taxonomia básica para LGPD:
- Público: sem restrições
- Interno: acesso apenas para funcionários
- Confidencial, Dados Pessoais: criptografia + watermark + bloqueio de impressão
- Altamente Confidencial: criptografia + acesso apenas para grupos específicos + expiração automática
Trilha de auditoria completa
A LGPD exige que a organização comprove que implementou medidas de segurança adequadas. No M365, o Audit Log registra automaticamente:
- Acesso a arquivos no SharePoint e OneDrive
- Envio e recebimento de e-mails
- Alterações de permissões
- Downloads e compartilhamentos externos
- Sign-ins e tentativas de acesso
Esses logs ficam disponíveis por 90 dias no plano básico e até 10 anos com o add-on de auditoria premium. Para apresentar à ANPD, o Compliance Manager gera relatórios prontos de conformidade.
Checklist de conformidade LGPD no M365
- Compliance Manager configurado e score avaliado
- Content Explorer mapeou todos os dados pessoais armazenados
- Políticas DLP ativas para CPF, dados de saúde e financeiros
- Sensitivity Labels publicadas e em uso pelos colaboradores
- Audit Log habilitado e retendo logs por no mínimo 1 ano
- Processo de atendimento a solicitações de titulares (eDiscovery) documentado
- Políticas de retenção e exclusão de dados configuradas
- Relatório mensal de conformidade gerado e arquivado
Quer implementar isso na sua empresa?
Diagnóstico gratuito do seu ambiente Microsoft em até 5 dias úteis.
Falar com um especialista