Setorial11 min de leitura

LGPD para contadores e escritórios contábeis

Equipe Confidata·
Compartilhar

Escritórios de contabilidade estão entre os maiores processadores de dados pessoais do país — e um dos setores com menor nível de conformidade com a LGPD. Um contador médio processa, mensalmente, dados de dezenas ou centenas de funcionários de seus clientes: salários, benefícios, encargos, afastamentos, situação tributária, dados bancários. Além disso, guarda documentos fiscais com dados pessoais por anos, às vezes décadas.

Este guia explica como a LGPD se aplica ao setor contábil, quais são as bases legais para os principais tratamentos e o que escritórios precisam implementar para estar em conformidade.

Os dados pessoais que escritórios contábeis tratam

A atividade contábil gera e processa dados pessoais em várias frentes:

Folha de pagamento e departamento pessoal

O processamento de folha de pagamento é a fonte mais volumosa de dados pessoais em um escritório contábil. Para cada funcionário dos clientes:

  • Dados de identificação: nome, CPF, RG, data de nascimento, estado civil, número PIS/PASEP
  • Dados de remuneração: salário, comissões, horas extras, adiantamentos, descontos
  • Dados bancários: agência, conta corrente para crédito do salário
  • Dados familiares: dependentes (filhos, cônjuge) para fins de IRRF e benefícios
  • Dados de saúde: atestados médicos, afastamentos por doença, afastamentos pelo INSS (auxílio-doença, licença-maternidade)
  • Dados de seguridade social: contribuição previdenciária, FGTS, INSS

Esses dados são dados pessoais sensíveis na parte que envolve saúde (atestados, CID de afastamentos), e dados pessoais comuns para o restante.

Obrigações acessórias e declarações fiscais

A escrituração fiscal e o cumprimento de obrigações acessórias envolvem dados pessoais de clientes pessoas físicas e sócios de pessoas jurídicas:

  • IRPF (Imposto de Renda Pessoa Física): situação patrimonial completa do declarante e dependentes — CPF, rendimentos, bens, investimentos, dívidas, dados de saúde (despesas médicas)
  • eSocial: dados de todos os trabalhadores do empregador — admissão, demissão, afastamentos, folha, acidente de trabalho
  • SPED (Sistema Público de Escrituração Digital): dados fiscais e contábeis, incluindo dados de sócios e acionistas
  • DIRF: dados de beneficiários de rendimentos retidos na fonte — CPF, valores pagos, IR retido
  • PGDAS-D (Simples Nacional): dados de faturamento e tributos devidos por empresa optante

Abertura e encerramento de empresas

Para abertura e encerramento de empresas, o escritório coleta dados dos sócios:

  • CPF, RG, data de nascimento, estado civil, regime de casamento
  • Endereço residencial
  • Qualificação profissional e participação societária
  • Dados do cônjuge (se aplicável ao regime de bens)

Sigilo profissional e proteção de dados: complementos, não concorrentes

O Código de Ética Profissional do Contador (CFC Resolução nº 803/1996) impõe ao contador o dever de sigilo profissional sobre as informações obtidas no exercício da profissão. O Art. 2º da resolução veda ao contador revelar ou facilitar a revelação de fatos, dados ou informações a que teve acesso no exercício profissional.

O sigilo profissional do contador e a LGPD são complementares — o sigilo reforça a proteção de dados, e a LGPD formaliza as obrigações técnicas e organizacionais que o sigilo exige implicitamente. Não há conflito entre eles.

Quando o sigilo cede frente à lei

O sigilo profissional do contador não é absoluto. O contador está obrigado a fornecer informações quando:

  • Houver determinação judicial (alvará ou mandado)
  • Houver requisição formal da Receita Federal em procedimento fiscal
  • A lei expressa determinar a comunicação (ex: comunicação de operações suspeitas ao COAF — Lei nº 9.613/1998, para escritórios que prestam serviços a clientes obrigados)

Nessas situações, a base legal da LGPD é a obrigação legal (Art. 7º, II) — o compartilhamento ocorre por força de norma jurídica, sem necessidade de consentimento do titular.

As bases legais para os principais tratamentos contábeis

Folha de pagamento: execução de contrato + obrigação legal

O processamento de folha de pagamento pelo escritório contábil tem dupla base legal:

  1. Execução de contrato (Art. 7º, V da LGPD): o cliente contratou o escritório para processar a folha — o tratamento de dados dos funcionários é necessário para executar o contrato de prestação de serviços contábeis.

  2. Obrigação legal (Art. 7º, II): o empregador tem obrigações legais que exigem o processamento de dados dos trabalhadores — eSocial, CAGED, GFIP, RAIS — e o escritório, como operador, as executa em nome do cliente.

Atenção para dados de saúde: atestados médicos e dados de afastamento por doença são dados sensíveis (Art. 5º, II, VIII da LGPD). A base legal para dados sensíveis exige enquadramento no Art. 11 da LGPD. A hipótese mais adequada é:

  • Art. 11, II, a (obrigação legal): o eSocial exige o lançamento de afastamentos por motivo de saúde, incluindo o tipo de afastamento — base legal de obrigação legal.
  • Art. 11, II, f (tutela da saúde): aplicável ao médico do trabalho no contexto do PCMSO — não diretamente ao contador, que recebe o documento do RH do cliente.

Declarações fiscais: obrigação legal

As obrigações acessórias — IRPF, DIRF, eSocial, SPED — são imposições legais que o cliente tem por lei. O escritório que as entrega em nome do cliente age como operador em uma atividade cuja base legal é a obrigação legal (Art. 7º, II).

Abertura de empresas: execução de contrato

Os dados de sócios coletados para abertura de empresa são necessários para executar o contrato de constituição societária — base legal: execução de contrato (Art. 7º, V).

O escritório como operador: o DPA com o cliente

Na relação contábil, o enquadramento correto sob a LGPD é:

  • O cliente (pessoa jurídica que contratou o escritório) é o controlador dos dados de seus funcionários e terceiros
  • O escritório contábil é o operador — processa dados pessoais em nome e por instrução do controlador

Esse enquadramento tem consequências práticas importantes:

  1. DPA obrigatório: o Art. 39 da LGPD exige que o controlador formalize um contrato com o operador que estabeleça as instruções de tratamento, as medidas de segurança, as obrigações em caso de incidente e as condições de encerramento. Na prática, isso significa que todo cliente de escritório contábil deveria formalizar um DPA com seu contador.

Na maioria dos escritórios brasileiros, esse contrato não existe como documento separado — quando muito, há uma cláusula genérica de sigilo no contrato de prestação de serviços. A adequação exige formalizar o DPA ou atualizar o contrato de serviços para incluir as cláusulas exigidas pelo Art. 39.

  1. O escritório responde como operador: se houver vazamento de dados de funcionários do cliente causado por falha de segurança do escritório, o escritório responde como operador negligente nos termos do Art. 42 da LGPD.

  2. O escritório é controlador de seus próprios dados: para os dados de seus próprios colaboradores, clientes como pessoas físicas (quando a relação é direta com o CPF, não com o CNPJ) e para outros tratamentos definidos pelo próprio escritório, o escritório atua como controlador e assume as obrigações correspondentes.

Retenção de dados contábeis: o prazo legal

A LGPD exige que dados pessoais sejam mantidos apenas pelo tempo necessário para a finalidade (princípio da necessidade, Art. 6º, III). Para escritórios contábeis, o prazo de retenção é definido principalmente pela legislação fiscal e trabalhista:

Documentos fiscais

O Código Tributário Nacional (CTN) estabelece prazo de decadência e prescrição tributária de 5 anos. Na prática, a Receita Federal orienta que documentos fiscais sejam guardados por:

  • 5 anos para documentos de pessoa jurídica após o encerramento do exercício a que se referem (prazo de decadência para lançamento de ofício)
  • 10 anos em casos específicos (crimes tributários, quando há processo administrativo ou judicial em curso)

Documentos trabalhistas

A legislação trabalhista prevê prazos distintos:

  • 2 anos após o término do contrato de trabalho para ajuizamento de reclamação trabalhista (Art. 7º, XXIX da CF)
  • 5 anos de guarda prudencial para documentos de folha de pagamento, recibos e comprovantes (prazo de prescrição trabalhista)
  • 30 anos para documentos de FGTS — prática de mercado consolidada, em razão das regras de transição da prescrição quinquenal do FGTS decidida pelo STF em 2014 (ARE 709212); ações sobre depósitos anteriores a novembro de 2014 ainda podiam ser ajuizadas com base no prazo trintenário
  • Indefinido para CAGED e RAIS em relação ao trabalhador (não há prazo legal explícito, mas 10 anos é prática de mercado)

Depois do prazo: eliminação ou anonimização

Após o vencimento do prazo legal aplicável, os documentos com dados pessoais devem ser eliminados ou anonimizados. Na prática de escritórios, documentos físicos são destruídos e documentos digitais são deletados ou, no caso de dados históricos que o escritório quer manter para fins estatísticos, anonimizados.

DPAs com fornecedores de sistemas contábeis

O escritório contábil usa sistemas de terceiros para processar os dados de seus clientes — sistemas de folha de pagamento, softwares de escrita fiscal, plataformas de transmissão de obrigações acessórias. Esses sistemas atuam como suboperadores — operadores contratados pelo operador (o escritório) para processar dados do controlador (o cliente).

O Art. 39, §único da LGPD determina que o operador pode contratar suboperadores, desde que as mesmas obrigações contratuais sejam repassadas.

Principais fornecedores e DPAs

Os principais sistemas utilizados por escritórios contábeis — Totvs Protheus, Domínio Sistemas, Alterdata, Questor, Nasajon, entre outros — têm, em graus variados, políticas de privacidade e instrumentos contratuais para conformidade com a LGPD. O escritório deve:

  1. Verificar se o fornecedor do sistema tem DPA disponível — muitos já disponibilizam como aditivo contratual
  2. Formalizar o DPA com o fornecedor (ou confirmar que os termos de serviço incluem cláusulas equivalentes)
  3. Repassar ao cliente as informações sobre os suboperadores envolvidos no processamento de seus dados, quando solicitado

Obrigações de comunicação ao COAF: a intersecção com a PLDFT

Escritórios contábeis prestadores de serviços enquadrados na Lei nº 9.613/1998 (Lei de Lavagem de Dinheiro) têm obrigação de comunicar operações suspeitas ao COAF (Conselho de Controle de Atividades Financeiras), nos termos da Resolução COAF nº 36/2021.

Essa obrigação de comunicar opera como obrigação legal (Art. 7º, II da LGPD), e prevalece sobre o sigilo profissional contábil. O que muda com a LGPD é a necessidade de documentar essa base legal e de garantir que os dados de clientes comunicados ao COAF tenham sido coletados e processados com as proteções adequadas.

Checklist de conformidade para escritórios contábeis

  • Identificar todos os tratamentos de dados pessoais realizados (folha de pagamento, obrigações acessórias, abertura de empresas, clientes PF)
  • Documentar a base legal para cada tratamento (obrigação legal, execução de contrato)
  • Formalizar DPA com cada cliente que transmite dados de funcionários ao escritório
  • Verificar e formalizar DPA com fornecedores de sistemas contábeis
  • Implementar política de retenção alinhada com os prazos fiscais e trabalhistas aplicáveis
  • Garantir que dados de saúde (atestados, afastamentos) tenham proteções adicionais (acesso restrito, criptografia)
  • Publicar aviso de privacidade no site e no contrato de prestação de serviços
  • Implementar processo para atender solicitações de titulares (acesso, correção, eliminação) — especialmente de ex-funcionários dos clientes
  • Treinar a equipe do escritório sobre proteção de dados e sigilo profissional

Conclusão

A atividade contábil é, por natureza, um serviço de processamento de dados pessoais em nome de terceiros. O enquadramento do escritório como operador não elimina responsabilidades — ao contrário, exige que o escritório implemente as medidas técnicas e organizacionais adequadas para processar dados de funcionários de seus clientes com segurança.

A regularização começa com dois documentos: o DPA com os clientes (que a maioria ainda não tem) e a política de retenção alinhada com os prazos fiscais e trabalhistas (que define quando documentos com dados pessoais podem ser eliminados). Esses dois instrumentos, somados a um aviso de privacidade atualizado, cobrem a maior parte das obrigações de conformidade do setor contábil.

A Confidata ajuda escritórios contábeis e departamentos de contabilidade a mapear atividades de tratamento, formalizar DPAs com clientes e fornecedores de sistemas e implementar políticas de retenção compatíveis com a legislação fiscal e trabalhista.

Compartilhar
#LGPD#contabilidade#escritório contábil#sigilo profissional#dados fiscais#folha de pagamento#eSocial

Artigos relacionados

LGPD para ONGs e Fundações: Guia de Adequação [2026]Setorial · 13 minLGPD na indústria: dados de IoT, supply chain e manufaturaSetorial · 12 minLGPD no setor imobiliário: corretoras, construtoras e condomíniosSetorial · 12 minLGPD para Condomínios — Câmeras, Portaria Digital e Dados de MoradoresSetorial · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista