JC Contabilidade

Escritórios de contabilidade devem estar preparados para a LGPD

Lei Geral de Proteção de Dados entrará em vigor em agosto de 2020 e exige adaptação das rotinas

Por Roberta Mello

Norma entrará em vigor em agosto de 2020 e vem para garantir o cumprimento de tendência internacional
As informações são consideradas um dos principais ativos atualmente. Elas passaram a ser disputadas pelas diferentes organizações e o seu uso indevido tem motivado a criação de legislações que garantam o direito dos usuários sobre seus dados. No Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020, vem para garantir o cumprimento dessa tendência internacional e colocar o País em consonância com outras nações.
Nesse cenário, o escritório de contabilidade guarda um verdadeiro tesouro dos clientes. Todas as informações contábeis, fiscais e financeiras de empresas e seus colaboradores, pessoas físicas e seus familiares, podem passar por ele. Todo contador processa dados pessoais diariamente e, portanto, também deve cumprir a LGPD.
Notícias sobre contabilidade são importantes para você?

Instâncias de controle da conformidade são essenciais

Um dos principais investimentos a serem feitos nas organizações contábeis deve ser a criação de alguma figura responsável pela segurança das informações armazenadas e geradas. Seja através da implementação de um comitê de segurança ou da definição de agentes de tratamento de dados pessoais, previstos na lei.
De acordo com especialistas, a LGPD exigirá a implementação de mecanismos internos e sistemas de controle para garantir a conformidade nos escritórios de contabilidade. Também será preciso gerar evidências documentais para provar que o sistema funciona para um auditor interno e externo. A empresa terá de seguir uma política de proteção dos dados e todo o pessoal precisará de treinamento adequado ao seu papel para garantir que eles entendam esses procedimentos.
A assessora jurídica da Fenacon, Dayanna Diniz, explica que os agentes de tratamento de dados pessoais estão divididos nas figuras do controlador e do operador, que podem ser uma pessoa física ou jurídica, de direito público ou privado. "Ao controlador competem as decisões referentes ao tratamento de dados pessoais, enquanto, ao operador, a realização do tratamento em nome do primeiro. O contador se encaixaria na figura do operador, que, por exemplo, deve basicamente obedecer a lei e as ordens do controlador", diz Dayanna.
Inspirada no Data Protection Officer (DPO) criado pelo regulamento europeu, a LGPD também cria a figura do encarregado pelo tratamento de dados pessoais, um indivíduo indicado pela empresa que figura como canal de comunicação entre ela, os titulares de dados e a Autoridade Nacional. É esse indivíduo o responsável por orientar colaboradores da empresa acerca das práticas relativas à proteção de dados, prestar esclarecimentos aos titulares de dados, receber comunicações da Autoridade Nacional e tomar as providências cabíveis.
Mesmo que a Autoridade Nacional responsável por fiscalizar a conformidade das organizações com a LGPD ainda não tenha sido criada, a especialista não vê motivos para esperar esse fato para começar a se adequar à legislação. "O tempo de adequação está sendo esse período de vacatio legis (período que decorre entre o dia da publicação de uma lei e o dia em que ela entra em vigor). Dessa forma, acredito que as fiscalizações não devem demorar, pois as empresas e a sociedade poderão realizar as devidas adaptações nesse período", sustenta Dayanna.

Veja como a lei impacta as empresas e quais medidas devem ser tomadas:

  1. Consentimento no recolhimento e uso de dados - A única pessoa que pode autorizar os escritórios de contabilidade a usar os dados é o titular dos dados. Esse consentimento explícito deve ser reforçado especialmente em sistemas digitais.
  2. Diferenciação entre controlador e operador - A Lei também exige que as empresas definam quem irá fazer uso dos dados. Isso é determinado em dois níveis de trabalho: de controlador e de operador. A responsabilidade de cada um é diferente: o controlador direcionará o que será feito com os dados. Já o operador é quem lida com eles, na prática.
  3. Comitês de segurança da informação - Os escritórios de contabilidade devem criar um Comitê de Segurança da Informação para avaliação das medidas de proteção de dados próprios e dos clientes. Neste comitê haverá um profissional exclusivo, o Data Protection Officer, responsável pelo cumprimento da nova lei.
  4. Medidas de redução de exposição - A empresa contábil deve utilizar técnicas de segurança administrativas e de operações diversas, implementadas de forma ampla, para que todos os colaboradores possam praticar. Isso também é parte do trabalho do comitê de segurança da informação.
  5. Responsabilidade das terceirizadas - As organizações que tiverem subcontratadas devem exigir que elas também se adaptem às medidas de proteção de dados, porque estarão também sujeitas às sanções em casos de vazamentos. Assim, é fundamental ter clareza quanto aos procedimentos de segurança.
Fonte: Thomson Reuters

Armazenamento em nuvem pode trazer mais segurança

Como a maior preocupação da LGPD é com a segurança e o vazamentos de dados, um sistema de gestão em nuvem é capaz de dar a segurança que o contador precisa. Com o uso dessa ferramenta não é necessário guardar mais nada nos computadores ou no servidor da empresa, o que garante muito mais segurança, garante o gerente de Marketing Sênior da Thomson Reuters para América Latina, Adriano Ferreira.
Segundo Ferreira, pesquisa da Forbes aponta que, até 2020, 83% dos ambientes de trabalho ficarão na nuvem. Mas apenas contar com sistemas seguros não é suficiente.
Para se adaptar à LGPD, será necessário também "colocar ordem na casa", que, para Ferreira, consiste em mapear os dados, classificá-los, organizá-los de acordo com a base legal que autoriza o seu tratamento e, depois, torná-los mais seguros. "Devem ser adotadas várias mudanças, que podem garantir a adequação à lei e à proteção das atividades." Por isso, gerir adequadamente a documentação é fundamental para a comunicação entre clientes e o escritório contábil, ressalta o especialista.
O gerente da Thomson Reuters lembra, ainda, que o não cumprimento das definições da LGPD pode ter graves consequências às empresas de contabilidade. A lei define claramente multas e sanções significativas - desde comunicados e advertências até multas.
"E algumas dessas multas são bem pesadas podendo chegar a R$ 50 milhões por infração cometida, e podem impactar muito os escritórios de contabilidade. Assim, mesmo que a implementação de novas práticas gere muitas demandas, é melhor aderir a elas do que sofrer as penalizações", avisa Ferreira.

Médias e grandes devem investir em um gestor de projetos

Além do DPO (Data Protection Officer), ou Encarregado de Proteção de Dados, outra importante figura não tem recebido o mesmo destaque: o gestor de projetos, ou PMO (Project Management Office). Esse profissional é responsável por garantir as adequações necessárias à LGPD, em especial, nas médias e grandes empresas.
O diretor de Compliance na ICTS Protiviti, Jefferson Kiyohara, afirma que o processo de adequação inicia-se com um diagnóstico. "É fundamental entender qual o estágio atual da organização em termos de gestão da privacidade, mapear quais os dados pessoais utilizados e onde eles estão. A avaliação deve considerar três pilares: legal, TI e gestão/processos", enfatiza Kiyohara.
O produto final será um plano de implantação de melhorias ou um plano de adequações. É a partir deste momento que o PMO ganha relevância prática nas empresas. O papel de PMO poderá ser realizado internamente, quando as organizações possuem profissionais com tal expertise, ou mesmo terceirizados, seja em uma linha de reforçar as competências internas existentes ou em trazer aquelas que faltam.
"Não basta saber o que precisa ser feito. O importante é saber como deve ser feito. Ter visão de processos também é fundamental, de modo a garantir que as interconexões aconteçam, e os inputs, processamentos e outputs necessários sejam contemplados", ressalta Kiyohara. Por tudo isso, diz o especialista, é essencial que as organizações contemplem em seu plano de adequação à LGPD a figura do PMO e definam quem exercerá tal papel. Ele será o responsável por gerenciar com sucesso a implantação das melhorias necessárias e os elementos do Programa de Privacidade e Proteção de Dados Pessoais, que, posteriormente, será de responsabilidade do DPO.

Jornal do Comércio. Todos os Direitos Reservados