O cenário que acontece mais do que você imagina
São 14h23 de uma terça-feira. Um vendedor da sua empresa sai de uma reunião com cliente em São Paulo, entra no metrô e percebe que o smartphone corporativo não está mais no bolso. Pode ter caído, pode ter sido roubado no estande do cliente, pode estar no táxi que pegou mais cedo.
No dispositivo: acesso ao CRM com dados de 340 clientes, e-mails corporativos dos últimos 6 meses, arquivos de propostas com precificação confidencial, acesso ao sistema de ERP via app e as credenciais de Wi-Fi da empresa salvas na memória do aparelho.
A pergunta que o gestor de TI precisa responder nos próximos minutos não é “onde está o celular”. É: o que acontece com os dados agora?
O que acontece hora a hora quando o dispositivo some sem MDM
|
H+0
Agora
|
O aparelho foi perdido. O colaborador percebe e informa ao TI. Os dados corporativos no dispositivo estão completamente acessíveis para quem o encontrou. |
|
H+1 a 3
Investigação
|
TI tenta localizar o dispositivo. Sem MDM, não há GPS rastreável, não há log de acesso recente, não há como saber quais dados foram acessados. O TI precisa revogar manualmente acesso por acesso em cada sistema. |
|
H+4 a 24
Janela aberta
|
Os dados corporativos permanecem acessíveis no dispositivo enquanto TI tenta revogar acessos um por um. O processo é manual, lento e falível. Apps com cache local continuam com dados disponíveis mesmo após revogação dos sistemas. |
|
H+48 a 72
Obrigação legal
|
Se o dispositivo continha dados pessoais de clientes, a ANPD deve ser comunicada em até 72h após a ciência do incidente. Sem log de quais dados estavam no dispositivo, a empresa não consegue nem dimensionar o impacto para preencher a comunicação. |
|
Semanas depois
A conta chega
|
Honorários de advogado especializado em LGPD, investigação forense para tentar mapear o que estava no dispositivo, comunicação à ANPD, potencial notificação de clientes cujos dados foram expostos, processo administrativo e possível multa. |
✅
O mesmo cenário com MDM ativo
H+0: colaborador informa o sumiço ao TI. H+2 minutos: TI acessa o painel MDM, confirma a última localização GPS do dispositivo e aciona o bloqueio remoto. O aparelho torna-se inacessível. H+5 minutos: TI acessa o log do MDM e confirma quais dados estavam no dispositivo e quais acessos foram feitos nas últimas horas. H+30 minutos: decisão de fazer wipe completo ou aguardar recuperação. Resultado: incidente contido antes de gerar obrigação de comunicação à ANPD. Custo total: horas de trabalho do TI.
Os 6 componentes do custo real de um dispositivo perdido
O valor do hardware é o menor item da conta. O custo real de um smartphone corporativo perdido sem controle de dados se divide em seis categorias, e a soma raramente fica abaixo de R$ 15.000 mesmo nos casos mais simples.
A nota fiscal do incidente: 6 itens que compõem o custo real
|
01
|
Hardware: substituição do dispositivo
Custo direto e mais visível. Smartphone corporativo de linha média a alta: R$ 1.800 a R$ 5.000. Mais configuração, provisionamento e tempo de TI para preparar o novo aparelho.
Estimativa: R$ 2.000 a R$ 5.500
|
|
02
|
TI: horas de resposta ao incidente
Revogar acessos manualmente sistema por sistema, tentar localizar o dispositivo, mapear quais dados estavam nele, documentar o incidente, configurar o novo aparelho. Sem MDM, esse processo leva de 4 a 16 horas de trabalho do TI, dependendo da complexidade do ambiente.
Estimativa: R$ 800 a R$ 4.800 (custo hora TI x tempo)
|
|
03
|
Jurídico: avaliação de exposição e adequação à LGPD
Mesmo sem multa formal da ANPD, a empresa precisa de um parecer jurídico para determinar se o incidente configura violação com obrigação de comunicação. Advogado especializado em LGPD: R$ 300 a R$ 700 por hora. A avaliação mínima leva 4 a 8 horas.
Estimativa: R$ 1.200 a R$ 5.600
|
|
04
|
Forense digital: mapeamento dos dados expostos
Se o incidente for grave o suficiente para exigir comunicação à ANPD, a empresa precisa saber exatamente quais dados estavam no dispositivo, quem foram os titulares afetados e se houve acesso não autorizado. Análise forense digital de nível corporativo: R$ 8.000 a R$ 25.000.
Estimativa: R$ 8.000 a R$ 25.000 (quando necessário)
|
|
05
|
Multa administrativa da ANPD e processo regulatório
Se o incidente configurar violação da LGPD com obrigação de comunicação que não foi cumprida, ou se as medidas de segurança forem consideradas inadequadas, a ANPD pode aplicar sanções administrativas. A primeira multa foi de R$ 14.400. Casos mais graves chegam a 2% do faturamento.
Estimativa: R$ 0 (sem obrigação) a R$ 50.000.000 (2% do faturamento)
|
|
06
|
Produtividade perdida: o colaborador sem dispositivo
Enquanto o novo aparelho não fica pronto, o colaborador trabalha de forma limitada. Para vendedores externos e equipes de campo, cada dia sem o dispositivo representa oportunidades não atendidas, visitas não realizadas e pedidos não registrados.
Estimativa: R$ 500 a R$ 3.000 por dia de operação comprometida
|
Custo total estimado por incidente (cenário médio)
R$ 12.500 a R$ 40.900
Cenário grave (dispositivo com dados sensíveis, forense necessária, processo ANPD): R$ 50.000 a centenas de milhares. O título do artigo não é exagero. É o cenário médio-alto para empresas de médio porte.
Calculando o custo para a sua empresa
O custo de um incidente varia conforme o tipo de dado no dispositivo, o porte da empresa e o nível de controle existente. Use este framework para estimar o risco específico da sua operação.
Faixa de custo por tipo de dado no dispositivo
| Tipo de dado no dispositivo |
Sensibilidade |
Obrig. LGPD |
Faixa de custo do incidente |
| E-mails internos sem dados de clientes |
Baixa |
Avaliação jurídica recomendada |
R$ 3.000 a R$ 8.000 |
| Dados de clientes (nome, e-mail, telefone) |
Média |
Avaliação + possível comunicação ANPD |
R$ 12.000 a R$ 35.000 |
| Dados financeiros de clientes (CPF, conta, cartão) |
Alta |
Comunicação ANPD obrigatória |
R$ 30.000 a R$ 120.000 |
| Dados de saúde de pacientes (sensíveis pela LGPD) |
Crítica |
Comunicação obrigatória + processo |
R$ 50.000 a R$ 500.000+ |
| Credenciais de acesso a sistemas corporativos |
Crítica |
Depende do uso das credenciais |
Incalculável se usadas para ataque |
A variável que ninguém calcula
O custo médio de um incidente de dados no Brasil em 2025 chegou a R$ 7,19 milhões segundo o relatório IBM Cost of Data Breach. Esse número inclui investigação forense, paralisações operacionais, acionamento jurídico, reconstrução de ambientes digitais, gestão de crise e perdas comerciais que podem se estender por meses. Para empresas de médio porte, mesmo uma fração desse custo pode ser devastadora.
O que a LGPD exige quando o dispositivo some
Perder um smartphone corporativo não é necessariamente uma infração da LGPD. Perder um smartphone corporativo sem capacidade de demonstrar que tomou medidas técnicas adequadas, e sem conseguir comunicar o incidente no prazo quando necessário, é.
O que a LGPD exige após o incidente: linha do tempo das obrigações
|
Imediato
H+0
|
Contenção do incidente. A empresa deve tomar todas as medidas disponíveis para limitar o acesso não autorizado. Com MDM: wipe remoto em minutos. Sem MDM: revogação manual de acesso por acesso. |
|
Urgente
72 horas
|
Comunicação à ANPD quando o incidente puder acarretar risco ou dano relevante aos titulares. A comunicação deve incluir: quais dados foram expostos, quantos titulares foram afetados, medidas tomadas e medidas planejadas. Sem inventário MDM, a empresa não sabe o que responder. |
|
Subsequente
Prazo razoável
|
Comunicação aos titulares afetados. Se o incidente representar risco relevante, a empresa deve comunicar os clientes ou colaboradores cujos dados foram expostos, com a descrição do que aconteceu e o que está sendo feito. |
|
Processo
Meses depois
|
Demonstração de medidas adequadas. A ANPD pode abrir processo administrativo para verificar se a empresa adotava medidas técnicas e organizacionais adequadas antes do incidente. É nesse momento que a ausência de MDM vira evidência de negligência. |
O ponto que a maioria das empresas ignora
A LGPD não exige que o incidente cause dano provado para gerar sanção. Ela exige que a empresa demonstre que adotou medidas técnicas e administrativas adequadas. Uma empresa sem MDM não consegue demonstrar isso. A ausência da ferramenta é, por si só, evidência de medidas inadequadas de segurança conforme o artigo 46 da lei.
Quanto custa por segmento: o risco não é igual para todos
O tipo de dado que circula no dispositivo determina diretamente a magnitude do custo de um incidente. E o tipo de dado está diretamente ligado ao segmento de mercado da empresa.
Cenário real: tablet da recepcionista perdido com acesso a prontuários de 800 pacientes. Inclui nome, CPF, histórico de consultas e medicamentos. Dados de saúde são dados sensíveis pelo artigo 5º da LGPD, o que exige proteção reforçada e comunicação obrigatória à ANPD.
Faixa de custo estimado
R$ 50.000 a R$ 500.000+
Inclui forense digital, comunicação à ANPD e aos pacientes afetados, assessoria jurídica especializada, possível autuação e dano reputacional severo em uma especialidade onde a confiança do paciente é o ativo principal.
Cenário real: smartphone de analista financeiro perdido com acesso ao sistema bancário, dados de contratos de clientes com valores negociados e CPFs. Além da LGPD, a empresa pode ter obrigações contratuais com os clientes cujos dados foram expostos.
Faixa de custo estimado
R$ 25.000 a R$ 150.000
Inclui multas contratuais com clientes cujos dados foram expostos, investigação forense, assessoria jurídica, possível comunicação à ANPD e ações de relações públicas para preservar a confiança de clientes institucionais.
Cenário real: coletor de dados de motorista perdido com dados de destinatários de entregas (nome, endereço, CPF em alguns casos), rotas e credenciais do sistema de rastreio. Alta rotatividade de colaboradores cria risco contínuo de dispositivos não devolvidos após desligamento.
Faixa de custo estimado
R$ 8.000 a R$ 45.000
Risco de perda de dispositivo é altíssimo por causa da exposição em campo. O custo unitário é menor que saúde/financeiro, mas o volume de incidentes potenciais por ano é muito maior. Em frotas de 80 a 200 dispositivos, até 5% podem ser perdidos ou roubados por ano.
Cenário real: notebook de engenheiro de campo perdido com projetos confidenciais, dados de fornecedores, credenciais de acesso ao SCADA de controle de planta industrial. O risco não é só de LGPD: é de espionagem industrial e comprometimento de sistemas de controle.
Faixa de custo estimado
R$ 15.000 a R$ 80.000
Inclui investigação de quais sistemas foram acessados com as credenciais expostas, reset de segurança de todos os ambientes acessíveis pelo dispositivo, assessoria jurídica para avaliar se houve violação contratual com clientes de projeto.
O custo que não aparece na planilha: reputação
Toda análise de custo de incidente de dados tem um componente que resistem a quantificação objetiva mas que frequentemente supera todos os demais: o dano à reputação. Em setores onde a confiança é o principal ativo, como saúde, advocacia, financeiro e educação, um único incidente mal gerenciado pode custar clientes que levaram anos para conquistar.
📣
Publicização da infração
A ANPD pode determinar a publicidade da infração como sanção. O nome da empresa aparece em comunicado público do regulador vinculado ao incidente. Clientes pesquisam antes de contratar.
|
Incidentes graves com dados sensíveis de clientes têm potencial de cobertura jornalística. Uma busca do nome da empresa + “vazamento de dados” nos próximos anos terá esse resultado no topo.
|
Clientes corporativos e institucionais exigem demonstração de conformidade com LGPD. Um incidente documentado pode ser causa de rescisão contratual por cláusula de proteção de dados.
|
Quanto custa prevenir versus remediar
A conta é simples, mas poucas empresas a fazem antes do primeiro incidente.
O cálculo que todo CFO deveria fazer antes de cortar o orçamento de TI
| Item |
Sem MDM (remediação) |
Com MDM (prevenção) |
| Custo por dispositivo/mês |
R$ 0 (custo oculto) |
R$ 10 a R$ 30 por dispositivo |
| Custo anual para frota de 50 dispositivos |
R$ 0 por ano + risco aberto |
R$ 6.000 a R$ 18.000 por ano |
| Custo de 1 incidente com dispositivo perdido |
R$ 12.000 a R$ 500.000+ |
Horas de trabalho do TI |
| Capacidade de demonstrar medidas adequadas à ANPD |
Inexistente |
Completa (logs, auditorias, wipe confirmado) |
| Payback do investimento em MDM |
N/A |
Em 1 incidente evitado |
Conclusão: para uma frota de 50 dispositivos, o MDM custa no máximo R$ 18.000 por ano. Um único incidente sem MDM custa em média R$ 25.000 a R$ 50.000 no cenário médio-alto. O payback é imediato no primeiro incidente evitado.
Próximo Passo
Se um dispositivo for perdido agora, em quantos minutos sua empresa consegue apagar os dados?
A Mobit faz o diagnóstico do parque de dispositivos corporativos da sua empresa e apresenta um plano de implementação de MDM. Diagnóstico gratuito, sem compromisso.
Solicitar diagnóstico de MDM →
Diagnóstico sem compromisso. 280+ clientes na América Latina.
Perguntas frequentes
Perder um smartphone corporativo é uma infração da LGPD? ▼
Não necessariamente. Perder um dispositivo não é, por si só, uma infração da LGPD. A infração ocorre quando a empresa não adotou medidas técnicas e administrativas adequadas para proteger os dados que estavam no dispositivo (artigo 46 da LGPD), ou quando não cumpriu as obrigações de comunicação à ANPD nos casos em que o incidente gerar risco relevante aos titulares. Uma empresa com MDM ativo, que acionou o wipe remoto imediatamente e tem log de confirmação, demonstra que adotou medidas adequadas. Uma empresa sem MDM nenhum não consegue fazer essa demonstração.
Qual o prazo para comunicar à ANPD quando um dispositivo com dados de clientes é perdido? ▼
A LGPD não define um prazo exato em dias, mas orienta comunicação em “prazo razoável”. A ANPD estabeleceu na prática que incidentes graves que possam acarretar risco ou dano relevante aos titulares devem ser comunicados em até 72 horas após a ciência do incidente pela empresa. O prazo começa a contar a partir do momento em que a empresa toma ciência, não quando o incidente ocorreu. Sem MDM, a empresa frequentemente não sabe que houve incidente ou não consegue dimensionar seu impacto, o que dificulta ou atrasa a comunicação.
Qual o valor das multas da ANPD por incidente com dispositivo perdido? ▼
A multa administrativa da ANPD pode chegar a 2% do faturamento bruto da empresa no Brasil no exercício anterior, limitada a R$ 50 milhões por infração. A primeira multa aplicada pela ANPD foi de R$ 14.400 (para uma microempresa). Mas a multa é apenas um dos componentes do custo total: investigação forense, assessoria jurídica, comunicação aos titulares e dano reputacional frequentemente superam o valor da multa administrativa em casos de médio porte. O custo médio de um incidente de dados no Brasil chegou a R$ 7,19 milhões em 2025, segundo o IBM Cost of Data Breach.
Como o MDM reduz o custo de um incidente com dispositivo perdido? ▼
O MDM reduz o custo de quatro formas: (1) Contenção imediata com wipe remoto acionado em minutos, eliminando ou reduzindo drasticamente a janela de exposição dos dados. (2) Visibilidade do incidente com logs que mostram exatamente quais dados estavam no dispositivo, quem os acessou e quando, o que é essencial para comunicação à ANPD e para a investigação forense. (3) Evidência de medidas adequadas que a empresa pode apresentar à ANPD para demonstrar conformidade com o artigo 46 da LGPD. (4) Redução ou eliminação da necessidade de análise forense externa, que pode custar de R$ 8.000 a R$ 25.000 por incidente.
+55 11 3500-4088
Deixe um comentário