Informações são, atualmente, um dos principais ativos das empresas. Passaram a ser disputadas pelas várias organizações e, para evitar uso indevido ou vazamento, leis e legislações estão sendo criadas ao redor do mundo. No Brasil estes esforços estão centrados na Lei Geral de Proteção de Dados Pessoais (LGPD), que deverá entrar em vigor, até segunda ordem, em 3 de maio de 2021, deixando nosso país em consonância com os principais países do mundo.
Com relação aos escritórios de contabilidade podemos dizer que são um dos grandes “tratadores” de dados de seus clientes e de seus próprios dados. Informações contábeis, financeiras e fiscais de empresas e de seus colaboradores, pessoas físicas e de seus familiares passam pelo contadores e, portanto, devem cumprir os requisitos da LGPD. O eSocial é um dos muitos sistemas gerenciados pelos escritórios contábeis, manuseando dados pessoais não só de clientes mas também de seus funcionários, merecendo assim todo cuidado para manuseio e guarda.
Para processar qualquer dado, o “consentimento” formal do cliente (pessoa física) deve ser registrado e controlado antes de qualquer uso dos dados, além da necessidade de desenvolver estrutura de segurança da informação. Esse consentimento deve ser obtido pelo cliente do escritório que envia os dados a serem trabalhados e o escritório deve cobrar essa informação porque será responsável por um possível vazamento tanto quanto o cliente.
Um dos principais investimentos a ser feito nas organizações contábeis, assim como em qualquer outro tipo de empreendimento, deve ser a criação de um responsável pela segurança das informações armazenadas e/ou geradas. A Lei exige uma série de mecanismos internos e sistemas de controle para garantir a conformidade e será necessário gerar evidencias documentais para provar que o sistema funciona para auditores internos e externos. Os atores criados pela Lei, Controlador e Operador de dados, dividem as responsabilidades pelo controle e qualidade dos dados, sendo que o controlador determina o que deve ser feito e o operador executa o tratamento em nome do primeiro. Esses atores podem, conforme definição da lei, ser pessoas físicas ou jurídicas. O contador exerce neste contexto o papel de operador que deve obedecer a lei e as definições do controlador, que é o cliente.
Então, como a lei impactará as empresas e que medidas deverão ser tomadas? Vamos discutir alguns pontos principais:
– Recolhimento, uso e consentimento dos dados. Somente o titular dos dados pode autorizar os escritórios contábeis a usar seus dados. O consentimento deve ser formal, explícito e, se possível, guardado em meio digital e salvo de possíveis perdas.
– Responsabilidades de terceiros. Quem tiver subcontratadas deve exigir que elas também se adaptem às medidas de proteção de dados porque estarão sujeitas as mesmas sanções em caso de vazamento ou mau uso. Todos são responsáveis.
– Distinção entre controlador e operador. Devem ser estabelecidas as duas funções sendo que o Controlador é responsável pelo que será feito com os dados; já o operador trabalha com os dados dentro das regras recebidas.
– Comitês de Segurança da Informação. Deve ser criado um comitê de segurança da informação para avaliação das medidas de proteção de seus dados próprios e de seus clientes. O Encarregado (DPO) é mais uma função criada pela lei e agirá como um intermediário entre o Controlador, o Cliente e a agencia de controle ANPD (Agencia Nacional de Proteção de Dados).
– Redução de exposição. Deve ser praticada uma forte política de segurança da informação, administrativa e operacional, de forma ampla e por todos os componentes da empresa. Treinamento é uma palavra chave para isso.
Mas atenção: manter um sistema de segurança e controle da informação pode não ser suficiente. É importante também “colocar a casa em ordem” e isso quer dizer : rever os processos operacionais, ajustar os procedimentos de guarda e descarte de informações, criar padrões de senhas e acesso aos equipamentos, criar uma consciência de segurança através de treinamento. Uma nova visão deve ser implantada e mantida por todos.
Isso nos leva a uma questão: Qual o estágio atual da empresa em termos de gestão de privacidade? Essa avaliação deve considerar três aspectos básicos: Legal, Tecnologia da Informação e Gestão de Processos. O produto final dessa avaliação será um plano de implementação de melhorias e revisão de processos. Não basta saber o que fazer mas como deverá ser feito.
O projeto LGPD é dinâmico e contínuo, com melhorias e ajustes constantes, não tendo um ponto final. A LGPD veio para ficar, não sendo apenas uma lei mas sim uma mudança de paradigma em termos de controle de informações.
O tempo para iniciar é já. O tempo não é nosso aliado. Estamos prontos a ajudar.
