Segurança da Informação

    Funcionário demitido: como proteger os dados e acessos da sua empresa imediatamente

    Saiba o que fazer imediatamente quando um funcionário é demitido para proteger os dados, sistemas e acessos da sua empresa. Checklist completo com LGPD.

    Equipe Accertiva 31 Mar 2026 9 min de leitura
    Funcionário demitido: como proteger os dados e acessos da sua empresa imediatamente

    Introdução

    A demissão de um funcionário é um dos momentos de maior risco para a segurança de dados de uma empresa, e a maioria das PMEs não tem nenhum protocolo definido para esse momento. O ex-colaborador sai da empresa com acesso ativo ao e-mail corporativo, às pastas compartilhadas, ao sistema de gestão, ao WhatsApp Business e a dezenas de outras ferramentas. Em alguns casos, leva dias ou semanas até que alguém perceba e revogue esses acessos.

    Nesse intervalo, podem acontecer coisas graves: o funcionário insatisfeito pode deletar arquivos, copiar dados de clientes, vazar informações para um concorrente ou simplesmente continuar acessando sistemas por curiosidade, o que por si só já é uma violação da LGPD e pode gerar responsabilidade jurídica para a empresa.

    Este artigo apresenta o protocolo completo que sua empresa precisa executar no momento da demissão, com checklist técnico e as implicações da LGPD nesse processo.

    Por que a demissão é um momento crítico para a segurança de dados

    Estudos de segurança da informação mostram que uma parcela significativa dos vazamentos de dados corporativos envolve ex-funcionários, não necessariamente com intenção maliciosa, mas por falta de controle de acesso adequado após o desligamento.

    Os riscos mais comuns em PMEs brasileiras:

    Acesso ao e-mail corporativo após a demissão

    E-mails corporativos em plataformas como Google Workspace e Microsoft 365 continuam ativos até que o administrador desative a conta. Um ex-funcionário com acesso ao e-mail pode: ler comunicações internas, recuperar senhas de sistemas usando o e-mail como recuperação, ou enviar mensagens se passando pela empresa para clientes e fornecedores.

    Dados copiados para dispositivos pessoais

    Durante o período de trabalho, é comum que funcionários salvem arquivos em pen drives, Google Drive pessoal, Dropbox ou simplesmente os enviem para o e-mail pessoal. Na saída, esses dados vão junto, incluindo listas de clientes, planilhas financeiras, contratos e projetos.

    Acesso a sistemas de gestão, CRM e ERP

    Sistemas de gestão acessados via login e senha continuam funcionando para o usuário demitido até que o acesso seja revogado. Um ex-vendedor insatisfeito com acesso ao CRM pode exportar toda a carteira de clientes antes de sair.

    Implicações da LGPD

    A LGPD responsabiliza a empresa pelo tratamento inadequado de dados pessoais, inclusive quando o vazamento ocorre por falha no processo de desligamento. Se um ex-funcionário acessa dados de clientes após a demissão usando credenciais que nunca foram revogadas, a empresa pode ser responsabilizada pelo incidente.

    O protocolo de desligamento seguro — checklist completo

    O ideal é que esse protocolo seja executado no mesmo dia do desligamento, de preferência antes ou imediatamente após a comunicação ao funcionário. Em casos de demissão por justa causa ou conflito, execute antes da comunicação.

    Etapa 1 — Sistemas de comunicação

    • Desativar conta de e-mail corporativo (Google Workspace, Microsoft 365)
    • Configurar resposta automática no e-mail informando o desligamento e redirecionando para o substituto
    • Revogar acesso ao WhatsApp Business ou grupo de atendimento
    • Remover de grupos de Slack, Teams ou outras ferramentas de comunicação interna
    • Alterar senhas de contas compartilhadas que o funcionário conhecia

    Etapa 2 — Sistemas de gestão e produtividade

    • Desativar usuário no ERP ou sistema de gestão
    • Revogar acesso ao CRM
    • Remover acesso a pastas compartilhadas no Google Drive, OneDrive ou servidor de arquivos
    • Desativar acesso ao sistema de ponto e RH
    • Revogar acesso a plataformas de e-commerce ou loja virtual
    • Remover permissões em ferramentas de marketing (RD Station, Mailchimp, redes sociais)

    Etapa 3 — Infraestrutura e segurança

    • Revogar acesso à VPN
    • Remover usuário do Active Directory ou sistema de identidade centralizado
    • Desativar token ou autenticador MFA vinculado ao funcionário
    • Revogar acesso físico: cartão de acesso, senha de alarme, crachá
    • Recolher equipamentos: notebook, celular corporativo, tokens, pen drives fornecidos pela empresa
    • Verificar se o notebook corporativo tem dados sensíveis e fazer backup antes de formatar

    Etapa 4 — Redes sociais e presença digital

    • Remover acesso à página da empresa no Instagram, LinkedIn, Facebook
    • Remover acesso ao Google Meu Negócio
    • Verificar se o funcionário tinha acesso ao site ou blog da empresa
    • Atualizar senhas de qualquer conta que o funcionário administrava

    Etapa 5 — Comunicação interna e com terceiros

    • Comunicar a equipe interna sobre o desligamento
    • Avisar fornecedores e parceiros que tinham contato com o funcionário
    • Em casos de cargos com acesso a clientes, considerar comunicar os principais clientes

    O que fazer quando o acesso já foi perdido — situação de emergência

    Se você descobriu que um ex-funcionário ainda tem acesso a sistemas dias ou semanas após o desligamento, aja imediatamente:

    1. Revogue todos os acessos agora

    Não espere investigar o que aconteceu. Primeiro bloqueie, depois investigue.

    2. Verifique os logs de acesso

    Sistemas como Google Workspace, Microsoft 365 e a maioria dos ERPs registram o histórico de acesso. Verifique o que o ex-funcionário acessou após o desligamento, quando e o que foi feito.

    3. Documente tudo

    Se houver indícios de acesso não autorizado ou cópia indevida de dados, documente as evidências, prints, logs exportados, datas e horários. Esses registros serão necessários em caso de ação judicial ou notificação à ANPD.

    4. Avalie a necessidade de notificação

    Se dados de clientes foram acessados indevidamente, a LGPD pode exigir notificação à ANPD e aos titulares afetados. Consulte um advogado especializado em proteção de dados para avaliar o caso.

    5. Reforce os controles para evitar recorrência

    Um incidente desse tipo é um sinal de que o processo de desligamento precisa ser formalizado. Implemente o protocolo descrito neste artigo para as próximas saídas.

    Como evitar que isso aconteça — boas práticas preventivas

    Controle centralizado de identidade

    Implemente um sistema de gestão de identidade centralizado, como Azure Active Directory ou Google Workspace Admin, onde um único administrador consegue revogar todos os acessos de um usuário de uma só vez. Em vez de acessar 15 sistemas diferentes para desativar um funcionário, você faz uma ação e todos os sistemas integrados são atualizados.

    Princípio do menor privilégio

    Cada funcionário deve ter acesso apenas ao que precisa para fazer seu trabalho. Um assistente administrativo não precisa acessar dados financeiros. Um vendedor não precisa acessar o sistema de RH. Quanto menos acesso cada pessoa tem, menor o dano potencial em caso de desligamento.

    Inventário de acessos por funcionário

    Mantenha um registro atualizado de quais sistemas cada funcionário acessa. Quando a demissão ocorrer, você terá uma lista completa para revogar, sem depender de memória ou de perguntar para colegas.

    Política formal de desligamento

    Documente o protocolo de desligamento e treine o RH e o gestor de TI para executá-lo. Defina quem é responsável por cada etapa e em qual prazo. Um processo informal esquece etapas; um processo documentado não.

    Implicações da LGPD no processo de demissão

    A LGPD cria obrigações específicas no contexto de desligamento de funcionários:

    Dados do próprio funcionário

    A empresa coletou e armazenou dados pessoais do funcionário durante o contrato, CPF, endereço, dados bancários, informações de saúde (atestados, plano de saúde), registro de ponto. Após o desligamento, esses dados devem ser mantidos apenas pelo tempo necessário para obrigações legais (guarda de documentos trabalhistas por no mínimo 5 anos) e depois eliminados.

    Acesso do ex-funcionário a dados de terceiros

    O ex-funcionário provavelmente tinha acesso a dados de clientes, fornecedores e parceiros durante o trabalho. Após o desligamento, esse acesso deve ser completamente revogado. A empresa é responsável por garantir que isso aconteça.

    Obrigação de confidencialidade

    O contrato de trabalho ou termo de confidencialidade assinado pelo funcionário continua válido após o desligamento. Se houve acesso não autorizado ou vazamento de dados, a empresa pode acionar o ex-funcionário judicialmente.

    Como a Accertiva ajuda empresas em SP a controlar acessos

    A Accertiva implementa e gerencia sistemas de controle de acesso centralizado para PMEs em São Paulo, garantindo que o processo de desligamento seja executado de forma rápida, completa e documentada.

    Serviços relacionados: gestão de identidade com Azure AD ou Google Workspace, implementação de MFA em todos os sistemas, auditoria de acessos e permissões, e suporte imediato em situações de desligamento emergencial.

    Segurança e continuidade para empresas

    Funcionário saiu e levou os acessos: como proteger sua empresa

    LGPD na prática: o que implementar em 2026

    Perguntas frequentes sobre proteção de dados na demissão

    Posso acessar o e-mail corporativo de um funcionário demitido?

    Sim, com ressalvas. O e-mail corporativo é propriedade da empresa, e o funcionário deve ser informado na admissão de que as comunicações corporativas podem ser monitoradas. Após o desligamento, o acesso pela empresa ao e-mail para fins de continuidade operacional é geralmente aceito, desde que documentado. Consulte um advogado trabalhista para casos específicos.

    O funcionário pode levar os contatos de clientes quando sai?

    Depende do contrato. Se há cláusula de não concorrência e confidencialidade, o uso de dados de clientes após o desligamento pode ser contestado judicialmente. Independentemente do contrato, exportar dados de clientes do sistema da empresa sem autorização é uma violação da LGPD e pode gerar responsabilização.

    E se o funcionário se recusar a devolver o notebook corporativo?

    O notebook é patrimônio da empresa. A recusa em devolver pode ser tratada como crime de apropriação indébita. Documente o pedido de devolução por escrito, registre o valor do equipamento no TRCT e, se necessário, busque assessoria jurídica para recuperação do bem.

    Como proteger dados quando o funcionário trabalha em home office?

    Em home office, os riscos são maiores porque o acesso remoto é a norma. Implemente VPN com autenticação multifator, use dispositivos corporativos gerenciados (não pessoais) e garanta que os dados fiquem armazenados em sistemas da empresa, não em dispositivos locais do funcionário. No desligamento, revogue o acesso à VPN imediatamente e recolha os equipamentos.

    Leia também

    Precisa de ajuda com segurança da informação?

    Fale com nossos especialistas e descubra como a Accertiva pode ajudar sua empresa.

    Falar com Especialista
    Voltar para o Blog