" Escritórios de contabilidade devem estar preparados para a LGPD "

Escritórios de contabilidade devem estar preparados para a LGPD

Norma entrará em vigor em agosto de 2020 e vem para garantir o cumprimento de tendência internacional

 

 
As informações são consideradas um dos principais ativos atualmente. Elas passaram a ser disputadas pelas diferentes organizações e o seu uso indevido tem motivado a criação de legislações que garantam o direito dos usuários sobre seus dados. No Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020, vem para garantir o cumprimento dessa tendência internacional e colocar o País em consonância com outras nações.
Nesse cenário, o escritório de contabilidade guarda um verdadeiro tesouro dos clientes. Todas as informações contábeis, fiscais e financeiras de empresas e seus colaboradores, pessoas físicas e seus familiares, podem passar por ele. Todo contador processa dados pessoais diariamente e, portanto, também deve cumprir a LGPD.
 
A legislação se aplica a todas as empresas que coletam, armazenam e processam dados, seja na forma física ou digital. No caso de um escritório contábil, ele processa não apenas dados pessoais de seus clientes, como também de seus funcionários. O eSocial é um dos sistemas gerenciados pelos contadores que concatena uma série de dados de colaboradores das empresas e até mesmo de seus familiares e de ex-funcionários, que merecem sigilo e cuidado.
A diretora do Sindicato das Empresas Contábeis do Estado (Sescon-RS) e sócia do Grupo Método, Patricia Arruda, lembra do desafio gerado pela previsão na legislação de que deve haver autorização do titular da informação para a sua utilização. "Imagina isso nas organizações contábeis, em que a gente lida com o eSocial, mantém muitos dados e cede seu uso aos colaboradores dos escritórios", pontua Patricia, salientando que o profissional pode, inclusive, ser responsabilizado caso seu computador ou empresa seja invadido.
Por isso, antes de poder processar qualquer dado, a organização deve satisfazer todos os princípios da LGPD. É preciso provar o consentimento do cliente para que o contador possa reter, registrar e armazenar seus dados pessoais e que tem infraestrutura para manter a segurança de tais informações.
A assessora jurídica da Fenacon, Dayanna Diniz, complementa que, diariamente, as pessoas têm seus dados expostos - seja através de um e-mail, um histórico de compras ou de um telefone pessoal. "Essa exposição exagerada e invasiva causa sérios problemas à privacidade e à liberdade individual da pessoa e levantou uma bandeira de alerta às autoridades brasileiras", recorda.
Além disso, diversas noticiais de vazamento de informações de grandes empresas pelo mundo forçaram o judiciário a tomar uma atitude. A legislação brasileira nasce no mesmo momento em que outros países adotam leis semelhantes. "A LGPD foi inspirada na Regulamentação Geral de Proteção aos Dados (GDPR) europeia. A GDPR se aplica não só à comunidade europeia em si, mas também a todas as empresas que operam no espaço econômico europeu", comenta Dayanna.
Segundo a LGPD, dado pessoal é qualquer informação relacionada à pessoa natural identificada ou identificável, como nome, endereço, data de nascimento, origem racial, opinião política, dados genéticos. Com os recentes avanços tecnológicos, também entram nessa lista outras informações, como e-mails, endereços de IP, dados de localização, identificadores de cookies, entre outros.
O objetivo da lei é atualizar os padrões de proteção de dados e garantir que todos os cidadãos brasileiros sejam protegidos adequadamente contra violações de privacidade.
 

Instâncias de controle da conformidade são essenciais

Dayanna aponta diferenças entre controlador e contador

Um dos principais investimentos a serem feitos nas organizações contábeis deve ser a criação de alguma figura responsável pela segurança das informações armazenadas e geradas. Seja através da implementação de um comitê de segurança ou da definição de agentes de tratamento de dados pessoais, previstos na lei.
De acordo com especialistas, a LGPD exigirá a implementação de mecanismos internos e sistemas de controle para garantir a conformidade nos escritórios de contabilidade. Também será preciso gerar evidências documentais para provar que o sistema funciona para um auditor interno e externo. A empresa terá de seguir uma política de proteção dos dados e todo o pessoal precisará de treinamento adequado ao seu papel para garantir que eles entendam esses procedimentos.
A assessora jurídica da Fenacon, Dayanna Diniz, explica que os agentes de tratamento de dados pessoais estão divididos nas figuras do controlador e do operador, que podem ser uma pessoa física ou jurídica, de direito público ou privado. "Ao controlador competem as decisões referentes ao tratamento de dados pessoais, enquanto, ao operador, a realização do tratamento em nome do primeiro. O contador se encaixaria na figura do operador, que, por exemplo, deve basicamente obedecer a lei e as ordens do controlador", diz Dayanna.
Inspirada no Data Protection Officer (DPO) criado pelo regulamento europeu, a LGPD também cria a figura do encarregado pelo tratamento de dados pessoais, um indivíduo indicado pela empresa que figura como canal de comunicação entre ela, os titulares de dados e a Autoridade Nacional. É esse indivíduo o responsável por orientar colaboradores da empresa acerca das práticas relativas à proteção de dados, prestar esclarecimentos aos titulares de dados, receber comunicações da Autoridade Nacional e tomar as providências cabíveis.
Mesmo que a Autoridade Nacional responsável por fiscalizar a conformidade das organizações com a LGPD ainda não tenha sido criada, a especialista não vê motivos para esperar esse fato para começar a se adequar à legislação. "O tempo de adequação está sendo esse período de vacatio legis (período que decorre entre o dia da publicação de uma lei e o dia em que ela entra em vigor). Dessa forma, acredito que as fiscalizações não devem demorar, pois as empresas e a sociedade poderão realizar as devidas adaptações nesse período", sustenta Dayanna.
 

Veja como a lei impacta as empresas e quais medidas devem ser tomadas:

 
  1. Consentimento no recolhimento e uso de dados - A única pessoa que pode autorizar os escritórios de contabilidade a usar os dados é o titular dos dados. Esse consentimento explícito deve ser reforçado especialmente em sistemas digitais.
  2. Diferenciação entre controlador e operador - A Lei também exige que as empresas definam quem irá fazer uso dos dados. Isso é determinado em dois níveis de trabalho: de controlador e de operador. A responsabilidade de cada um é diferente: o controlador direcionará o que será feito com os dados. Já o operador é quem lida com eles, na prática.
  3. Comitês de segurança da informação - Os escritórios de contabilidade devem criar um Comitê de Segurança da Informação para avaliação das medidas de proteção de dados próprios e dos clientes. Neste comitê haverá um profissional exclusivo, o Data Protection Officer, responsável pelo cumprimento da nova lei.
  4. Medidas de redução de exposição - A empresa contábil deve utilizar técnicas de segurança administrativas e de operações diversas, implementadas de forma ampla, para que todos os colaboradores possam praticar. Isso também é parte do trabalho do comitê de segurança da informação.
  5. Responsabilidade das terceirizadas - As organizações que tiverem subcontratadas devem exigir que elas também se adaptem às medidas de proteção de dados, porque estarão também sujeitas às sanções em casos de vazamentos. Assim, é fundamental ter clareza quanto aos procedimentos de segurança.
Fonte: Thomson Reuters
 

Armazenamento em nuvem pode trazer mais segurança

Ferreira defende organização de dados

Como a maior preocupação da LGPD é com a segurança e o vazamentos de dados, um sistema de gestão em nuvem é capaz de dar a segurança que o contador precisa. Com o uso dessa ferramenta não é necessário guardar mais nada nos computadores ou no servidor da empresa, o que garante muito mais segurança, garante o gerente de Marketing Sênior da Thomson Reuters para América Latina, Adriano Ferreira.
Segundo Ferreira, pesquisa da Forbes aponta que, até 2020, 83% dos ambientes de trabalho ficarão na nuvem. Mas apenas contar com sistemas seguros não é suficiente.
Para se adaptar à LGPD, será necessário também "colocar ordem na casa", que, para Ferreira, consiste em mapear os dados, classificá-los, organizá-los de acordo com a base legal que autoriza o seu tratamento e, depois, torná-los mais seguros. "Devem ser adotadas várias mudanças, que podem garantir a adequação à lei e à proteção das atividades." Por isso, gerir adequadamente a documentação é fundamental para a comunicação entre clientes e o escritório contábil, ressalta o especialista.
O gerente da Thomson Reuters lembra, ainda, que o não cumprimento das definições da LGPD pode ter graves consequências às empresas de contabilidade. A lei define claramente multas e sanções significativas - desde comunicados e advertências até multas.
"E algumas dessas multas são bem pesadas podendo chegar a R$ 50 milhões por infração cometida, e podem impactar muito os escritórios de contabilidade. Assim, mesmo que a implementação de novas práticas gere muitas demandas, é melhor aderir a elas do que sofrer as penalizações", avisa Ferreira.
 

Médias e grandes devem investir em um gestor de projetos

Kiyohara destaca importância da gestão, Tecnologia da Informação e processos

Além do DPO (Data Protection Officer), ou Encarregado de Proteção de Dados, outra importante figura não tem recebido o mesmo destaque: o gestor de projetos, ou PMO (Project Management Office). Esse profissional é responsável por garantir as adequações necessárias à LGPD, em especial, nas médias e grandes empresas.
O diretor de Compliance na ICTS Protiviti, Jefferson Kiyohara, afirma que o processo de adequação inicia-se com um diagnóstico. "É fundamental entender qual o estágio atual da organização em termos de gestão da privacidade, mapear quais os dados pessoais utilizados e onde eles estão. A avaliação deve considerar três pilares: legal, TI e gestão/processos", enfatiza Kiyohara.
O produto final será um plano de implantação de melhorias ou um plano de adequações. É a partir deste momento que o PMO ganha relevância prática nas empresas. O papel de PMO poderá ser realizado internamente, quando as organizações possuem profissionais com tal expertise, ou mesmo terceirizados, seja em uma linha de reforçar as competências internas existentes ou em trazer aquelas que faltam.
"Não basta saber o que precisa ser feito. O importante é saber como deve ser feito. Ter visão de processos também é fundamental, de modo a garantir que as interconexões aconteçam, e os inputs, processamentos e outputs necessários sejam contemplados", ressalta Kiyohara. Por tudo isso, diz o especialista, é essencial que as organizações contemplem em seu plano de adequação à LGPD a figura do PMO e definam quem exercerá tal papel. Ele será o responsável por gerenciar com sucesso a implantação das melhorias necessárias e os elementos do Programa de Privacidade e Proteção de Dados Pessoais, que, posteriormente, será de responsabilidade do DPO.