• Correa e Lopes

Escritórios de contabilidade devem estar preparados para a LGPD

As informações são consideradas um dos principais ativos atualmente. Elas passaram a ser disputadas pelas diferentes organizações e o seu uso indevido tem motivado a criação de legislações que garantam o direito dos usuários sobre seus dados. No Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020, vem para garantir o cumprimento dessa tendência internacional e colocar o País em consonância com outras nações.


Nesse cenário, o escritório de contabilidade guarda um verdadeiro tesouro dos clientes. Todas as informações contábeis, fiscais e financeiras de empresas e seus colaboradores, pessoas físicas e seus familiares, podem passar por ele. Todo contador processa dados pessoais diariamente e, portanto, também deve cumprir a LGPD.


A legislação se aplica a todas as empresas que coletam, armazenam e processam dados, seja na forma física ou digital. No caso de um escritório contábil, ele processa não apenas dados pessoais de seus clientes, como também de seus funcionários. O eSocial é um dos sistemas gerenciados pelos contadores que concatena uma série de dados de colaboradores das empresas e até mesmo de seus familiares e de ex-funcionários, que merecem sigilo e cuidado.


A diretora do Sindicato das Empresas Contábeis do Estado (Sescon-RS) e sócia do Grupo Método, Patricia Arruda, lembra do desafio gerado pela previsão na legislação de que deve haver autorização do titular da informação para a sua utilização. "Imagina isso nas organizações contábeis, em que a gente lida com o eSocial, mantém muitos dados e cede seu uso aos colaboradores dos escritórios", pontua Patricia, salientando que o profissional pode, inclusive, ser responsabilizado caso seu computador ou empresa seja invadido.


Por isso, antes de poder processar qualquer dado, a organização deve satisfazer todos os princípios da LGPD. É preciso provar o consentimento do cliente para que o contador possa reter, registrar e armazenar seus dados pessoais e que tem infraestrutura para manter a segurança de tais informações.


A assessora jurídica da Fenacon, Dayanna Diniz, complementa que, diariamente, as pessoas têm seus dados expostos - seja através de um e-mail, um histórico de compras ou de um telefone pessoal. "Essa exposição exagerada e invasiva causa sérios problemas à privacidade e à liberdade individual da pessoa e levantou uma bandeira de alerta às autoridades brasileiras", recorda.


Além disso, diversas noticiais de vazamento de informações de grandes empresas pelo mundo forçaram o judiciário a tomar uma atitude. A legislação brasileira nasce no mesmo momento em que outros países adotam leis semelhantes. "A LGPD foi inspirada na Regulamentação Geral de Proteção aos Dados (GDPR) europeia. A GDPR se aplica não só à comunidade europeia em si, mas também a todas as empresas que operam no espaço econômico europeu", comenta Dayanna.


Segundo a LGPD, dado pessoal é qualquer informação relacionada à pessoa natural identificada ou identificável, como nome, endereço, data de nascimento, origem racial, opinião política, dados genéticos. Com os recentes avanços tecnológicos, também entram nessa lista outras informações, como e-mails, endereços de IP, dados de localização, identificadores de cookies, entre outros.


O objetivo da lei é atualizar os padrões de proteção de dados e garantir que todos os cidadãos brasileiros sejam protegidos adequadamente contra violações de privacidade.


Um dos principais investimentos a serem feitos nas organizações contábeis deve ser a criação de alguma figura responsável pela segurança das informações armazenadas e geradas. Seja através da implementação de um comitê de segurança ou da definição de agentes de tratamento de dados pessoais, previstos na lei.


De acordo com especialistas, a LGPD exigirá a implementação de mecanismos internos e sistemas de controle para garantir a conformidade nos escritórios de contabilidade. Também será preciso gerar evidências documentais para provar que o sistema funciona para um auditor interno e externo. A empresa terá de seguir uma política de proteção dos dados e todo o pessoal precisará de treinamento adequado ao seu papel para garantir que eles entendam esses procedimentos.


A assessora jurídica da Fenacon, Dayanna Diniz, explica que os agentes de tratamento de dados pessoais estão divididos nas figuras do controlador e do operador, que podem ser uma pessoa física ou jurídica, de direito público ou privado. "Ao controlador competem as decisões referentes ao tratamento de dados pessoais, enquanto, ao operador, a realização do tratamento em nome do primeiro. O contador se encaixaria na figura do operador, que, por exemplo, deve basicamente obedecer a lei e as ordens do controlador", diz Dayanna.


Inspirada no Data Protection Officer (DPO) criado pelo regulamento europeu, a LGPD também cria a figura do encarregado pelo tratamento de dados pessoais, um indivíduo indicado pela empresa que figura como canal de comunicação entre ela, os titulares de dados e a Autoridade Nacional. É esse indivíduo o responsável por orientar colaboradores da empresa acerca das práticas relativas à proteção de dados, prestar esclarecimentos aos titulares de dados, receber comunicações da Autoridade Nacional e tomar as providências cabíveis.


Mesmo que a Autoridade Nacional responsável por fiscalizar a conformidade das organizações com a LGPD ainda não tenha sido criada, a especialista não vê motivos para esperar esse fato para começar a se adequar à legislação. "O tempo de adequação está sendo esse período de vacatio legis (período que decorre entre o dia da publicação de uma lei e o dia em que ela entra em vigor). Dessa forma, acredito que as fiscalizações não devem demorar, pois as empresas e a sociedade poderão realizar as devidas adaptações nesse período", sustenta Dayanna.


Veja como a lei impacta as empresas e quais medidas devem ser tomadas:

  1. Consentimento no recolhimento e uso de dados - A única pessoa que pode autorizar os escritórios de contabilidade a usar os dados é o titular dos dados. Esse consentimento explícito deve ser reforçado especialmente em sistemas digitais.

  2. Diferenciação entre controlador e operador - A Lei também exige que as empresas definam quem irá fazer uso dos dados. Isso é determinado em dois níveis de trabalho: de controlador e de operador. A responsabilidade de cada um é diferente: o controlador direcionará o que será feito com os dados. Já o operador é quem lida com eles, na prática.

  3. Comitês de segurança da informação - Os escritórios de contabilidade devem criar um Comitê de Segurança da Informação para avaliação das medidas de proteção de dados próprios e dos clientes. Neste comitê haverá um profissional exclusivo, o Data Protection Officer, responsável pelo cumprimento da nova lei.

  4. Medidas de redução de exposição - A empresa contábil deve utilizar técnicas de segurança administrativas e de operações diversas, implementadas de forma ampla, para que todos os colaboradores possam praticar. Isso também é parte do trabalho do comitê de segurança da informação.

  5. Responsabilidade das terceirizadas - As organizações que tiverem subcontratadas devem exigir que elas também se adaptem às medidas de proteção de dados, porque estarão também sujeitas às sanções em casos de vazamentos. Assim, é fundamental ter clareza quanto aos procedimentos de segurança.


Fonte: Fenacon

4 visualizações

Especialista Tributária

UMA EMPRESA DO GRUPO VIRIATO

© 2017 POR CORREA & LOPES CONSULTORIA TRIBUTÁRIA LTDA