Você deverá ler atentamente o Caso de Auditoria, Escritório Zanetti & Assoc. e, com base
nas situações descritas, elaborar um Relatório de Auditoria de LGPD contendo todas as
análises necessárias para verificar o nível de conformidade da organização.
Sua avaliação deve seguir as etapas abaixo:
. Identificação das Não Conformidades (NC): a partir da leitura do caso, identifique
todas as situações que representam descumprimento da LGPD. Para cada não
conformidade encontrada, você deverá:
descrevê-la claramente,
explicar por que ela constitui uma violação, e
classificá-la (em: NC Crítica, NC Maior, NC Menor ou Oportunidade de
Melhoria);
Fundamentação de acordo com a LGPD (Princípio da necessidade, Minimização,
Segurança, Finalidade, Consentimento e Retenção e descarte);
Probabilidade de risco (Baixa, média ou alta);
Recomendações da Auditoria (propor soluções práticas, viáveis e alinhadas às
exigências da LGPD);
Parecer Final do Auditor (conforme, parcialmente conforme e não conforme)
Texto para analise e resposta:
O escritório contábil Zanetti & Assoc., especializado em serviços fiscais,
contábeis, folha de pagamento, BPO financeiro e declarações de imposto de renda,
decidiu iniciar uma auditoria interna de conformidade com a LGPD. A decisão ocorreu
após alguns clientes manifestarem preocupação com a segurança de seus dados e,
sobretudo, após a divulgação na mídia de que a ANPD intensificou a fiscalização de
empresas de serviços profissionais. Embora o escritório seja reconhecido pela qualidade
técnica na área contábil, a diretoria concluiu que pouco havia sido feito quanto ao
tratamento adequado de dados pessoais.
O auditor responsável convidou você para atuar como auditor júnior e
acompanhar o processo. Logo ao chegar ao escritório, percebe-se que a cultura de
privacidade ainda é frágil. A coleta de documentos é despadronizada: muitos clientes
enviam RG, CPF, comprovantes de endereço, folhas de ponto e atestados médicos
diretamente para o WhatsApp pessoal dos colaboradores. Não existe orientação formal
sobre quais documentos são realmente necessários para cada tipo de serviço, e
documentos excessivos ou irrelevantes são enviados com frequência.
No setor de armazenamento, os documentos são guardados em uma pasta
chamada “Geralzão”, localizada em um Google Drive acessível a todos os funcionários.
Não há separação por cliente, tipo de dado ou nível de acesso. Estagiários e colaboradores
administrativos conseguem visualizar informações sem restrições, e a pasta única facilita
o acesso geral aos documentos.
Na área de Recursos Humanos, currículos de candidatos que participaram de
seleções nos últimos cinco anos permanecem armazenados sem qualquer critério de
retenção. Junto a eles, há planilhas internas de avaliação de desempenho contendo
comentários sensíveis sobre colaboradores, incluindo referências a saúde mental,
problemas médicos e questões familiares.
O setor de BPO financeiro solicita aos clientes que enviem extratos bancários
completos de fornecedores, sócios e terceiros, utilizados para controle de pagamentos,
emissões de boletos e conciliações. Esses extratos chegam por e-mail ou WhatsApp e são
armazenados em planilhas compartilhadas contendo CPF, endereço, limites bancários e

até dados de cartões. Em alguns casos, os colaboradores imprimem esses documentos
para conferência manual e deixam as folhas sobre mesas compartilhadas ou em gavetas
destrancadas.
Na área responsável pelas declarações de imposto de renda, são coletados
informes de rendimentos, relatórios médicos, recibos de consultas, exames laboratoriais,
dados de dependentes, documentos de doações e detalhes patrimoniais. Esses materiais
incluem dados sensíveis relacionados à saúde e à vida privada, mas o escritório nunca
solicitou termo de consentimento específico dos clientes. Muitos dos arquivos
permanecem armazenados por tempo indeterminado, anexados a e-mails antigos ou em
pastas sem política definida de retenção.
Por fim, as senhas de e-mail utilizadas pelos colaboradores são extremamente
fracas, como “123456”, adotadas para facilitar o acesso e agilizar o trabalho. Documentos
antigos, alguns com mais de dez anos, continuam armazenados sem critério, e o papel
impresso que não é mais necessário é descartado na lixeira comum. Em determinados
dias, sacos de lixo contendo papéis com dados pessoais ficam na recepção aguardando
retirada por terceiros não identificados ou sendo utilizados como rascunho.
Diante desse cenário, a missão do auditor é avaliar o grau de conformidade do
escritório com a LGPD, identificar todas as falhas e riscos envolvidos e propor
recomendações práticas e aplicáveis. Seu papel será analisar cada situação descrita,
registrar as não conformidades, classificá-las quanto à gravidade, avaliar probabilidade e
impacto e, ao final, elaborar um parecer técnico conclusivo sobre o nível de conformidade
do escritório Zanetti & Assoc. com a legislação vigente (LGPD). A expectativa da
diretoria é que a auditoria forneça uma visão realista dos riscos e um plano de ação que
permita ao escritório se adequar antes que ocorra qualquer incidente ou fiscalização.