Por que a LGPD se aplica a dispositivos móveis
A Lei Geral de Proteção de Dados (Lei 13.709/2018) não menciona smartphones ou tablets em nenhum artigo. Mas seu artigo 1º é claro ao definir que suas normas se aplicam a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio utilizado.
Independentemente do meio utilizado. Isso inclui o celular do motorista de logística, o tablet da recepcionista da clínica, o notebook do analista financeiro em home office e o smartphone do vendedor externo. Se o dispositivo processa, armazena ou transmite dados pessoais de qualquer pessoa, a lei se aplica integralmente.
Quem é responsável pelos dados em cada tipo de dispositivo
| Tipo de dispositivo |
Responsável pelos dados corporativos |
O que a LGPD exige da empresa |
| Corporativo (COBO/COPE) |
A empresa, integralmente |
Controle total: criptografia, política de acesso, inventário, wipe remoto em caso de perda ou desligamento |
| Pessoal do colaborador (BYOD) |
A empresa, pelos dados corporativos que transitam no dispositivo |
Separação técnica de dados, política de privacidade clara para o colaborador, capacidade de apagar os dados corporativos sem afetar dados pessoais |
| Terceiro ou prestador de serviço |
A empresa contratante, solidariamente |
Cláusula contratual de proteção de dados, auditoria de conformidade do prestador, controle de acesso ao ambiente corporativo |
| Dispositivo compartilhado (turnos) |
A empresa, por cada usuário que acessou |
Log de acesso por usuário, autenticação individual obrigatória, separação de sessão entre colaboradores diferentes |
Ponto crítico: a responsabilidade segue o dado, não o dispositivo. A empresa é controladora dos dados corporativos independentemente de quem é o dono do hardware.
As 5 obrigações concretas que a LGPD impõe
Traduzindo os artigos da lei para obrigações práticas no contexto de dispositivos móveis corporativos. Cada uma tem uma consequência direta de não conformidade e uma forma técnica de ser atendida.
01
Controle e documentação de acesso
Risco de não conformidade: Alto
O que a lei exige: A empresa precisa saber, e demonstrar, quem acessa dados pessoais, em quais dispositivos, em qual horário e com quais permissões. Logs devem ser mantidos para auditoria interna e potencial fiscalização da ANPD.
Consequência sem controle: Em caso de investigação, a empresa não tem evidência do que foi acessado, por quem e quando. A ausência de audit trail é interpretada como ausência de controle, não como ausência de infração.
Como o MDM atende: gera logs automáticos de acesso por dispositivo, usuário, horário e aplicativo. Dashboard de conformidade auditável a qualquer momento.
02
Capacidade de eliminação de dados
Risco de não conformidade: Crítico
O que a lei exige: Mediante solicitação do titular dos dados ou ao desligar um colaborador, a empresa precisa ser capaz de apagar dados corporativos do dispositivo de forma imediata e verificável. O artigo 18 da LGPD garante esse direito ao titular.
Consequência sem controle: Colaborador desligado com acesso ativo a sistemas e dados de clientes por dias ou semanas. Dispositivo perdido com dados sem possibilidade de apagamento remoto. Ambos configuram incidente com notificação obrigatória.
Como o MDM atende: wipe remoto acionado em segundos do painel central, com log de confirmação do apagamento. Funciona mesmo com o dispositivo fora do escritório, desde que conectado à internet.
03
Notificação de incidente em prazo hábil
Risco de não conformidade: Alto
O que a lei exige: Incidentes de segurança que possam acarretar risco ou dano relevante aos titulares devem ser comunicados à ANPD e aos titulares afetados. A Autoridade orienta que incidentes graves sejam comunicados em até 72 horas após a ciência do fato.
Consequência sem controle: Sem monitoramento de dispositivos, a empresa pode não saber que houve incidente até semanas depois. Isso inviabiliza a notificação no prazo, transformando um incidente controlável em uma infração adicional por omissão.
Como o MDM atende: alertas em tempo real de comportamentos anômalos, dispositivos fora de conformidade, tentativas de acesso não autorizadas. O incidente é detectado antes de se tornar uma violação irreversível.
04
Criptografia e segurança técnica adequada
Risco de não conformidade: Crítico
O que a lei exige: O artigo 46 da LGPD determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, capazes de proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas. Criptografia em repouso e em trânsito é o padrão mínimo reconhecido.
Consequência sem controle: Se um dispositivo sem criptografia for perdido ou roubado, a empresa não consegue demonstrar que adotou medidas técnicas adequadas. Isso agrava a avaliação da infração pela ANPD e aumenta o risco de penalidade.
Como o MDM atende: aplica política de criptografia em todos os dispositivos gerenciados, verifica continuamente a conformidade e alerta quando um dispositivo desativa a criptografia.
05
Minimização e finalidade no tratamento
Risco de não conformidade: Médio
O que a lei exige: A empresa deve coletar e tratar apenas os dados necessários para as finalidades declaradas. Em BYOD, isso significa que o MDM não pode monitorar dados pessoais do colaborador, apenas o que é corporativo. O artigo 6º estabelece o princípio da necessidade como um dos pilares da LGPD.
Consequência sem controle: MDM mal configurado que monitora dados pessoais de colaboradores em BYOD pode gerar questionamento trabalhista e reclamação à ANPD. A empresa responde tanto pela violação de dados de clientes quanto pela invasão de privacidade do colaborador.
Como o MDM atende: separa tecnicamente o container corporativo dos dados pessoais. O gestor de TI vê e gerencia apenas o ambiente de trabalho, sem qualquer acesso a fotos, mensagens ou apps pessoais.
Os 4 cenários de risco mais comuns em frotas sem controle
Esses não são exemplos hipotéticos. São situações que acontecem regularmente em empresas de médio porte que não estruturaram a gestão de dispositivos corporativos. Cada cenário tem uma consequência legal clara e um custo financeiro estimado.
Cenário 1: Smartphone corporativo perdido sem wipe remoto
Gravidade: Crítica
|
O que acontece
Vendedor perde o celular corporativo com acesso ao CRM, e-mail e documentos de contratos. Sem MDM, o TI não consegue apagar os dados remotamente. Os dados ficam expostos até a bateria acabar ou o aparelho ser redefinido por quem o encontrou.
|
Consequência legal
Incidente de segurança com obrigação de notificação à ANPD em até 72h. Se houver dados de clientes expostos, comunicação obrigatória aos titulares. Potencial multa e instauração de processo administrativo.
|
Custo estimado
Resposta técnica, comunicação jurídica e possível multa administrativa. Custo médio de um incidente de dados no Brasil em 2025: R$ 7,19 milhões (IBM). Para PMEs, mesmo frações disso podem ser devastadoras.
|
Cenário 2: Colaborador desligado com acesso ativo por semanas
Gravidade: Alta
|
O que acontece
Colaborador é desligado. RH notifica TI. TI revoga acesso aos sistemas internos, mas esquece de fazer o wipe do smartphone corporativo. O ex-colaborador continua com e-mail ativo e documentos acessíveis no celular que ficou com ele.
|
Consequência legal
Violação do princípio de controle de acesso da LGPD. Se o ex-colaborador acessar, copiar ou compartilhar dados de clientes, a empresa responde como controladora. O processo trabalhista pode incluir cláusula de dano a dados.
|
Como evitar
Integração do MDM com o processo de offboarding de RH: ao registrar o desligamento, o wipe remoto é acionado automaticamente no dispositivo. Zero dependência de memória do TI no momento de alta pressão de um desligamento.
|
Cenário 3: Dados de clientes acessados via Wi-Fi público sem proteção
Gravidade: Alta
|
O que acontece
Colaborador acessa dados de clientes pelo CRM corporativo via Wi-Fi aberto de um aeroporto, sem VPN ativa e sem criptografia configurada no dispositivo. Um ataque man-in-the-middle intercepta os dados em trânsito.
|
Consequência legal
A empresa é responsável por não ter implementado os controles técnicos para impedir o acesso inseguro. A ausência de VPN obrigatória e de criptografia em trânsito é evidência de medidas inadequadas de segurança conforme o artigo 46 da LGPD.
|
Como evitar
MDM com política de VPN obrigatória para acessos corporativos e criptografia ativa verificada continuamente. Quando a VPN está inativa, o acesso aos sistemas corporativos é bloqueado automaticamente.
|
Cenário 4: App pessoal instalado armazena dados corporativos fora do controle da empresa
Gravidade: Média
|
O que acontece
Colaborador copia uma planilha com dados de clientes para seu Google Drive pessoal “para trabalhar em casa”. O arquivo fica em um servidor fora do controle da empresa, sem as políticas de segurança corporativas aplicadas.
|
Consequência legal
Os dados saíram do ambiente controlado da empresa para um servidor de terceiro sem contrato de processamento de dados adequado. A empresa mantém a responsabilidade sobre esses dados mesmo fora de sua infraestrutura.
|
Como evitar
MDM com política de controle de apps: bloqueio de armazenamento em nuvem pessoal para arquivos do container corporativo. Dados corporativos só podem ser transferidos para ambientes aprovados pela empresa.
|
BYOD e LGPD: como compatibilizar uso pessoal com conformidade corporativa
O BYOD apresenta o desafio mais delicado da LGPD em dispositivos móveis: o aparelho é pessoal, mas os dados corporativos que nele transitam são de responsabilidade da empresa. E a empresa precisa proteger esses dados corporativos sem invadir a privacidade do colaborador, que é também um titular de dados protegido pela mesma lei.
Essa tensão é resolvível tecnicamente. A solução é a separação de containers: dois ambientes completamente isolados no mesmo dispositivo, onde o MDM gerencia apenas o container corporativo, sem qualquer visibilidade ou acesso ao que é pessoal.
O que o MDM vê e o que não vê em um dispositivo BYOD
|
Container corporativo — visível e gerenciado pelo MDM
📧 E-mails corporativos
📁 Documentos e arquivos da empresa
📱 Aplicativos corporativos (CRM, ERP, etc.)
🔒 Configurações de segurança corporativas
📊 Logs de acesso aos sistemas de trabalho
O TI pode: configurar, monitorar, bloquear e apagar tudo isso.
|
Espaço pessoal do colaborador — invisível ao MDM
📸 Fotos e galeria pessoal
💬 WhatsApp e mensagens pessoais
🎮 Aplicativos pessoais (jogos, redes sociais)
📧 E-mail pessoal
☁️ Armazenamento pessoal em nuvem
O TI não pode ver, acessar ou monitorar nada disso. Zero.
|
|
Quando o colaborador é desligado: o MDM apaga apenas o container corporativo. Fotos, mensagens e apps pessoais permanecem intactos no dispositivo dele.
|
Para que essa arquitetura seja juridicamente sustentável, a empresa precisa de três elementos antes de implementar BYOD com MDM:
|
Política de uso e privacidade documentada e assinada
O colaborador precisa saber, antes do enrollment, o que o MDM monitora no contexto corporativo e o que ele não acessa. A ciência deve ser documentada formalmente, com aceite registrado.
|
|
Separação técnica real, não apenas declarada
A separação de containers precisa ser configurada corretamente na plataforma MDM. Uma declaração de política sem a configuração técnica correspondente não protege a empresa em caso de fiscalização ou questionamento trabalhista.
|
|
Processo de offboarding documentado com prova de wipe
Ao desligar o colaborador, o wipe do container corporativo deve gerar um log de confirmação que a empresa pode apresentar como evidência de que os dados foram apagados conforme exigido pela LGPD.
|
O que muda por segmento: saúde, financeiro, logística e mais
Embora as obrigações da LGPD sejam universais, o grau de sensibilidade dos dados tratados varia por setor. Isso impacta diretamente o nível de controle exigido nos dispositivos móveis e as consequências de uma violação.
Sensibilidade de dados e nível de risco por segmento corporativo
| Segmento |
Sensibilidade |
Tipo de dado crítico em dispositivos |
Controle prioritário |
| Saúde e clínicas |
Máxima |
Dados de saúde são dados sensíveis pelo artigo 5º da LGPD. Prontuários, resultados de exames e informações de diagnóstico em tablets e celulares exigem proteção reforçada. |
Criptografia total, bloqueio de câmera em áreas restritas, wipe automático no desligamento, controle de apps com acesso a prontuários |
| Financeiro e advocacia |
Muito alta |
Dados financeiros de clientes, contratos, estratégias de negócio, informações de CPF/CNPJ. Sujeito a regulações adicionais (BACEN para financeiras, OAB para advocacia). |
VPN obrigatória, autenticação multifator, logs detalhados de acesso, container corporativo em BYOD |
| Logística e transportadoras |
Alta |
Dados de destinatários (nome, endereço, CPF em algumas operações), rotas, dados de rastreio. Alta rotatividade gera risco elevado de dispositivos com dados de ex-colaboradores. |
Offboarding automático integrado ao RH, wipe remoto, rastreamento de localização com política clara, COBO para dispositivos de rota |
| Indústria e engenharia |
Alta |
Dados de fornecedores, colaboradores de múltiplas plantas, projetos de propriedade intelectual. Ambientes com BYOD e alta mobilidade de técnicos. |
Inventário centralizado por planta, política de BYOD com container, controle de transferência de arquivos para ambientes externos |
| Comércio e varejo |
Média-alta |
Dados de clientes em apps de CRM, histórico de compras, dados de cartão (PCI-DSS). Dispositivos de ponto de venda e coletores com dados de transações. |
COSU para dispositivos de PDV, política de senha rigorosa, separação de dados de transação, restrição de apps não autorizados |
Como o MDM transforma obrigações legais em controles técnicos
A LGPD define o que deve ser garantido. O MDM define como isso é garantido na prática, em escala, sem depender de processos manuais que falham quando mais importam. Cada obrigação legal tem um equivalente técnico direto numa plataforma MDM bem configurada.
Da obrigação legal ao controle técnico: o mapa de conformidade
|
Artigo 6º — Finalidade e necessidade
Tratar apenas os dados necessários para a finalidade declarada.
MDM resolve com: separação de container corporativo e pessoal, controle de quais apps acessam dados corporativos
|
Artigo 18 — Direito à eliminação
O titular pode solicitar a exclusão dos seus dados a qualquer momento.
MDM resolve com: wipe remoto com log de confirmação, execução em segundos sem o dispositivo fisicamente presente
|
|
Artigo 46 — Segurança técnica adequada
Adotar medidas de segurança técnica para proteger dados de acesso não autorizado.
MDM resolve com: criptografia obrigatória verificada continuamente, VPN, bloqueio automático por inatividade, controle de apps
|
Artigo 48 — Comunicação de incidentes
Comunicar à ANPD e aos titulares incidentes de segurança em prazo razoável.
MDM resolve com: alertas em tempo real de comportamento anômalo, detecção antes da violação se tornar irreversível
|
|
Artigo 37 — Registro de operações de tratamento
Manter registro das operações de tratamento de dados pessoais.
MDM resolve com: logs automáticos de acesso por dispositivo, usuário, horário e aplicativo, exportáveis para auditoria a qualquer momento
|
O MDM não substitui o programa de privacidade da empresa. Ele entrega a camada técnica que torna esse programa executável em escala.
✅
O MDM da Mobit é integrado à gestão de telecom: Para clientes que já usam a Mobit para gestão de telecom, o MDM aproveita o inventário de linhas e dispositivos já mapeado. A conformidade com a LGPD começa mais rápido porque o ambiente já está parcialmente mapeado e o custo total de propriedade de cada dispositivo fica visível em uma única plataforma.
Checklist de conformidade LGPD para dispositivos corporativos
Use este checklist para avaliar o nível atual de conformidade da sua empresa. Cada item sem resposta afirmativa representa um ponto de exposição que precisa de ação antes do próximo incidente.
Grupo 1: Inventário e Visibilidade
| Você sabe exatamente quantos dispositivos móveis corporativos existem na empresa? |
☐ |
| Cada dispositivo está associado a um colaborador ou função específica? |
☐ |
| Você sabe quais apps estão instalados em cada dispositivo? |
☐ |
| Há um processo de auditoria periódica do inventário de dispositivos? |
☐ |
Grupo 2: Controle e Proteção de Dados
| Todos os dispositivos têm criptografia ativa e verificada? |
☐ |
| Se um dispositivo for perdido agora, você consegue apagar os dados remotamente em menos de 10 minutos? |
☐ |
| Há controle de quais apps podem ser instalados em dispositivos corporativos? |
☐ |
| Colaboradores em home office usam VPN obrigatória para acessar dados corporativos? |
☐ |
| Em BYOD: dados corporativos e pessoais estão tecnicamente separados (não apenas por política)? |
☐ |
Grupo 3: Offboarding e Desligamento
| Existe um processo formal de offboarding de dispositivos integrado ao desligamento do RH? |
☐ |
| O wipe remoto gera um log de confirmação que pode ser apresentado como evidência? |
☐ |
| Há garantia de que ex-colaboradores não têm mais acesso a sistemas e dados após o desligamento? |
☐ |
Grupo 4: Incidentes e Auditoria
| Há monitoramento ativo de comportamentos anômalos nos dispositivos corporativos? |
☐ |
| Existe um processo definido de resposta a incidentes com dispositivos (perda, roubo, acesso suspeito)? |
☐ |
| Logs de acesso a dados por dispositivo são mantidos por pelo menos 6 meses? |
☐ |
| A empresa consegue responder à ANPD em até 72h com evidência de quais dados foram expostos em um incidente? |
☐ |
Interpretação: 0 a 5 itens marcados: exposição crítica, ação imediata necessária. 6 a 10 itens: exposição significativa, priorizar os grupos de controle e proteção. 11 a 14 itens: conformidade básica, evoluir para monitoramento e automação de offboarding. 15+ itens: conformidade avançada, manter ciclos de revisão de política.
Próximo Passo
Se um colaborador perder o celular corporativo agora, você consegue apagar os dados em menos de 10 minutos?
A Mobit faz o diagnóstico do nível de conformidade LGPD do parque de dispositivos da sua empresa e apresenta um plano de implementação de MDM integrado à gestão de telecom. Sem compromisso.
Solicitar diagnóstico de conformidade →
Diagnóstico sem compromisso. 280+ clientes na América Latina.
Perguntas frequentes
A LGPD se aplica a dispositivos móveis corporativos? ▼
Sim. A LGPD não menciona dispositivos móveis explicitamente, mas seu artigo 1º determina que as obrigações se aplicam a qualquer operação de tratamento de dados pessoais, independentemente do meio utilizado. Isso inclui qualquer smartphone, tablet ou notebook que processe, armazene ou transmita dados pessoais no contexto do trabalho, seja ele corporativo ou pessoal do colaborador.
O que acontece se um colaborador perder o celular corporativo sem wipe remoto disponível? ▼
Sem wipe remoto, os dados corporativos permanecem acessíveis no dispositivo até que a bateria acabe ou o aparelho seja redefinido de fábrica por quem o encontrou. Se o dispositivo continha dados pessoais de clientes, colaboradores ou parceiros, a empresa tem obrigação de avaliar se configura um incidente de segurança com notificação à ANPD. A ausência de capacidade de wipe remoto é evidência de medidas técnicas inadequadas de segurança, o que agrava a avaliação da infração.
A empresa pode monitorar o celular pessoal do colaborador em BYOD pela LGPD? ▼
Não. O artigo 6º da LGPD estabelece o princípio da necessidade: a empresa deve coletar e acessar apenas os dados necessários para as finalidades de trabalho. Em BYOD, isso significa que o MDM pode gerenciar apenas o container corporativo, sem qualquer acesso a fotos, mensagens pessoais, apps pessoais ou dados privados do colaborador. A separação técnica precisa ser real, configurada na plataforma, não apenas declarada em política interna.
Qual é o prazo para comunicar um incidente de dispositivo à ANPD? ▼
A LGPD determina comunicação em “prazo razoável”. A ANPD orienta que incidentes graves que possam acarretar risco ou dano relevante aos titulares sejam comunicados em até 72 horas após a ciência do incidente pela empresa. Isso reforça a necessidade de monitoramento de dispositivos: sem visibilidade, a empresa pode não saber que houve incidente até semanas depois, inviabilizando o cumprimento do prazo e gerando uma segunda infração por omissão na comunicação.
O MDM é suficiente para garantir conformidade com a LGPD? ▼
O MDM entrega a camada técnica necessária para conformidade com a LGPD em dispositivos móveis, mas não substitui o programa completo de privacidade da empresa. Conformidade completa também exige: mapeamento de dados pessoais tratados, política de privacidade interna, treinamento de colaboradores, indicação de DPO (encarregado de dados) e processos de resposta a incidentes. O MDM resolve o que a lei chama de “medidas técnicas e administrativas” no contexto de endpoints móveis. O restante do programa precisa ser construído em paralelo.
+55 11 3500-4088
Deixe um comentário