Lei Geral de Proteção de Dados (LGPD)

Prévia do material em texto

Técnico em contabilidade
Lei Geral de Proteção de Dados (LGPD)
Introdução
A seguir, você verá em maiores detalhes os porquês de justificarem a criação desta lei (seu
objetivo), suas principais sanções quando não respeitada e orientações para segurança de dados
corporativos.
Objetivos e conceitos
No ano de 2018, a Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709, foi sancionada e,
desde então, as empresas já vinham se articulando para conseguir adaptar seus processos e
infraestrutura ao que preconiza a lei. Após três anos de vigência, mudanças no texto e todas as regras
e artigos ativados, já se sabe que as empresas que não cumprirem com a legislação estarão sujeitas a
penalidades e multas.
A LGPD tem por objetivo regular o uso de dados e as informações pessoais por empresas e,
assim, garantir segurança e proteção ao cidadão e aos seus dados. A lei orienta que empresas
privadas e também órgãos públicos precisam alterar o modo como coletam, armazenam, usam e
compartilham os dados das pessoas. Portanto, a lei foi criada para dar maior privacidade e nitidez no
que tange à manipulação das informações, e, inclusive, possibilitando ao cidadão a consulta gratuita
para descobrir de que forma essas informações são utilizadas pelas empresas ou pelos órgãos.
Com base nessa consulta, é possível ao cidadão solicitar a exclusão de seus dados do sistema
onde são armazenados e divulgados/comercializados. Por ser muito recente, a LGPD, desde que foi
criada, tem preocupado as empresas que ainda estão se adequando às novas diretrizes impostas pela
lei. O não cumprimento das regras previstas nos artigos impõe sanções administrativas que serão
detalhadas a seguir.
Sanções
Para que a empresa evite ser punida pela LGPD por usar indevidamente dados e informações de
seus titulares, ela precisa investir em setores jurídico e de tecnologia da informação atuantes e
conhecedores do que preconiza a lei, para assim evitar problemas futuros por uso indevido de dados.
Um ponto-chave para evitar problemas com o uso de dados indevidamente é ter uma
transparência ativa, permitindo ao cidadão consultar sem dificuldades quais dados são
usados/divulgados pela empresa, o que evitará processos e/ou multas para a empresa no futuro.
É importante destacar que não somente empresas que lidam com dados eletrônicos estão sujeitas
às regras da LGPD (como, por exemplo, empresas que criam algum aplicativo gratuito que requer
autorização ao usuário para ter acesso às pastas de fotos, vídeos, entre outras informações pessoais
do usuário). É necessário também ter atenção à gestão de dados pessoais no formato físico.
Um bom exemplo é a declaração de imposto de renda feita pelo escritório de contabilidade e que
fica salva virtualmente no programa da receita instalado no computador do escritório. A declaração
também pode ser impressa fisicamente, e, nesse caso, o escritório precisa estar ciente de que esses
dados não podem ser divulgados sem autorização do cliente (seja eletrônica ou fisicamente).
Quanto ao órgão responsável pela aplicação das sanções administrativas, é a Autoridade
Nacional de Proteção de Dados (ANPD) que impõe as penalidades, as quais podem variar desde
uma advertência até um bloqueio total dos dados. Veja a seguir o que diz o texto:
Como se trata de uma lei relativamente recente, é natural que muitas empresas ainda não
tenham se adaptado completamente ao que é exigido na LGPD, e isso preocupa muitos gestores com
relação às sanções que podem ser aplicadas. Existem punições mais brandas, como uma simples
advertência, contudo, também há sanções mais pesadas, como multas, que podem chegar ao valor de
R$ 50 milhões.
ANPD – Artigo 52
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas
previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade
nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado,
grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$
50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
[...].
Como visto no artigo citado, a partir da LGPD, o cidadão passa a ter maiores garantias quanto ao
seu direito à privacidade, e pode pedir a eliminação dos seus dados do servidor de empresas que ele
julga não aptas a se relacionar ou a guardar tais informações pessoais. É possível também gerenciar
melhor o que será compartilhado e com quem, isto é, o poder de decisão na divulgação dos dados
totais e/ou parciais e para quem está nas mãos do titular dos dados referidos.
Engana-se quem pensa que somente a relação empresa e cliente externo se enquadre nessa lei,
gerando também impactos na relação da empresa com os dados de seus colaboradores e parceiros de
negócios.
Para evitar advertências e multas, as empresas privadas e públicas devem investir no seu setor de
tecnologia da informação (TI), tendo à disposição um supervisor ou gestor de proteção de dados. Essa
ação visa a manter um bom controle quanto ao que pode e ao que não pode ser manuseado e
divulgado pela empresa, à medida que os pedidos de bloqueio no compartilhamento realizado pelos
titulares chegam no setor de TI.
A seguir, veja resumidamente as principais diretrizes que orientam a LGPD e algumas dicas de
como seguir essas diretrizes.
Diretrizes
A LGPD tem por diretriz mudar ou adaptar processos em empresas privadas e públicas,
independentemente do seu porte, de todo o território nacional, e que trabalham com dados pessoais
dos cidadãos da empresa.
Nesse contexto, se a empresa que tiver dados pessoais em sua posse tiver uma infraestrutura
jurídica atualizada e um setor de TI atuante, isso facilitará a implementação das diretrizes ou regras
descritas na LGPD.
Também é bom ressaltar que, segundo o artigo 4.º, a lei não se aplica ao tratamento de dados
pessoais nos seguintes casos:
ANPD – Artigo 4.º
I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II – realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7.º e 11 desta Lei;
III – realizado para fins exclusivos de:
a) segurança pública;
Como já mencionado anteriormente, a tecnologia da informação pode ajudar as empresas a
respeitarem o que prega a LGPD. Empresas menores como pequenos varejos e prestadores de
serviços precisam estar atentos à proteção dos dados de seus clientes, sejam dados eletrônicos ou
físicos, pois, por serem pequenos empreendimentos, geralmente não contam com setores jurídico e de
TI, sendo algo inexistente ou terceirizado apenas quando necessário.
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; [...]
[...].
É possível também, em caso de dificuldades na implementação de processos, no entendimento da
lei ou na manutenção da base de dados pessoais corporativos, procurar órgãos de apoio como o
Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae) para auxiliar em consultorias e
orientações.
Veja um resumo, para compreender melhor:
Aplicação da lei
A LGPD deve ser cumprida por empresas que atuam em território nacional e que recolhem dados
pessoais.
Principais vantagens para o cidadão
Permite que os titulares dos dados compartilhados, solicitem a qualquer momento a correção das
informações divulgadas.
Solicitações
Quando solicitado pelo titular, o órgão que coletou os dados deve informar o motivo da coleta de
dados e se houve ou não tratamento com base nos dadosfornecidos, para, então, o titular decidir se
aceita ou não o compartilhamento.
Como prevenir
A organizações privadas e públicas devem propor medidas ou regras para precaver ou evitar
falhas na segurança dos dados em seu poder, a fim de evitar o vazamento de informações.
Autorização de uso
Qualquer dado ou informação pessoal poderá ser utilizada somente após autorização feita pelo
titular dos dados.
Infraestrutura
As organizações privadas e públicas precisam se comprometer e investir em medidas de
governança e proteção dos dados de seus clientes.
Sanções da LGPD
Se houver algum vazamento de dados do titular ou descumprimento da lei por alguma
organização, os valores podem variar de 2% do faturamento do negócio até o limite de R$ 50 milhões
em multa.
Do ponto de vista prático, além de um setor jurídico e de um setor de TI, também recomenda-se
adotar programas de qualidade que busquem criar boas práticas no controle e na manipulação de
dados corporativos, como auditorias internas ou certificações ISO, por exemplo. Vale lembrar, porém,
que as certificações ISO, por si só, não atendem a todas as diretrizes descritas na LGPD, contudo,
atendem à grande maioria de práticas sugeridas na lei, o que já é um bom começo para aquelas
empresas que ainda não sabem por onde começar a adaptação de seus processos segundo o que
prega a LGPD.
Observe em seguida uma abordagem sobre a integridade de dados corporativos e o impacto que
isso tem na veracidade e credibilidade das informações.
Veracidade e credibilidade das informações
Atualmente, a credibilidade de uma empresa é fundamental. É por meio da imagem da empresa
que muitos clientes resolvem comprar produtos ou adquirir serviços.
Nesse sentido, sempre que possível, é recomendada a adoção de auditorias externas para
aumentar ainda mais o nível de credibilidade da empresa perante o mercado e seus clientes.
Para um escritório de contabilidade isso tem um valor de mercado muito significativo, pois as
empresas de contabilidade/auditorias são responsáveis por auditar outras empresas, testando o nível
de veracidade e credibilidade nas informações auditadas por elas. É bom lembrar que os próprios
escritórios de contabilidade também podem contratar uma auditoria externa para serem qualificados
como bons prestadores de serviço contábil aos seus clientes em potencial.
Com relação à LGPD, o recomendado seria adotar uma auditoria externa específica para testar o
nível de segurança dos dados corporativos da empresa. Nesse caso, seria contratada uma empresa
especializada em auditorias de sistemas de informação, que buscaria analisar e verificar os aspectos de
toda infraestrutura de TI da empresa, assegurando, assim, maior integridade e veracidade dos dados
guardados nos servidores e manuseados pelos computadores da empresa.
Escritórios de contabilidade, por se tratarem de negócios que manipulam dados e informações
financeiras de outras empresas, respondendo legalmente pelos dados e pelas informações geradas e
guardadas no escritório, precisam de uma boa política de proteção de dados corporativos e de boas
práticas contábeis também, o que reflete diretamente na credibilidade do escritório.
Quando o histórico de erros/falhas nos registros contábeis dos clientes, de vazamento de dados e
informações e de não conformidade em auditorias externas é baixo ou nulo, a empresa de contabilidade
transmite uma imagem de segurança e transparência, de maior credibilidade e veracidade nos serviços
prestados, sendo algo que pode ser construído aos poucos partir de certificações, manuais de boas
práticas contábeis do escritório e de políticas de proteção e segurança de dados corporativos, avaliadas
por meio de auditorias externas periódicas.
O próximo tópico detalhará melhor sobre a segurança de dados corporativos. O vazamento de
dados é um grave problema enfrentado nos últimos anos por várias empresas e pela população em
geral, sendo o principal fator que deu origem à criação da LGPD no país.
Segurança de dados corporativos
Portanto, considerando o porte da empresa e o tamanho dos dados corporativos que serão
armazenados por ela, é recomendável criar um setor de TI robusto, ou até mesmo contratar uma
empresa especializada em segurança de dados corporativos.
Portanto, quando a empresa não tem transparência em suas atividades, isso pode inviabilizar
parcerias de negócios, perda de fatia de mercado e problemas quanto à veracidade das informações
divulgadas.
Independentemente da estratégia adotada, os ganhos serão sempre positivos quando a empresa
contém um bom nível de segurança de informação atrelado a auditorias externas que podem torná-la
uma referência em proteção de dados dos seus clientes.
Uma boa dica a ser adotada no escritório de contabilidade é primeiramente criar políticas e
diretrizes internas por meio de um programa de segurança de dados corporativos. Tendo a LGPD como
norteadora, vários manuais ou formulários podem ser criados, tais como:
Políticas de segurança dos dados corporativos do escritório de contabilidade
Políticas de privacidade dos dados corporativos do escritório de contabilidade
Políticas de classificação e retenção de dados corporativos de clientes e parceiros de
negócios
Política de retenção dos dados corporativos (cronograma de retenção e guarda de
documentos)
Formulário de consentimento/autorização do titular para guarda e uso de dados pessoais
(quando necessário)
Indicadores de segurança e privacidade dos dados corporativos
Código de conduta para uso de dados corporativos pelos colaboradores do escritório de
contabilidade
Treinamentos periódicos dos grupos de trabalho (jurídico, TI, auditorias internas,
relacionamento com o cliente etc.)
Como já mencionado nos tópicos anteriores, a integridade e veracidade dos registros contábeis é
algo que qualquer cliente espera do seu contador. Nesse sentido, quando se fala em segurança de
dados corporativos, o foco será sempre, portanto, esses dois princípios fundamentais: a integridade,
ou seja, a segurança na guarda de dados, e a veracidade das informações guardadas e manipuladas.
Isso gera automaticamente maior ou menor credibilidade da empresa de contabilidade detentora
das informações, dependendo do nível de governança corporativa que ela adote.
Mesmo que você esteja atuando como técnico em um escritório de contabilidade ou trabalhando
em uma empresa no setor da contabilidade, você lidará todos os dias com dados e informações
pessoais de clientes e fornecedores, sejam esses dados nos formatos eletrônico ou físico. Portanto,
tudo que passar pelas suas mãos ou pelo seu computador precisa ser manipulado com o máximo
cuidado para não gerar transtornos futuros para a empresa na qual você trabalha.
Um bom exemplo seria o de alguns e-commerces, que contam com um ponto de venda virtual
(PDV) para compras por cartões específicos, como o cartão BNDES. Muitos empresários usam este
tipo de cartão, e, por isso, nos setores financeiro ou de contabilidade da empresa, há um funcionário
que tem acesso à plataforma BNDES e efetuará a transação de compra. Para efetuar essa transação,
as informações do cartão, como CNPJ, razão social, número do cartão, data de validade e código de
segurança, são encaminhadas via e-mail para esse funcionário.
Esse é um bom exemplo de dados pessoais que não podem vazar ou ser divulgados após a
transação ser concretizada, incluindo os dados referentes ao que o cliente comprou e qual a quantia
gasta. Sabe-se que muitas empresas de marketing têm grande interesse nesses históricos de compras
de clientes para formação de perfil de compra, e isso não pode ser divulgado sem a autorização do
titular dos dados.
Por isso, o setor de TI tem grande responsabilidade em evitar que esses dados, que são trocados
via e-mail, salvos no software contábil ou guardados nos servidores da empresa, sofram algum ataque
cibernético e vazem para o domínio público, pois, como já detalhado anteriormente, as sanções podem
ser bem pesadas,dependendo do grau de descumprimento da LGPD.
Portanto, as informações guardadas, manipuladas ou geradas pelo escritório de contabilidade não
podem ser divulgadas para terceiros de forma alguma (a não ser em caso de atividades de
investigação e repressão de infrações penais, por exemplo).
Em resumo, a contabilidade trabalha com diversos documentos (declarações, extratos, certidões
etc.) e todos eles carregam dados pessoais de seus titulares, sejam eles pessoa física ou jurídica. Cabe
a você, quando manipular esses documentos ou informações eletrônicas, estar ciente de que esses
dados não podem sair do setor de contabilidade nem da empresa. Também, em caso de dúvida no
tratamento dos dados, é sempre aconselhável consultar o setor jurídico da empresa em conjunto com o
setor de TI, e minimizar assim os riscos de algum vazamento indevido de dados pessoais de clientes.
Encerramento
Você chegou ao final da reflexão proposta sobre a LGPD. Agora, você já sabe que o processo de
manipulação e proteção de dados corporativos é algo superimportante e delicado (exigindo atenção), e
que fará parte do seu dia a dia como técnico em contabilidade.