Caro contabilista, se você não conseguiu responder a essa pergunta, seja porque não sabe o que é LGPD, ou porque não tem certeza do que é preciso fazer para se adequar ou ainda porque acreditava que isso não diz respeito ao seu escritório, esse artigo é para você.

O que é LGPD?

Primeiramente precisamos entender o que é a LGPD. Trata-se da lei nº 13.709, aprovada em agosto de 2018 e que trouxe uma série de obrigações a pessoas físicas ou jurídicas, quando estas realizam tratamento de dados pessoais nas suas operações de negócios.

Por dado pessoal a lei define como toda informação que possa de forma direta ou indireta identificar uma pessoa natural, ou seja, informações como nome, CPF, RG, endereço, profissão e até informações não tão obvias, como características físicas, endereço IP do computador, dentre outras.

Por tratamento de dado pessoal a lei define como qualquer atividade que utilize o dado pessoal para ser realizada, nesse ponto ela traz uma relação de vinte verbos que passam pela coleta, armazenamento, processamento, transmissão e a eliminação do dado pessoal.

Elucidado o conceito de tratamento de dados pessoais, fica claro que os escritórios contábeis realizam tratamento de dados pessoais nas suas atividades operacionais, logo as determinações impostas pela lei devem ser observadas e atendidas pelos escritórios.

“A lei foi criada com o intuito de garantir a privacidade das pessoas naturais, determinando que as empresas, ao se utilizarem de dados pessoais prezem pela manutenção dessa privacidade, adotando medidas eficazes de proteção dos dados utilizados.”

Um ponto importante é que a lei quebra um paradigma no que diz respeito a posse dos dados que as empresas utilizam, havia uma falsa percepção de que todos os dados que uma empresa utiliza são seus, porém quando se trata de dados pessoais, a lei deixa muito claro que esses dados não pertencem a organização, foram apenas cedidos pela pessoa ao qual eles se referem para a execução a atividade contratada e a sua utilização deve respeitar os direitos do dono desse dado, que a lei chama de titular de dado pessoal.

A lei propicia o empoderamento do titular de dado pessoal, obrigando a empresa ser o mais transparente possível nas atividades de tratamento de dados pessoais que realiza, sendo que nenhuma atividade de tratamento pode ser executada sem a ciência do titular do dado. Importante destacar que a lei traz dez princípios que devem ser respeitados pelas empresas quando realizarem as atividades de tratamento de dados pessoais e que cada tratamento seja realizado a partir do enquadramento deste em uma das dez hipóteses legais por ela definidos, ou seja, se o tratamento ferir algum dos princípios ou não possuir uma hipótese legal que permita sua realização, esse não deve ser realizado.

Como se adequar?

Uma vez que a gestão do escritório contábil esteja consciente que a lei diz respeito a sua empresa, esta deve buscar a sua adequação, a seguir são listados os principais aspectos a serem observados nesse processo:

Identificação dos titulares

Um escritório contábil trata dados de pelo menos três categorias de titulares de dados pessoais:

• Colaboradores: os seus funcionários são pessoas naturais e os seus dados são utilizados pelo escritório contábil na relação empregado-empregador, isto desde o momento da sua contratação, passando pelas rotinas mensais de RH e não findando com a sua demissão, uma vez que a empresa deve manter os dados de ex-colaboradores por prazo legal determinado.
• Clientes pessoas físicas: os clientes pessoas físicas, que contratam o escritório contábil para realização de trabalhos contábeis, como a Declaração do Imposto de Renda tem os seus dados pessoais tratados por essa organização.
• Clientes pessoas jurídicas: os clientes pessoas jurídicas, por sua vez enviam dados dos seus colaboradores e clientes pessoas físicas para que o escritório contábil possa realizar suas atividades, dessa forma há atividade de tratamento nessa prestação de serviços também.

Mapeamento dos processos

Uma das atividades mais importantes para adequação a LGPD constitui no mapeamento dos processos das atividades que realizam tratamento de dados pessoais. A partir do mapeamento de cada processo, informações importantes são levantadas, como: quais dados pessoais são utilizados, qual o objetivo do tratamento, qual duração do tratamento, quais riscos a privacidade que a atividade incorre e quais são as medidas de segurança adotadas pela empresa.
Importante destacar que a lei obriga a empresa a manter um Registro da Operações de Tratamento de Dados Pessoais, esse registro apoiará a empresa em outras obrigações impostas pela lei.

Gerenciamento dos riscos

Como a lei visa a proteção dos dados pessoais, é importante que seja realizado um gerenciamento eficaz dos riscos que as atividades de tratamento incorrem, para tanto a empresa deve tratar os riscos identificados no mapeamento de processos e implementar respostas adequadas a esses riscos, de tal forma que a privacidade do titular seja assegurada.

Vale destacar aqui que a lei impõe a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais, que demonstra quais são as atividades de tratamento realizadas, quais riscos essas atividades estão sujeitas e quais medidas protetivas a empresa adotou.

Resposta a incidentes

A lei traz algumas obrigações a empresa quando ocorrer algum incidente a segurança da informação, para o atendimento dessas obrigações é importante que a empresa possua um plano de resposta a incidentes previamente definido e treinado, uma vez que o incidente ocorrer a empresa conseguirá responder a esse incidente de forma rápida e eficaz, conforme determina lei.

Direito de resposta dos titulares

Outro ponto importante diz respeito ao atendimento aos direitos dos titulares, a lei define uma série de direitos de solicitações aos titulares, relacionados aos seus dados pessoais que são tratados pela empresa. Para atender a esse ponto a empresa deve estabelecer procedimentos que definam como, quando e por quem os diretos dos titulares serão atendidos.

Encarregado

A lei determina ainda que a empresa nomeie e divulgue um profissional que se tornará o encarregado pelo tratamento de dados pessoais no âmbito da organização. Esse profissional tem como objetivo garantir que a lei está sendo cumprida em toda organização.

Programa de governança em privacidade

Para o pleno atendimento as obrigações e responsabilidades impostas pela LGPD, a empresa deve instituir um programa de governança em privacidade, contemplando:

• Definição de políticas;
• Estabelecimento de procedimentos;
• Atribuição de responsabilidades;
• Gerenciamento contínuo dos riscos;
• Realização de treinamentos;
• Instituição de indicadores de monitoramento;
• Realização de auditorias.

Um aspecto muito importante da lei está no princípio da responsabilização e da prestação de contas, ou seja, toda organização ao realizar o tratamento de dados pessoais, deve adotar boas práticas de segurança e a adoção dessas práticas deve ser clara e transparente, bem como os resultados da eficácia dessas práticas e isso só é possível por meio de um programa de governança em privacidade.

Referências

Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei 13.709 de 14 de agosto de 2018.