LGPD e cofre de senhas: as 3 obrigações da lei que tornam o cofre quase obrigatório

A pergunta que escuto em todo evento sobre privacidade é a mesma: "a LGPD obriga a usar gerenciador de senhas?"

Resposta curta: não diretamente. A lei não cita ferramentas. Mas três obrigações concretas da LGPD são, na prática, incumpríveis sem um cofre de credenciais com controle por cargo.

1. Registro das operações de tratamento (art. 37)

"O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem..."

Tradução: toda vez que alguém da sua empresa lê, edita ou compartilha dado pessoal, isso precisa ficar registrado. Não é "ah, mas a planilha tem coluna de data de modificação". É registro auditável, inalterável, vinculado ao usuário que fez a operação.

Senha compartilhada por WhatsApp significa todo mundo logando como o mesmo "usuário admin" do sistema. Audit log do sistema vai dizer "admin acessou em 14:32". Quem é admin? Cinco pessoas. Qual delas? Ninguém sabe. Inadequado.

Cofre com identidade individual significa audit log dizendo "ana.silva@empresa.com.br acessou em 14:32 a senha do banco". Adequado.

2. Eliminação de acesso após término da relação (art. 16)

"Os dados pessoais serão eliminados após o término de seu tratamento..."

Aplicado a credenciais: quando o colaborador sai, o acesso dele a sistemas que processam dados pessoais deve cessar imediatamente. Sem cofre, isso depende de:

• O TI lembrar de TODOS os sistemas
• Trocar TODAS as senhas que aquela pessoa sabia (porque ela pode ter copiado)
• Sem garantia de que o ex-colaborador não tem cópia local de algo

Cofre zero-knowledge com offboarding em um clique resolve: a chave de leitura é apagada, ele perde acesso aos itens existentes mesmo se tiver backup local. Não precisa trocar senha de tudo.

O cálculo concreto do custo dessa operação manual está em Por que offboarding manual é caro.

3. Notificação de incidente em prazo razoável (art. 48)

"O controlador deverá comunicar à autoridade nacional [...] a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares."

Pra notificar você precisa detectar primeiro. Se a senha do CRM está em 3 grupos de WhatsApp, em 2 planilhas no Drive e num pen drive na gaveta, você não tem nem como saber quem vazou.

Com cofre: cada acesso é logado. Padrão anômalo (acesso em horário estranho, IP novo, geolocalização improvável) dispara alerta. Você sabe quando, quem e o quê foi acessado, pode notificar com precisão dentro do prazo.

Quem responde se der incidente?

A LGPD distingue controlador (decide finalidades e meios, geralmente a empresa contratante) e operador (trata em nome do controlador).

Empresa que compartilha senha por WhatsApp e sofre vazamento: o controlador responde. Não adianta dizer "foi descuido do colaborador". A obrigação de implementar segurança adequada é dele (art. 46).

A ANPD pode aplicar multa de até 2% do faturamento bruto, limitado a R$ 50 milhões por infração. E os titulares lesados podem ajuizar ação individual ou coletiva por dano.

Quanto vale "segurança adequada"?

A lei não define quantitativo. Doutrina e ANPD usam o critério da proporcionalidade ao risco:

• Empresa de 5 pessoas que trata só CPF de cliente pra emitir nota fiscal: medidas básicas (senha forte, 2FA, backup) bastam.
• Empresa que trata dado sensível (saúde, financeiro, biométrico): medidas reforçadas, incluindo gerenciamento centralizado de credenciais, log auditável e revogação automática.

Pra qualquer PME que tem funcionário com acesso a sistema com dado de cliente, um cofre com RBAC e audit log é o piso, não o teto. Por que a maioria das PMEs ainda não usa cofre? A resposta cultural está em WhatsApp do time como risco de segurança.

O Argo é o suficiente pra compliance?

Construímos o Argo focado nesses três pontos da LGPD. Especificamente:

| Obrigação LGPD | O que o Argo entrega | |---|---| | Registro de operações (art. 37) | Audit log inalterável com actor, ação, alvo e timestamp | | Eliminação de acesso (art. 16) | Offboarding em um clique apaga a chave de leitura | | Detecção de incidente (art. 48) | Logs exportáveis em CSV pra forense, dashboard de senhas vazadas | | Direito de acesso (art. 18, I/II) | Export do cofre em JSON disponível em /settings | | Operador qualificado (art. 39) | DPA disponível sob demanda. Sediados no Brasil, banco em São Paulo |

Compliance é processo, não produto. Argo é uma peça desse processo. Não substitui política interna, treinamento, nem revisão jurídica do tratamento de dados em si. Mas resolve, com rigor técnico, os três pontos que escutam mais multa quando dão errado.

---

Quer ver como ficaria na sua empresa? 30 dias grátis, sem cartão.

Dúvida específica sobre LGPD aplicada ao seu caso? Escreve direto pro DPO: dpo@basis.app.br.