LGPD e dispositivos corporativos: o que sua empresa precisa garantir — e como fazer em escala

A LGPD em dispositivos corporativos exige que sua empresa saiba exatamente quais dados pessoais são tratados, em quais dispositivos, por quem e sob quais controles.

Sem isso, não existe compliance — apenas suposição.

O que é LGPD em dispositivos corporativos?

É a aplicação das exigências da Lei Geral de Proteção de Dados em smartphones, notebooks e outros endpoints, garantindo segurança, controle de acesso, rastreabilidade e resposta a incidentes por meio de MDM ou UEM.

Dispositivos sem gestão centralizada criam pontos cegos de conformidade — e o controlador dos dados (sua empresa) é responsabilizado mesmo que o tratamento irregular tenha ocorrido em um celular de um colaborador externo.

Este guia explica o que a lei exige na prática, quais riscos existem em frotas sem controle e como uma plataforma UEM automatiza conformidade sem depender de processo manual.

Em 2025, a conformidade com LGPD deixou de ser diferencial competitivo e virou requisito operacional. A ANPD (Autoridade Nacional de Proteção de Dados) consolidou sua atuação fiscalizatória, os primeiros casos de sanção por falha em endpoints chegaram ao radar das empresas e o mercado de seguros passou a exigir evidências de controle de dados como condição de cobertura.

O problema central não é falta de intenção. É falta de visibilidade. Empresas com frotas de dezenas ou centenas de dispositivos — smartphones, tablets, coletores, notebooks — frequentemente não conseguem responder perguntas básicas: quais apps estão instalados? Que dados esses apps acessam? Quem teve acesso ao dispositivo nos últimos 90 dias?

Sem essas respostas, conformidade com LGPD é declaração, não realidade.

1. O que a LGPD exige sobre dispositivos corporativos

A LGPD não cita dispositivos móveis explicitamente — mas suas obrigações se aplicam integralmente a qualquer meio pelo qual dados pessoais são tratados. Dispositivo corporativo é meio de tratamento de dados. Ponto.

Os principais artigos que impactam a gestão de endpoints

Artigo	O que exige na prática
Art. 6º — Princípio da segurança	Utilizar medidas técnicas e administrativas para proteger dados contra acessos não autorizados e situações acidentais ou ilícitas.
Art. 46 — Medidas de segurança	Controladores e operadores devem adotar medidas de segurança capazes de proteger os dados pessoais de acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado.
Art. 48 — Comunicação de incidentes	Em caso de incidente de segurança que possa acarretar risco ou dano relevante, o controlador deve comunicar à ANPD e aos titulares afetados em prazo razoável.
Art. 37 — Registro de operações	Controladores e operadores devem manter registro das operações de tratamento que realizam.
Art. 6º, VIII — Prestação de contas	Demonstrar que as medidas adotadas são eficazes, inclusive por meio de auditorias.

Em termos práticos, a lei exige que sua empresa consiga demonstrar — não apenas declarar — que dados pessoais em dispositivos corporativos estão protegidos, que o acesso é controlado, que há registro de quem acessou o quê e que existe um processo para responder a incidentes.

A LGPD se aplica a dispositivos de colaboradores em modelo BYOD?

Sim. Se o dispositivo pessoal do colaborador é usado para tratar dados pessoais de clientes, parceiros ou outros colaboradores da empresa, a obrigação de proteção existe independentemente de quem é o proprietário do hardware. A empresa continua sendo controladora dos dados tratados naquele dispositivo.

2. Riscos práticos de não ter controle sobre endpoints

O risco jurídico é real, mas os riscos operacionais chegam antes. Empresas sem gestão centralizada de dispositivos vivem com pontos cegos que só se tornam visíveis quando o problema já aconteceu.

Os riscos mais comuns em frotas sem gestão

• Colaborador desligado mantém acesso a dados corporativos no dispositivo pessoal após o término do contrato;
• App instalado pelo usuário acessa dados de clientes sem que o gestor saiba — e sem que haja registro dessa atividade;
• Dispositivo perdido ou roubado contém dados pessoais de clientes sem criptografia ativa;
• Backup automático pessoal (Google Drive, iCloud) sincroniza arquivos corporativos com contas privadas do colaborador;
• Sem audit trail: em caso de investigação interna ou fiscalização da ANPD, não há evidência do que foi acessado;
• Fornecedor ou parceiro com acesso ao sistema via dispositivo sem política de segurança aplicada;

O que a ANPD pode exigir em uma fiscalização:

• Relação de dispositivos que acessam sistemas com dados pessoais;
• Políticas de segurança aplicadas a esses dispositivos;
• Registro de acesso e audit trail;
• Plano de resposta a incidentes;
• Evidência de que colaboradores desligados perderam acesso aos dados;

Sem gestão centralizada de endpoints, nenhuma dessas perguntas tem resposta objetiva.

Quer identificar esses riscos na sua empresa? Veja como mapear sua frota com gestão centralizada.

3. O que precisa estar em vigor: políticas, segregação e audit trail

Conformidade com LGPD em frotas corporativas não é um projeto pontual. É um conjunto de controles que precisam funcionar de forma contínua e auditável.

Políticas de uso e acesso

Toda frota corporativa precisa de políticas formalmente aplicadas — não apenas documentadas. Isso significa que as regras definidas pelo gestor de TI precisam ser tecnicamente forçadas no dispositivo, não apenas comunicadas ao colaborador.

• Política de senha e bloqueio automático por inatividade;
• Controle de quais apps podem ser instalados — e quais são bloqueados;
• Restrição de acesso a recursos do dispositivo por app (câmera, microfone, localização, armazenamento externo);
• Política de uso de redes Wi-Fi — bloqueio de redes abertas para apps corporativos;
• Gerenciamento de certificados e acesso a VPN corporativa;

Segregação de dados pessoais e corporativos

Em modelos BYOD ou COPE — onde o colaborador usa o mesmo dispositivo para fins pessoais e profissionais — a separação técnica entre os dois contextos é obrigação, não recomendação. Sem ela, qualquer vazamento de dados pessoais do colaborador pode atingir dados corporativos, e vice-versa.

O Perfil de Trabalho no Android Enterprise resolve esse problema nativamente. Apps e dados corporativos ficam num contêiner isolado e criptografado, separado do perfil pessoal. O gestor controla o perfil corporativo. O colaborador mantém privacidade total no perfil pessoal e nenhum dos dois acessa os dados do outro.

Audit trail e rastreabilidade

Para fins de LGPD, audit trail significa ter registro auditável de quem acessou quais dados, em qual dispositivo, em qual momento. Não é sobre desconfiar do colaborador — é sobre conseguir responder a uma investigação com evidência, não com suposição.

• Registro de acesso ao dispositivo com horário e usuário;
• Log de aplicações instaladas e removidas;
• Registro de ações administrativas remotas realizadas pelo gestor de TI;
• Histórico de políticas aplicadas por dispositivo;
• Evidência de wipe remoto em caso de dispositivo perdido ou colaborador desligado;

4. Como uma plataforma UEM automatiza conformidade com a LGPD em dispositivos corporativos

A automação de conformidade é o ponto central do argumento. Sem uma plataforma de gestão, cada um dos controles listados acima exige processo manual, planilha, execução individual por dispositivo e dependência de que o colaborador siga as instruções. Em frotas com dezenas de dispositivos, isso não funciona.

Com uma plataforma UEM como a Urmobo, conformidade é consequência da operação — não um projeto paralelo.

Entenda como a Urmobo garante conformidade com a LGPD e ISO 27001 enquanto fortalece a Segurança Empresarial.

O que é automatizado nativamente

Controle	Como é automatizado pela Urmobo
Aplicação de políticas	Uma política criada no painel é aplicada automaticamente a toda a frota — ou a grupos específicos. Sem dependência de execução manual por dispositivo.
Criptografia obrigatória	Criptografia de armazenamento ativada por política em todos os dispositivos gerenciados.
Wipe remoto	Em caso de dispositivo perdido ou colaborador desligado, o gestor executa o apagamento remoto com um clique — com registro da ação.
Controle de apps	Whitelist e blacklist de aplicativos aplicados automaticamente. Apps não autorizados são bloqueados ou removidos.
Segregação BYOD	Perfil de trabalho cria separação técnica entre dados pessoais e corporativos — sem necessidade de dois dispositivos.
Audit trail centralizado	Todo acesso, toda ação administrativa e toda alteração de política ficam registrados no painel com timestamp e usuário responsável.
Conformidade contínua	Dispositivos fora de política são identificados automaticamente e podem ser isolados da rede corporativa até a regularização.

Conformidade automática com LGPD está incluída na licença da Urmobo. Não é módulo adicional, não exige configuração separada. A gestão centralizada de endpoints já entrega os controles que a lei exige como consequência natural da operação.

Veja como isso funciona na prática com uma plataforma UEM. Baixe nosso guia completo sobre LGPD e Gestão de Dispositivos Móveis Corporativos.

5. LGPD e trabalho remoto: o cenário que amplia o risco

O modelo híbrido e remoto criou um problema específico para conformidade com LGPD: dispositivos que antes ficavam dentro do perímetro da rede corporativa passaram a operar em redes domésticas, redes públicas e ambientes sem qualquer controle de segurança.

O risco não é abstrato. Um colaborador que acessa dados de clientes via Wi-Fi aberto numa cafeteria, sem VPN e sem criptografia ativa, cria exposição real — e a empresa é responsável por não ter implementado os controles técnicos para impedir isso.

O que muda no cenário remoto

• Dispositivo não está mais protegido pelo firewall e pelas políticas de rede da empresa;
• Colaborador pode instalar apps que conflitam com políticas de segurança sem que o gestor perceba;
• Acesso a dados corporativos via redes sem criptografia;
• Dispositivo compartilhado com outros membros da família — especialmente em home office;
• Backup automático para contas pessoais de nuvem se torna mais frequente;

Como uma plataforma UEM resolve no cenário remoto

• Políticas de segurança são aplicadas independentemente da localização do dispositivo — não dependem de estar na rede da empresa;
• VPN corporativa pode ser forçada por política para apps específicos ou para toda a navegação;
• Bloqueio de redes Wi-Fi abertas para apps corporativos;
• Monitoramento de conformidade continua ativo mesmo com o dispositivo fora do escritório;
• Wipe remoto funciona independentemente de onde o dispositivo estiver — basta estar conectado;

Perguntas frequentes — LGPD e dispositivos corporativos

O que a LGPD exige sobre dispositivos corporativos?

Exige segurança, controle de acesso, proteção de dados e rastreabilidade em qualquer dispositivo que lide com dados pessoais.

A empresa é responsável por dados pessoais em celulares de colaboradores?

Sim. Se o dispositivo — próprio da empresa ou do colaborador — é usado para tratar dados pessoais no contexto do trabalho, a empresa é controladora desses dados. A responsabilidade sobre a proteção adequada é da empresa, não do colaborador.

O que acontece se um dispositivo corporativo for perdido sem controles de segurança?

Se o dispositivo não tinha criptografia ativa e não era possível fazer wipe remoto, a empresa pode ter dificuldade em demonstrar que adotou medidas adequadas de proteção. Dependendo dos dados contidos no dispositivo, pode configurar incidente de segurança com obrigação de comunicação à ANPD.

BYOD é permitido pela LGPD?

Sim, desde que a empresa implemente controles técnicos para proteger os dados tratados no dispositivo pessoal. Isso inclui separação técnica entre dados pessoais do colaborador e dados corporativos, política de segurança aplicada ao contexto corporativo e capacidade de revogar acesso e apagar dados corporativos em caso de desligamento.

Qual é o prazo para comunicar um incidente de segurança envolvendo dispositivos à ANPD?

A LGPD exige comunicação em “prazo razoável” — a ANPD orienta que incidentes graves sejam comunicados em até 72 horas após a ciência do incidente. Isso reforça a necessidade de monitoramento contínuo: sem visibilidade sobre os dispositivos, a empresa pode não saber que houve incidente.

Uma plataforma UEM é suficiente para conformidade com LGPD?

Uma plataforma UEM entrega os controles técnicos que a LGPD exige para dispositivos — criptografia, controle de acesso, audit trail, wipe remoto e segregação de dados. É a base técnica necessária. Conformidade completa também exige políticas internas, mapeamento de dados, treinamento e um programa de privacidade estruturado.

Quais são os riscos de não gerenciar dispositivos corporativos na LGPD?

A empresa perde visibilidade, não consegue auditar acessos e fica exposta a vazamentos e sanções.

Checklist de conformidade LGPD para frotas corporativas

Sua empresa realmente está em conformidade com a LGPD?

Se um colaborador perder o celular agora, você consegue responder:

• Quais dados estavam no dispositivo?
• Se estavam criptografados?
• Quem acessou antes da perda?
• Se é possível apagar tudo remotamente?

Se a resposta for “não” ou “talvez”, existe risco real de não conformidade.

E esse é o ponto central: LGPD não falha no jurídico. Falha na operação.

Se hoje você não consegue responder quem acessou quais dados em cada dispositivo, a Urmobo resolve isso automaticamente.

Use este checklist para avaliar o status atual dos controles na sua frota. Itens não marcados representam exposição real.

Item de conformidade	Status
Inventário atualizado de todos os dispositivos que acessam dados pessoais	☐
Criptografia de armazenamento ativa em 100% dos dispositivos	☐
Política de senha e bloqueio automático aplicada e forçada por sistema	☐
Controle de apps instalados — whitelist ou blacklist ativa	☐
Separação técnica entre dados pessoais e corporativos em BYOD (Perfil de Trabalho)	☐
Processo documentado e testado de wipe remoto	☐
Revogação de acesso imediata no desligamento de colaboradores	☐
Audit trail centralizado com registro de acessos e ações administrativas	☐
Monitoramento de dispositivos fora de política com alerta automático	☐
Política de uso de redes aplicada — bloqueio de Wi-Fi aberto para apps corporativos	☐
Gestão de certificados e VPN corporativa por política	☐
Plano de resposta a incidentes envolvendo dispositivos testado nos últimos 12 meses	☐

Como a Urmobo garante conformidade automática com a LGPD

O diferencial competitivo na prática

A Urmobo resolve esse cenário de forma nativa:

Conformidade automática com LGPD inclusa

• Sem configuração adicional;
• Ativa desde o primeiro dispositivo;

Auditoria contínua por padrão

• Monitoramento em tempo real;
• Rastreabilidade completa;

Gestão unificada (multi-OS)

• Android, iOS e Windows no mesmo ambiente;

Escala sem complexidade

• Padronização automática;
• Redução de esforço operacional;

Aqui está a diferença: compliance não é um módulo — é parte do produto.

A Urmobo é uma plataforma UEM desenvolvida para gestão de frotas corporativas com Android, iOS, Windows e Linux em um único painel. Os controles de conformidade com LGPD — criptografia, audit trail, wipe remoto, controle de apps, segregação BYOD e monitoramento contínuo — estão incluídos na licença padrão, sem módulo adicional e sem configuração manual por dispositivo.

Mais de 500 empresas no Brasil usam a Urmobo para garantir que a conformidade com LGPD seja consequência da operação, não um projeto paralelo.

Veja como a Urmobo garante conformidade automática com a LGPD na prática. Solicite uma demonstração com o time técnico ou inicie um teste gratuito para validar os controles na sua frota.