Como funciona a LGPD (lei geral de proteção de dados) para contadores

Sob a influência em diversos aspectos da General Data Protection Regulation (GDPR), regulamentação europeia de proteção de dados, à partir de agosto de 2020 entrará em vigor a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), passando então a surtir efeitos tanto no que diz respeito à Pessoa Jurídica, quanto à Pessoa Física.

Dentre os principais aspectos abordados na referida Lei, denota-se maior atenção à privacidade dos dados pessoais do indivíduo, em diversos aspectos.

Diante do amplo alcance da lei, surge então a necessidade das empresas, independentemente do porte ou ramo de atuação, estruturem uma linha de planejamento dos dados pessoais de seus cliente e colaboradores a fim de evitar infrações e prejuízos, à partir de agosto deste ano.

Assim, a LGPD também terá impacto direito no cotidiano dos contadores, que deverão se conscientizar e adotar as melhores práticas no seu cotidiano, para oferecer melhor amparo no que diz respeito à adoção de condutas preventivas.

Neste sentido, a Lei Geral de Proteção de Dados surge como forma de harmonizar a aplicabilidade de outros ordenamentos jurídicos como a Constituição Federal, o Código de Defesa do Consumidor, além do próprio Código Civil, no que diz respeito à privacidade dos dados pessoais de todos que estão direta ou indiretamente envolvidos com a empresa.

A proteção e o sigilo dos dados dos usuários e todos os colaboradores envolvidos em uma empresa surgem apenas como plano principal revelando assim, por meio de uma análise mais aprofundada, a necessidade de que todos tenham ciência do tratamento adotado para as informações prestadas, bem como do seu destino.

Os avanços tecnológicos, como algoritmos de inteligência artificial, dados de localização e georreferenciamento, dentre outros, também entram nessa lista informações, preservando, desta maneira, ampla proteção contra qualquer forma de violação de privacidade.

A LGPD, através do artigo 5º, prescreve um conceito aberto a respeito de dados pessoais, considerando assim em seu inciso I, toda e qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, informações como nome, endereço, telefone, profissão, dentre outros, que são capazes de identificar a pessoa natural ou torná-la identificável, automaticamente.

Seguindo a linha de raciocínio, o artigo 5º, inciso II, trouxe catalogado os dados considerados pessoais sensíveis, quais sejam aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Assim, conclui-se que a atenção da LGPD não se limita em proteger qualquer informação ligada automaticamente ao usuário mas também preservar sua individualidade, expressa através das suas informações pessoais, independentemente das razões pelas quais estejam em poder da empresa.

No que diz respeito ao inciso X do artigo 5º, entende-se como tratamento de dados pessoais toda operação realizada com dados pessoais, quais sejam, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Destaca-se, ainda sobre este aspecto, que não se trata de rol taxativo podendo, por conseguinte, ser ampliado, de acordo com a necessidade.

Ademais, o artigo 6º da LGPD também aponta diversos princípios que devem ser utilizados como orientação, onde destacam-se os seguintes, que devem ser aplicados ao profissional de contabilidade:

NECESSIDADE: Estabelecendo a limitação do tratamento ao mínimo necessário do dado pessoal para a realização de suas finalidades, com as devida amplitude dos dados pessoais pertinentes

TRANSPARÊNCIA: Garantindo aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;

QUALIDADE: garantindo aos titulares, exatidão, clareza, relevância e atualização dos dados;

ADEQUAÇÃO: Sintonia do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento adotado.

O descumprimento das medidas determinadas na LGPD torna a empresa sujeita a sanções administrativas, conforme estabelece o artigo 52.

Dentre as multas estabelecidas, destaca-se a do inciso II, onde prevê a aplicação de multa simples de 2% do faturamento da empresa, sendo limitada até R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais.

Na rotina do escritório de contabilidade, a necessidade de adequação à LGPD surge não apenas no âmbito da conservação dos dados dos clientes como também de seus próprios colaboradores.

Assim como em diversos ramos de atividade, os escritórios de contabilidade também precisarão se adequar às determinações da LGPD tornando-se, por conseguinte, fundamental a implementação de instrumentos, bem como sistema de controle a aplicabilidade da legislação.

Ademais, será necessário que a empresa também realize treinamento adequado aos seus colaboradores, de acordo com a função que exerce, para garantir a execução dos procedimentos.

Sobre este ponto é válido reprisar ainda a necessidade de adequar o funcionamento do escritório aos princípios mencionados, especialmente o princípio da adequação.

É necessário, ainda, diagnosticar como era realizada a captação, o tratamento e o armazenamento dos dados dos clientes até então, separando-se os dados pessoais dos dados pessoais sensíveis, bem como o sistema utilizado, especialmente aqueles que são armazenados em nuvem.

O desenvolvimento de uma política interna detalhada de proteção desses dados, definindo quem serão os responsáveis por receber os dados do cliente, além de manter os registros de acordo com a LGPD, bem como aquele que será responsável por obter e administrar o consentimento de seus clientes, será uma necessidade, uma vez que o próprio cliente irá exigir isso dos escritórios de contabilidade.

No mesmo sentido, é necessário estabelecer quem irá prestar esclarecimentos sobre o que fazer diante de uma infração ou conduta inesperada de violação de segurança.

Assim, listamos alguns cuidados que o escritório de contabilidade deverá se atentar:

(i) Autenticação no recebimento dos Dados do Cliente: Certifique-se quem é o responsável por receber os dados contábeis do cliente. Não receba por email. Utilize um sistema que seja possível realizar o upload e download das informações, devidamente criptografadas e certificadas.

(ii) Selecione e trate apropriadamente os dados, de acordo com o seu impacto: Se são apenas dados empresariais, não haverá impacto para a LGPD. Entretanto, se envolve o processamento de folha de pagamento, além dos dados pessoais normais, tais como o nome e demais identificadores do colaborador, é possível que sejam também fornecidos dados pessoais sensíveis (dados de saúde, por exemplo). Neste caso, o tratamento destas informações merece um cuidado muito maior. No caso, sugerimos que apenas alguns poucos profissionais tenham autorização de processar folhas de pagamento e afins.

(iii) Utilize um software de auditoria: O monitoramento e a rastreabilidade da informação é essencial. Identificar onde e como um dado foi violado é um requisito da LGPD, pois a lei exige que as empresas adotem critérios de proteção para os dados pessoais. Assim, utilize um sistema que permita identificar e registrar quem teria processado um dado de forma equivocada ou que possa ter violado uma premissa de privacidade.

(iv) Indique um Encarregado de Dados: Conhecido também como Data Protection Officer (DPO), a LGPD exige que todas as empresas selecionem e apontem um profissional que seja o responsável por se relacionar não só com o titular dos dados, como também com a Agência Nacional de Proteção de Dados (ANPD). Não há uma orientação de qual qualificação este profissional deveria ter, mas sugere-se que tenha capacidade técnico-regulatória e componha um Conselho de Segurança, com colaboradores de diversas áreas da empresa, que irão lhe assessorar neste delicado posto.

(v) Formalize Políticas de Segurança: Regule a forma como os dados são captados e tratados dentro do escritório, junto a clientes e colaboradores. Lembre-se que a contabilidade atua como um Operador dos dados, ou seja, atua por conta e ordem de seus clientes, que são denominados pela LGPD como Controladores. Findo o processamento dos dados, eles poderão, ou até mesmo deverão, ser destruídos e/ou totalmente devolvidos ao cliente. Todo este processamento deverá estar escrito e esclarecido junto aos clientes e colaboradores, para evitar infrações à lei e manter a transparência com os clientes.

(vi) Seguro contra Ataques Cibernéticos: Por fim, ninguém está alheio a uma invasão ou um ataque cibernético. Assim sendo, sugerimos fortemente a contratação de uma apólice de seguros, a fim de prevenir grandes perdas no caso de uma infração à privacidade que tenha sido causada, muitas vezes, por um descuido de um colaborador, ao abrir um email malicioso de forma desavisada. Sugerimos também que a seguradora escolhida também ofereça um atendimento de resposta a incidentes, muito importante no caso de infração.

Decerto, a LGPD trará grandes mudanças na estrutura de relacionamento entre empresas e escritórios de contabilidade. Contudo, também trará grandes oportunidades de crescimento e transparência, especialmente diante das condutas preventivas que precisam ser adotadas antes que a lei entre em vigor, como forma de minimizar ou até mesmo prevenir a incidência das severas penalidades, além da perda da reputação, cujo valor é inestimável e, muitas vezes, irrecuperável.