Decripte — Cibersegurança Enterprise
Segurança na Empresa · Boas práticas

Como não vazar dados sigilosos da empresa — e proteger seu emprego

Resposta rápida

A maioria dos vazamentos de dados corporativos não é causada por hackers, mas por erros simples de colaboradores: e-mail enviado para o destinatário errado, arquivo anexado trocado ou uso de nuvem pessoal para guardar documentos da empresa. Proteger informações sigilosas é responsabilidade de todo funcionário, não só da equipe de TI. Adotar hábitos básicos de segurança da informação reduz drasticamente o risco de vazamento acidental — e as consequências que ele traz, incluindo demissão por justa causa e multas à empresa pela LGPD.

Comece grátis agora Ver planos

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores — do diagnóstico à resposta a incidentes 24x7.

Sinais de alerta

  • [object Object]
  • [object Object]
  • [object Object]
  • [object Object]
  • [object Object]
  • [object Object]

Passo a passo

  1. 1

    Classifique a informação antes de compartilhar

    Antes de enviar qualquer arquivo ou dado, identifique o nível de sigilo: público, interno, confidencial ou restrito. Informações confidenciais e restritas nunca devem sair dos sistemas aprovados pela empresa sem autorização formal.

  2. 2

    Use somente canais e ferramentas aprovados pela empresa

    E-mails corporativos, repositórios e plataformas de nuvem homologados pela TI são os únicos meios seguros para tratar dados da empresa. Gmail pessoal, Google Drive pessoal, Dropbox pessoal e similares são proibidos para arquivos corporativos.

  3. 3

    Confira o destinatário antes de enviar qualquer e-mail

    O preenchimento automático do campo 'Para' é uma das principais causas de vazamento. Antes de clicar em enviar, verifique nome e endereço de e-mail de cada destinatário, especialmente em mensagens com anexos sigilosos.

  4. 4

    Nunca insira dados da empresa em ferramentas de IA generativa

    Ferramentas como ChatGPT, Gemini e similares podem armazenar e usar as informações enviadas para treinar modelos. Dados de clientes, contratos, estratégias e informações financeiras jamais devem ser colados nessas ferramentas sem aprovação da equipe de segurança.

  5. 5

    Evite pen drives e dispositivos pessoais

    Pen drives não criptografados e dispositivos pessoais (celular, notebook próprio) são pontos cegos da segurança corporativa. Se precisar transportar arquivos, use os meios aprovados pela empresa, sempre com criptografia.

  6. 6

    Cuidado com impressões e documentos físicos

    Documentos impressos esquecidos na impressora, mesa ou lixo comum são uma forma real e frequente de vazamento. Retire suas impressões imediatamente, destrua documentos sigilosos com fragmentadora e mantenha a mesa limpa ao se ausentar.

  7. 7

    Não gere links públicos para compartilhar arquivos internos

    Links de compartilhamento público em plataformas de nuvem podem ser acessados por qualquer pessoa com a URL — inclusive motores de busca. Compartilhe arquivos corporativos apenas com permissões nominais para pessoas autorizadas.

  8. 8

    Se perceber que vazou dados, avise a TI imediatamente

    Notificar a equipe de segurança nas primeiras horas é a ação mais importante em caso de vazamento acidental. Quanto mais rápido o acionamento, maiores as chances de conter o dano. Ocultar o incidente agrava a situação legal e disciplinar.

O que NÃO fazer

  • Nunca envie dados de clientes, contratos ou informações financeiras para seu e-mail pessoal, mesmo que seja 'só para trabalhar em casa'.
  • Nunca use ferramentas de IA generativa públicas (ChatGPT, Gemini, Copilot não corporativo) para processar documentos sigilosos da empresa.
  • Nunca deixe documentos físicos confidenciais sobre a mesa, na impressora ou no lixo comum — use fragmentadora.
  • Nunca compartilhe senhas corporativas por WhatsApp, e-mail ou qualquer outro canal, mesmo com colegas de trabalho.
  • Nunca tente ocultar um vazamento acidental: a omissão transforma um erro involuntário em infração grave, com consequências disciplinares e legais muito maiores.

Por que colaboradores causam a maioria dos vazamentos de dados corporativos

Segundo relatórios de segurança da informação, entre 60% e 80% dos incidentes de vazamento de dados têm origem em ações humanas — não em ataques externos sofisticados. O colaborador não age com má intenção na maior parte dos casos: o vazamento acontece por pressa, desconhecimento das políticas ou simplesmente por hábitos digitais formados fora do ambiente corporativo.

Os erros mais comuns incluem: enviar um e-mail para o destinatário errado (o preenchimento automático do campo 'Para' é traiçoeiro), anexar o arquivo errado, usar o Gmail pessoal ou o Google Drive pessoal para guardar documentos do trabalho por conveniência, compartilhar arquivos via link público em vez de permissões nominais, e levar dados em pen drives sem criptografia.

O crescimento do uso de ferramentas de inteligência artificial generativa no dia a dia criou um vetor de vazamento inteiramente novo: o colaborador cola um contrato, uma planilha financeira ou dados de clientes no ChatGPT para obter ajuda — e essas informações podem ser retidas pelo provedor, usadas para treinar modelos ou acessadas por terceiros. Isso representa um vazamento real, mesmo que o colaborador nunca perceba.

Classificação da informação: o primeiro passo para não vazar dados

Antes de compartilhar qualquer dado ou documento, todo colaborador precisa saber qual é o nível de sigilo daquele conteúdo. A classificação da informação é a base de qualquer programa de proteção de dados: sem ela, é impossível saber o que pode circular livremente e o que precisa de controles rígidos.

A maioria das políticas corporativas adota quatro níveis: Público (pode ser divulgado externamente sem restrições), Interno (circula dentro da empresa, mas não deve sair), Confidencial (acesso restrito a equipes específicas, exige canais seguros) e Restrito ou Secreto (acesso apenas a pessoas nominalmente autorizadas, com rastreamento de acesso).

Na prática, se você não souber a classificação de um documento que recebeu, a regra é tratar como Confidencial até verificar com o responsável. Essa postura conservadora evita que informações sensíveis sejam compartilhadas por engano. Empresas que implementam políticas claras de classificação reduzem significativamente os incidentes de vazamento acidental.

Avalie sua empresa de graça

Veja em minutos o que já está exposto do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Boas práticas no dia a dia para proteger dados corporativos

Use somente as ferramentas e canais homologados pela TI da empresa. Plataformas de colaboração, e-mail corporativo, repositórios de arquivos e sistemas de gestão aprovados existem justamente para garantir que os dados fiquem em ambientes controlados, com acesso rastreável e backups gerenciados.

Adote a política de mesa limpa: ao se afastar do computador, bloqueie a tela (Windows: Win+L; Mac: Ctrl+Command+Q). Ao sair da mesa, guarde documentos físicos sigilosos em gavetas trancadas. Não deixe senhas anotadas em post-its colados no monitor. Essas práticas simples eliminam riscos físicos de vazamento frequentemente ignorados.

Antes de enviar qualquer e-mail com conteúdo sensível, adote o hábito de verificar o destinatário duas vezes — nome e endereço completo. Se possível, envie o arquivo separado do e-mail explicativo e confirme o recebimento pelo destinatário correto antes de enviar dados mais críticos. Em caso de dúvida, prefira a verificação por telefone ou canal secundário.

Consequências de vazar dados da empresa: LGPD, demissão e danos

A Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) responsabiliza as empresas por incidentes de segurança que envolvam dados pessoais. As multas podem chegar a 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração. Quando o incidente tem origem em ação ou negligência de um colaborador, a empresa pode buscar ressarcimento internamente.

No âmbito trabalhista, vazar intencionalmente dados sigilosos da empresa — ou agir com negligência grave em relação a eles — pode configurar justa causa para demissão, com base no artigo 482 da CLT (alíneas 'b' — incontinência de conduta ou mau procedimento — e 'h' — ato de indisciplina ou insubordinação). Dependendo do caso, pode ainda haver ação de reparação civil por danos causados à empresa ou a terceiros.

Além das consequências legais e trabalhistas, vazamentos de dados causam danos à reputação da empresa que podem comprometer clientes, contratos e parceiros. Em setores regulados (saúde, financeiro, jurídico), o impacto pode resultar em perda de licenças e certificações. Por isso, proteger dados não é apenas obrigação legal — é uma questão de responsabilidade profissional.

O que fazer se você percebeu que vazou dados da empresa

A primeira e mais importante regra é: não tente ocultar. Vazamentos acidentais acontecem com qualquer pessoa, e a reação ao incidente pesa muito mais do que o erro em si na avaliação disciplinar e legal. Comunicar imediatamente a equipe de TI ou segurança da informação é a ação que faz a diferença entre um incidente contido e uma crise.

Documente o que aconteceu com o máximo de detalhes: qual arquivo ou dado foi compartilhado, com quem, por qual canal, em que horário e em que circunstâncias. Essas informações são essenciais para que a equipe de segurança consiga avaliar o impacto real, revogar acessos, notificar as partes afetadas e cumprir os prazos legais de comunicação à ANPD (Autoridade Nacional de Proteção de Dados), que são de até 72 horas para incidentes com dados pessoais.

Enquanto aguarda o suporte da TI, não tente 'resolver sozinho': não apague evidências, não peça ao destinatário que simplesmente apague o arquivo sem registro e não compartilhe informações sobre o incidente com pessoas não autorizadas. Ações precipitadas podem comprometer a resposta ao incidente e agravar as consequências legais para você e para a empresa.

Termos importantes

Classificação da informação
Processo de categorizar dados e documentos de acordo com seu grau de sigilo e sensibilidade, definindo quem pode acessá-los, como podem ser compartilhados e quais controles de segurança devem ser aplicados. Os níveis mais comuns são: Público, Interno, Confidencial e Restrito.
DLP (Data Loss Prevention)
Conjunto de tecnologias e processos que monitoram, detectam e bloqueiam o tráfego não autorizado de dados sensíveis para fora do ambiente controlado da empresa — seja por e-mail, upload para nuvem pessoal, cópia para dispositivos removíveis ou outros canais.
LGPD
Lei Geral de Proteção de Dados (Lei nº 13.709/2018), legislação brasileira que regula o tratamento de dados pessoais por empresas e pessoas físicas. Estabelece direitos dos titulares, obrigações das organizações e penalidades para incidentes de segurança, incluindo multas de até 2% do faturamento nacional, limitadas a R$ 50 milhões por infração.
Vazamento acidental
Incidente de segurança da informação causado por erro humano não intencional — como envio de e-mail para destinatário errado, uso de ferramentas não autorizadas ou perda de dispositivo com dados corporativos — em contraposição a ataques externos ou ações maliciosas deliberadas. É a principal causa de incidentes de dados em organizações de todos os tamanhos.

Perguntas frequentes

Posso usar meu e-mail pessoal para enviar arquivos do trabalho?

Não. Usar e-mail pessoal para arquivos corporativos representa um vazamento de dados, mesmo que não intencional. Os dados saem do ambiente controlado da empresa, ficam em servidores de terceiros fora do controle da TI e podem ser acessados sem as proteções que o e-mail corporativo oferece. Se precisar trabalhar de casa, use a VPN e os sistemas aprovados pela empresa.

Posso usar o ChatGPT para revisar contratos ou planilhas com dados de clientes?

Não, a menos que sua empresa tenha aprovado formalmente uma versão corporativa e privada da ferramenta. Ferramentas de IA generativa públicas podem armazenar os dados enviados para treinar seus modelos. Dados de clientes, contratos e informações financeiras são sigilosos e não devem ser enviados a esses serviços sem autorização expressa da equipe de segurança.

O que acontece se eu enviar um e-mail para o destinatário errado?

Avise imediatamente o destinatário errado, solicitando que ignore e exclua o e-mail e o anexo. Em seguida, notifique a TI ou a equipe de segurança da informação da empresa. Se o e-mail continha dados pessoais de clientes ou funcionários, a empresa pode ser obrigada a notificar a ANPD em até 72 horas. Agir rápido reduz o impacto e demonstra boa-fé.

Meu colega me pediu a senha do sistema para fazer uma tarefa urgente. Posso compartilhar?

Não. Senhas são pessoais e intransferíveis. Compartilhar credenciais viola a política de segurança da maioria das empresas e pode transferir para você a responsabilidade por ações realizadas com sua conta. Se um colega precisar de acesso, a TI deve conceder as permissões adequadas para ele.

Pen drive é seguro para transportar arquivos do trabalho?

Pen drives sem criptografia são um dos vetores de vazamento mais comuns — basta perder o dispositivo ou ter ele subtraído. Se a empresa autorizar o uso, o pen drive deve ser criptografado (ferramentas como BitLocker ou VeraCrypt) e registrado no inventário de ativos de TI. Sempre prefira os sistemas de colaboração e nuvem aprovados pela empresa.

O que é DLP e como ele protege a empresa de vazamentos?

DLP (Data Loss Prevention, ou Prevenção contra Perda de Dados) é um conjunto de tecnologias que monitora e controla o fluxo de informações sensíveis nos sistemas da empresa. Um sistema de DLP pode bloquear automaticamente o envio de documentos classificados para e-mails pessoais, detectar quando dados sigilosos são colados em ferramentas não autorizadas e gerar alertas para a equipe de segurança. Ele não substitui a conscientização dos colaboradores, mas atua como uma rede de proteção adicional.

Quais são as principais obrigações da empresa em caso de vazamento de dados pela LGPD?

Pela LGPD (Lei nº 13.709/2018), a empresa deve notificar a ANPD e os titulares dos dados afetados em prazo razoável (interpretado como até 72 horas para casos graves) quando ocorrer um incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A empresa também deve registrar o incidente, avaliar o impacto e implementar medidas corretivas. O não cumprimento pode resultar em multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.

Comece grátis agora Ver planos