LGPD e Microsoft 365: como garantir conformidade real

A Lei Geral de Proteção de Dados (LGPD) completou 4 anos com multas reais sendo aplicadas pela ANPD. Para empresas que usam Microsoft 365, a boa notícia é que a plataforma inclui ferramentas nativas para implementar os controles exigidos pela lei. A má notícia é que essas ferramentas precisam ser configuradas, elas não funcionam "out of the box".

R$50MMulta máxima ANPD
2%Do faturamento por infração
72hPara notificar incidentes à ANPD

LGPD e o ecossistema Microsoft

O Microsoft 365 abrange vários artigos da LGPD diretamente: controle de acesso a dados pessoais (Art. 46), registro de operações de tratamento (Art. 37), medidas de segurança adequadas (Art. 46) e mecanismos de exclusão de dados (Art. 18). As ferramentas que cobrem esses requisitos estão no Microsoft Purview.

Microsoft Purview: o centro de conformidade

O Microsoft Purview Compliance Portal é o hub central para LGPD no M365. As principais funcionalidades são:

  • Compliance Manager: avalia automaticamente seu nível de conformidade com LGPD, ISO 27001 e GDPR, com score e lista de ações recomendadas
  • Content Explorer: localiza onde dados sensíveis (CPF, RG, dados de saúde) estão armazenados no Exchange, SharePoint e OneDrive
  • Data Map: mapeia fluxos de dados pessoais entre serviços
  • eDiscovery: permite localizar e exportar dados de usuários específicos para atender solicitações de titulares (Art. 18 LGPD)

Importante: O Microsoft Purview está disponível no Microsoft 365 Business Premium e nos planos E3/E5. No Business Basic e Standard, a cobertura de conformidade é limitada. Este é um dos principais motivos para que equipes com acesso a dados sensíveis (RH, Jurídico, Financeiro) sejam licenciadas com Business Premium.

DLP, Prevenção de Perda de Dados

As políticas de DLP (Data Loss Prevention) monitoram e bloqueiam o compartilhamento de dados sensíveis fora da organização. Para LGPD, as políticas essenciais são:

  • CPF e CNPJ: bloquear compartilhamento externo de documentos que contenham esses identificadores
  • Dados de saúde: identificar e proteger prontuários, laudos e dados médicos
  • Dados financeiros: bloquear envio de planilhas com dados de cartão de crédito ou conta bancária
  • E-mail para domínios externos: exigir justificativa quando dados sensíveis são enviados para fora da organização

Sensitivity Labels: classificação de documentos

Sensitivity Labels permitem classificar documentos e e-mails por nível de sensibilidade, aplicando proteções automaticamente. Uma taxonomia básica para LGPD:

  • Público: sem restrições
  • Interno: acesso apenas para funcionários
  • Confidencial, Dados Pessoais: criptografia + watermark + bloqueio de impressão
  • Altamente Confidencial: criptografia + acesso apenas para grupos específicos + expiração automática

Trilha de auditoria completa

A LGPD exige que a organização comprove que implementou medidas de segurança adequadas. No M365, o Audit Log registra automaticamente:

  • Acesso a arquivos no SharePoint e OneDrive
  • Envio e recebimento de e-mails
  • Alterações de permissões
  • Downloads e compartilhamentos externos
  • Sign-ins e tentativas de acesso

Esses logs ficam disponíveis por 90 dias no plano básico e até 10 anos com o add-on de auditoria premium. Para apresentar à ANPD, o Compliance Manager gera relatórios prontos de conformidade.

Checklist de conformidade LGPD no M365

  • Compliance Manager configurado e score avaliado
  • Content Explorer mapeou todos os dados pessoais armazenados
  • Políticas DLP ativas para CPF, dados de saúde e financeiros
  • Sensitivity Labels publicadas e em uso pelos colaboradores
  • Audit Log habilitado e retendo logs por no mínimo 1 ano
  • Processo de atendimento a solicitações de titulares (eDiscovery) documentado
  • Políticas de retenção e exclusão de dados configuradas
  • Relatório mensal de conformidade gerado e arquivado

Quer implementar isso na sua empresa?

Diagnóstico gratuito do seu ambiente Microsoft em até 5 dias úteis.

Falar com um especialista