LGPD e a auditoria externa independente

A Lei Geral de Proteção de Dados Pessoais - Lei 13.709/2018, mais comumente conhecida como LGPD - estabelece regras com relação à coleta, armazenamento, tratamento e compartilhamento de dados pessoais. A LGPD não é novidade para muitas empresas, pois desde sua promulgação, houve um movimento grande no mercado para implementação e adequação à regulamentação dos seus sistemas e controles internos.

Em 1º de agosto de 2021, entretanto, entraram em vigor os artigos 52, 53 e 54 da LGPD, que se referem às punições e multas aplicadas quando da fiscalização pelos órgãos reguladores. As empresas que a descumprirem ficam sujeitas a sanções administrativas que incluem advertência, multa simples, de até 2% do faturamento, limitada a R$ 50 milhões por infração, multa diária, bloqueio ou eliminação dos dados pessoais a que se refere a infração. Também consta na relação de penalidades a publicação da violação após devidamente apurada e confirmada, fato que poderá ter um forte impacto sobre a reputação da organização com relação a sua credibilidade e, consequentemente, uma perda de consumidores, fornecedores, vendas e mercado. A fiscalização e aplicação das punições estará sob a responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao governo federal.

Além dos órgãos reguladores, por conta da representatividade dos potenciais impactos relacionados à violação da LGPD, o assunto deve ter atenção especial por parte dos auditores externos independentes. O Conselho Federal de Contabilidade (CFC) divulgou a Norma Brasileira de Contabilidade CTA 30 - correlação ao Comunicado Técnico Ibracon 03/21, que dispõe sobre orientação aos auditores independentes quanto à abordagem e impactos na auditoria de demonstrações financeiras de entidades envolvidas em assuntos relacionados à não conformidade ou a suspeitas de não conformidade com leis e regulamentos, incluindo atos ilegais ou fraude. Essa norma destaca a LGPD, em seu parágrafo 8, em uma lista não exaustiva de Leis nas quais o não cumprimento deixam as empresas expostas a litígios e fiscalizações.

Ainda que a CTA 30 não vise alterar substancialmente o escopo de uma auditoria, o auditor externo deve considerar em seu planejamento circunstâncias que exijam a revisão da extensão de seu trabalho. A não implementação da LGPD pelas empresas, aliada a inspeções dos órgãos fiscalizadores, deve gerar discussões entre o auditor independente e essas empresas sobre a avaliação dos potenciais impactos nos controles internos, nas demonstrações financeiras e, inclusive, no relatório do auditor. É importante frisar que as consequências para a empresa por violações e não cumprimento de leis e regulamentos em relação à conclusão do auditor são extensas, como a comunicação com órgãos de governança, necessidade das entidades de incluir comentários em notas explicativas, de realizar provisões nos casos em que o não cumprimento da LGPD possa acarretar perdas prováveis para a entidade. O auditor deve ficar atento a esses assuntos, uma vez que, nos casos mais relevantes, a inclusão de parágrafo de ressalva pode ser necessária.

Em suma, empresas que não estão adequadas à LGPD, além das penalidades impostas como resultado de fiscalização, poderão ter impactos contábeis refletidos nas demonstrações financeiras. O auditor externo independente deve ficar atento ao cumprimento dessa lei por parte dos seus clientes, considerando tal assunto, tanto em seu planejamento quanto em suas conclusões, recomendando-se fortemente a discussão antecipada entre empresa e auditor.

Integrante da Comissão de Estudos de Auditoria independente do CRCRS