Um escritório de contabilidade guarda um grande número de informações sensíveis e importantes sobre seus clientes, como informações contábeis, fiscais e financeiras acabam estando sob o cuidado e responsabilidade do escritório. Estes dados tão importantes já há algum tempo geram uma preocupação a mais: a adaptação à LGPD na contabilidade.
O que é a LGPD?
A Lei Geral de Proteção de Dados está em vigência desde o dia 18 de setembro de 2020. Tem como objetivo proteger os dados pessoais físicos e digitais de empresas e cidadãos brasileiros.
As mudanças alteraram significativamente as obrigações das empresas quanto ao tratamento de informações pessoais.
A LGPD aplica-se a todas as pessoas físicas e jurídicas, públicas ou privadas que realizam atividades de tratamento de dados pessoais que ocorram ou estejam relacionadas a pessoas físicas localizadas no Brasil, que tenham por objetivo fornecer bens ou serviços no país ou que envolvam dados pessoais coletados aqui.
Assim como a GDPR (Regulamento Geral de Proteção de Dados), a LGPD tem alcance extraterritorial, e todas as empresas que atendem ao mercado brasileiro estão sujeitas à lei.
Seja o manuseio feito por colaboradores, funcionários de empresas terceirizadas, clientes e fornecedores, a finalidade foi aumentar a proteção à privacidade dos indivíduos e o controle sobre seus próprios dados.
Além disso, as empresas devem informar aos titulares sobre as condições em que seus dados são coletados e utilizados. Do contrário, o consentimento pode não ser válido.
Essa autorização pode, ainda, ser revogada a qualquer momento. Neste caso, as empresas devem interromper a coleta e/ou utilização de dados daquele titular.
Se o seu escritório de contabilidade ainda não se adaptou à LGPD, saiba que a empresa corre perigo jurídico.
As semelhanças entre a LGPD e a GDPR
A Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) são semelhantes nos quesitos:
- Aplicação extraterritorial: a LGPD se aplica a empresas não brasileiras que operam no Brasil, enquanto a GDPR se aplica a empresas não pertencentes à UE que operam na UE;
- Aplicação a pessoas, empresas, órgãos públicos e instituições de caridade em todos os setores e tamanhos;
- Aplicadas por reguladores: as Autoridades de Proteção de Dados em cada país da UE e a Autoridade Nacional de Proteção de Dados do Brasil.
LGPD na Contabilidade: os impactos nos escritórios
O impacto da LGPD nos escritórios de contabilidade é direto, já que conduzem informações importantes sobre seus clientes. Por estarem envolvidas com a regulamentação, devem ser adotadas várias mudanças, que podem garantir a adequação à lei e à proteção das atividades.
Para os escritórios contábeis, é mais importante ainda gerenciar os documentos dos clientes, já que são responsáveis por demonstrar a legalidade em suas operações como empresa.
Segundo dados da pesquisa Red Hat Global Tech Outlook, divulgados pelo site Channel 360 em novembro de 2022, quase metade (44%) das lideranças corporativas de todo o mundo aponta a segurança digital como a principal preocupação para 2023.
O não cumprimento das definições da LGPD, como garantir o consentimento do titular do dado a ser usado e informá-lo sobre como será usado, gera graves consequências às empresas de contabilidade.
A lei define claramente multas e sanções significativas: desde comunicados e advertências até multas. Algumas dessas multas podem, até mesmo, chegar a R$ 50 milhões por infração cometida, dependendo de sua magnitude.
Assim, mesmo que a implementação de novas práticas gere muitas demandas, é melhor aderir a elas do que sofrer penalizações.
A urgência da adaptação dos escritórios de contabilidade
Os escritórios de contabilidade devem se preparar diante do que a LGPD define como prioritário na proteção e gestão de dados. Veja, a seguir, como a lei impacta as empresas e quais medidas devem ser tomadas.
– Consentimento no recolhimento e uso de dados
Como citado anteriormente, a única pessoa que pode autorizar os escritórios de contabilidade a usá-los é o titular dos dados. Esse consentimento explícito deve ser reforçado especialmente em sistemas digitais.
– Diferenciação entre controlador e operador
A lei também exige a definição de quem faz uso dos dados. Isso é determinado em dois níveis de trabalho: de controlador e de operador. A responsabilidade de cada um é diferente: o controlador direciona o que será feito com os dados. Já o operador é quem lida com eles, na prática.
– Comitês de segurança da informação
Os escritórios de contabilidade devem criar um Comitê de Segurança da Informação para avaliação das medidas de proteção de dados próprios e dos clientes. Neste comitê, haverá um profissional exclusivo, o Data Protection Officer, responsável pelo cumprimento da nova lei.
– Medidas de redução de exposição
O escritório contábil deve utilizar técnicas de segurança administrativas e de operações diversas. Implementadas de forma ampla, todos os colaboradores precisam praticá-las. Isso também é parte do trabalho do comitê de segurança da informação.
– Responsabilidade das terceirizadas
Os escritórios de contabilidade que tiverem subcontratadas precisam exigir que elas também se adaptem às medidas de proteção de dados, já que essas empresas também estão sujeitas às sanções em casos de vazamentos. Assim, é fundamental ter clareza quanto aos procedimentos de segurança.
Como estar em conformidade com a LGPD?
- Defina claramente o fluxo de dados dentro da empresa
A primeira etapa é entender como sua organização coleta, usa e compartilha as informações pessoais dos clientes. Estude o processo e tente identificar insuficiências ou lacunas que possam levar ao não cumprimento.
Identifique quais informações pessoais você precisa para fins comerciais e certifique-se de coletar e processar apenas os dados necessários.
- Tenha transparência e clareza
Um requisito primário de conformidade com a LGPD é a transparência. Você deve se certificar de que os clientes saibam como, por que e quando você está coletando suas informações pessoais. O consentimento do titular dos dados é obrigatório ao coletar dados pessoais para qualquer finalidade.
- Relate uma violação de dados a tempo
Em caso de violação de dados, as organizações são obrigadas a relatar o incidente às autoridades reguladoras, bem como aos titulares dos dados.
A notificação deve incluir todas as informações, como o tipo de dados comprometidos, os riscos envolvidos e as medidas que estão sendo tomadas para mitigar os riscos.
Isso pode levar tempo, e muitas organizações agora estão implantando plataformas de conformidade automatizadas para conseguir isso.
- Mantenha o engajamento
Manter a sinergia da implementação é fundamental para o cumprimento da LGPD. Além disso, promover o engajamento pela proteção de dados envolvendo todos os colaboradores, prestadores de serviço e apoiadores que julgarem necessários é fundamental para a sustentabilidade da lei.
- Emita as certificações de segurança
É necessário que a organização certifique os processos de Segurança da Informação utilizando as normas:
- ISO 27001: norma para implementação de um sistema de gestão voltado para a segurança da informação;
- ISO 27701: visa agregar novos controles no sistema de gestão para garantir total privacidade, especificamente para dados pessoais.
Essa certificação garante que a empresa passou por um criterioso processo de auditoria e segue os modelos adequados em seu Sistema de Gestão de Segurança da Informação (SGSI).
Ações de segurança e apoio de tecnologia também são importantes para elevar a proteção, como no caso do Domínio Web, da Thomson Reuters, em que seu banco de dados está segurado 24 horas por dia, pelos servidores da Amazon, além de quatro backups diários.
Atualizações automáticas e proteção contra hackers, vírus, sequestro e roubo de dados.
Continue em nosso blog para mais materiais sobre LGPD na contabilidade e oriente seus clientes sobre as práticas que precisam ser adotadas para elevar a segurança em suas atividades.