Por Dentro da
Contabilidade
|
Escritórios de contabilidade devem estar preparados para a LGPD
Norma entrará em vigor em agosto de 2020 |
As informações são consideradas um
dos principais ativos atualmente. Elas passaram a ser disputadas pelas
diferentes organizações e o seu uso indevido tem motivado a criação de
legislações que garantam o direito dos usuários sobre seus dados. No Brasil, a Lei Geral de Proteção de Dados (LGPD), que
entrará em vigor em agosto de 2020, vem para garantir o cumprimento
dessa tendência internacional e colocar o País em consonância com outras
nações.
Nesse cenário, o
escritório de contabilidade guarda um verdadeiro tesouro dos clientes. Todas as
informações contábeis, fiscais e financeiras de empresas e seus
colaboradores, pessoas físicas e seus familiares, podem passar por ele. Todo
contador processa dados pessoais diariamente e, portanto, também deve cumprir
a LGPD.
A legislação se
aplica a todas as empresas que coletam, armazenam e processam dados, seja na
forma física ou digital. No caso de um escritório contábil, ele processa
não apenas dados pessoais de seus clientes, como também de seus funcionários.
O eSocial é um dos sistemas gerenciados pelos contadores que concatena uma
série de dados de colaboradores das empresas e até mesmo de seus familiares e
de ex-funcionários, que merecem sigilo e cuidado.
A diretora do Sindicato das
Empresas Contábeis do Estado do Rio Grande do Sul (Sescon-RS) e sócia do
Grupo Método, Patricia Arruda, lembra o desafio gerado pela previsão na
legislação de que deve haver autorização do titular da informação para a sua
utilização. "Imagina isso nas organizações contábeis, em que a gente
lida com o eSocial, mantém muitos dados e cede seu uso aos colaboradores dos
escritórios", pontua Patricia, salientando que o profissional pode,
inclusive, ser responsabilizado caso seu computador ou empresa seja invadido.
Por isso, antes de poder processar
qualquer dado, a organização deve satisfazer todos os princípios da LGPD. É
preciso provar o consentimento do cliente para que o contador possa reter,
registrar e armazenar seus dados pessoais e que tem infraestrutura para
manter a segurança de tais informações.
A assessora jurídica da Fenacon,
Dayanna Diniz, complementa que, diariamente, as pessoas têm seus dados
expostos - seja através de um e-mail, um histórico de compras ou de um telefone
pessoal. "Essa exposição exagerada e invasiva causa sérios problemas à
privacidade e à liberdade individual da pessoa e levantou uma bandeira de
alerta às autoridades brasileiras", recorda.
Além disso, diversas noticiais de
vazamento de informações de grandes empresas pelo mundo forçaram o judiciário
a tomar uma atitude. A legislação brasileira nasce no mesmo momento em que
outros países adotam leis semelhantes. "A LGPD foi inspirada na
Regulamentação Geral de Proteção aos Dados (GDPR) europeia. A GDPR se aplica
não só à comunidade europeia em si, mas também a todas as empresas que operam
no espaço econômico europeu", comenta Dayanna.
Segundo a LGPD, dado pessoal é
qualquer informação relacionada à pessoa natural identificada ou
identificável, como nome, endereço, data de nascimento, origem racial,
opinião política, dados genéticos. Com os recentes avanços tecnológicos,
também entram nessa lista outras informações, como e-mails, endereços de IP,
dados de localização, identificadores de cookies, entre outros.
O objetivo da lei é atualizar os
padrões de proteção de dados e garantir que todos os cidadãos brasileiros
sejam protegidos adequadamente contra violações de privacidade.
Instâncias de controle da
conformidade são essenciais
Um dos principais investimentos a
serem feitos nas organizações contábeis deve ser a criação de alguma figura
responsável pela segurança das informações armazenadas e geradas. Seja
através da implementação de um comitê de segurança ou da definição de agentes
de tratamento de dados pessoais, previstos na lei.
De acordo com especialistas, a LGPD
exigirá a implementação de mecanismos internos e sistemas de controle para
garantir a conformidade nos escritórios de contabilidade. Também será preciso
gerar evidências documentais para provar que o sistema funciona para um
auditor interno e externo. A empresa terá de seguir uma política de proteção
dos dados e todo o pessoal precisará de treinamento adequado ao seu papel
para garantir que eles entendam esses procedimentos.
A assessora jurídica da Fenacon,
Dayanna Diniz, explica que os agentes de tratamento de dados pessoais estão
divididos nas figuras do controlador e do operador, que podem ser uma pessoa
física ou jurídica, de direito público ou privado. "Ao controlador
competem as decisões referentes ao tratamento de dados pessoais, enquanto, ao
operador, a realização do tratamento em nome do primeiro. O contador se
encaixaria na figura do operador, que, por exemplo, deve basicamente obedecer
a lei e as ordens do controlador", diz Dayanna.
Inspirada no Data
Protection Officer (DPO) criado pelo regulamento europeu, a LGPD
também cria a figura do encarregado pelo tratamento de dados pessoais, um
indivíduo indicado pela empresa que figura como canal de comunicação entre
ela, os titulares de dados e a Autoridade Nacional. É esse indivíduo o
responsável por orientar colaboradores da empresa acerca das práticas
relativas à proteção de dados, prestar esclarecimentos aos titulares de
dados, receber comunicações da Autoridade Nacional e tomar as providências
cabíveis.
Mesmo que a Autoridade Nacional
responsável por fiscalizar a conformidade das organizações com a LGPD ainda
não tenha sido criada, a especialista não vê motivos para esperar esse fato
para começar a se adequar à legislação. "O tempo de adequação está sendo
esse período de vacatio legis (período que decorre entre o
dia da publicação de uma lei e o dia em que ela entra em vigor). Dessa forma,
acredito que as fiscalizações não devem demorar, pois as empresas e a
sociedade poderão realizar as devidas adaptações nesse período",
sustenta Dayanna.
Veja como a lei impacta as empresas
e quais medidas devem ser tomadas
Consentimento no recolhimento e uso
de dados - A única pessoa que pode autorizar os escritórios de
contabilidade a usar os dados é o titular dos dados. Esse consentimento
explícito deve ser reforçado especialmente em sistemas digitais.
Diferenciação entre controlador e
operador - A Lei também exige que as empresas definam quem irá fazer uso
dos dados. Isso é determinado em dois níveis de trabalho: de controlador e de
operador. A responsabilidade de cada um é diferente: o controlador
direcionará o que será feito com os dados. Já o operador é quem lida com
eles, na prática.
Comitês de segurança da informação
- Os escritórios de contabilidade devem criar um Comitê de
Segurança da Informação para avaliação das medidas de proteção de dados
próprios e dos clientes. Neste comitê haverá um profissional exclusivo,
o Data Protection Officer, responsável pelo cumprimento da nova
lei.
Medidas de redução de exposição - A empresa
contábil deve utilizar técnicas de segurança administrativas e de operações
diversas, implementadas de forma ampla, para que todos os colaboradores
possam praticar. Isso também é parte do trabalho do comitê de segurança da
informação.
Responsabilidade das terceirizadas
- As organizações que tiverem subcontratadas devem exigir que elas
também se adaptem às medidas de proteção de dados, porque estarão também
sujeitas às sanções em casos de vazamentos. Assim, é fundamental ter clareza quanto
aos procedimentos de segurança.
Fonte: Thomson Reuters
Armazenamento em nuvem pode trazer
mais segurança
Como a maior preocupação da LGPD é
com a segurança e o vazamento de dados, um sistema de gestão em nuvem é capaz
de dar a segurança que o contador precisa. Com o uso dessa ferramenta não é
necessário guardar mais nada nos computadores ou no servidor da empresa, o
que garante muito mais segurança, garante o gerente de Marketing Sênior da
Thomson Reuters para América Latina, Adriano Ferreira.
Segundo Ferreira, pesquisa da
Forbes aponta que, até 2020, 83% dos ambientes de trabalho ficarão na nuvem.
Mas apenas contar com sistemas seguros não é suficiente.
Para se adaptar à LGPD, será
necessário também "colocar ordem na casa", que, para Ferreira,
consiste em mapear os dados, classificá-los, organizá-los de acordo com a
base legal que autoriza o seu tratamento e, depois, torná-los mais seguros.
"Devem ser adotadas várias mudanças, que podem garantir a adequação à
lei e à proteção das atividades." Por isso, gerir adequadamente a
documentação é fundamental para a comunicação entre clientes e o escritório
contábil, ressalta o especialista.
O gerente da Thomson Reuters
lembra, ainda, que o não cumprimento das definições da LGPD pode ter graves
consequências às empresas de contabilidade. A lei define claramente multas e
sanções significativas - desde comunicados e advertências até multas.
"E algumas dessas multas são
bem pesadas podendo chegar a R$ 50 milhões por infração cometida, e podem
impactar muito os escritórios de contabilidade. Assim, mesmo que a
implementação de novas práticas gere muitas demandas, é melhor aderir a elas
do que sofrer as penalizações", avisa Ferreira.
Médias e grandes devem investir em
um gestor de projetos
Além do DPO (Data Protection
Officer), ou Encarregado de Proteção de Dados, outra importante figura
não tem recebido o mesmo destaque: o gestor de projetos, ou PMO (Project
Management Office). Esse profissional é responsável por garantir as
adequações necessárias à LGPD, em especial, nas médias e grandes empresas.
O diretor de Compliance na ICTS
Protiviti, Jefferson Kiyohara, afirma que o processo de adequação inicia-se
com um diagnóstico. "É fundamental entender qual o estágio atual da
organização em termos de gestão da privacidade, mapear quais os dados
pessoais utilizados e onde eles estão. A avaliação deve considerar três
pilares: legal, TI e gestão/processos", enfatiza Kiyohara.
O produto final será um plano de
implantação de melhorias ou um plano de adequações. É a partir deste momento
que o PMO ganha relevância prática nas empresas. O papel de PMO poderá ser
realizado internamente, quando as organizações possuem profissionais com tal
expertise, ou mesmo terceirizados, seja em uma linha de reforçar as
competências internas existentes ou em trazer aquelas que faltam.
"Não basta saber o que precisa
ser feito. O importante é saber como deve ser feito. Ter visão de processos
também é fundamental, de modo a garantir que as interconexões aconteçam, e os
inputs, processamentos e outputs necessários sejam contemplados",
ressalta Kiyohara. Por tudo isso, diz o especialista, é essencial que as
organizações contemplem em seu plano de adequação à LGPD a figura do PMO e
definam quem exercerá tal papel. Ele será o responsável por gerenciar com
sucesso a implantação das melhorias necessárias e os elementos do Programa de
Privacidade e
Proteção de Dados Pessoais, que, posteriormente, será de responsabilidade do DPO.
Fonte: Jornal do Comércio (RS) - Roberta Mello.
|
CONSULTORIA CONTÁBIL E FISCAL TRIBUTÁRIA - Assuntos tributários: ICMS * ISS ** IPI ** PIS ** COFINS ** Simples Nacional** NF-e ** NFS-e ** EFD-ICMS/IPI e EFD-Contribuições ** Sped Contábil - Contabilidade **
Nenhum comentário:
Postar um comentário