Baixe o app para aproveitar ainda mais
Prévia do material em texto
Técnico em contabilidade Lei Geral de Proteção de Dados (LGPD) Introdução A seguir, você verá em maiores detalhes os porquês de justificarem a criação desta lei (seu objetivo), suas principais sanções quando não respeitada e orientações para segurança de dados corporativos. Objetivos e conceitos No ano de 2018, a Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709, foi sancionada e, desde então, as empresas já vinham se articulando para conseguir adaptar seus processos e infraestrutura ao que preconiza a lei. Após três anos de vigência, mudanças no texto e todas as regras e artigos ativados, já se sabe que as empresas que não cumprirem com a legislação estarão sujeitas a penalidades e multas. A LGPD tem por objetivo regular o uso de dados e as informações pessoais por empresas e, assim, garantir segurança e proteção ao cidadão e aos seus dados. A lei orienta que empresas privadas e também órgãos públicos precisam alterar o modo como coletam, armazenam, usam e compartilham os dados das pessoas. Portanto, a lei foi criada para dar maior privacidade e nitidez no que tange à manipulação das informações, e, inclusive, possibilitando ao cidadão a consulta gratuita para descobrir de que forma essas informações são utilizadas pelas empresas ou pelos órgãos. Com base nessa consulta, é possível ao cidadão solicitar a exclusão de seus dados do sistema onde são armazenados e divulgados/comercializados. Por ser muito recente, a LGPD, desde que foi criada, tem preocupado as empresas que ainda estão se adequando às novas diretrizes impostas pela lei. O não cumprimento das regras previstas nos artigos impõe sanções administrativas que serão detalhadas a seguir. Sanções Para que a empresa evite ser punida pela LGPD por usar indevidamente dados e informações de seus titulares, ela precisa investir em setores jurídico e de tecnologia da informação atuantes e conhecedores do que preconiza a lei, para assim evitar problemas futuros por uso indevido de dados. Um ponto-chave para evitar problemas com o uso de dados indevidamente é ter uma transparência ativa, permitindo ao cidadão consultar sem dificuldades quais dados são usados/divulgados pela empresa, o que evitará processos e/ou multas para a empresa no futuro. É importante destacar que não somente empresas que lidam com dados eletrônicos estão sujeitas às regras da LGPD (como, por exemplo, empresas que criam algum aplicativo gratuito que requer autorização ao usuário para ter acesso às pastas de fotos, vídeos, entre outras informações pessoais do usuário). É necessário também ter atenção à gestão de dados pessoais no formato físico. Um bom exemplo é a declaração de imposto de renda feita pelo escritório de contabilidade e que fica salva virtualmente no programa da receita instalado no computador do escritório. A declaração também pode ser impressa fisicamente, e, nesse caso, o escritório precisa estar ciente de que esses dados não podem ser divulgados sem autorização do cliente (seja eletrônica ou fisicamente). Quanto ao órgão responsável pela aplicação das sanções administrativas, é a Autoridade Nacional de Proteção de Dados (ANPD) que impõe as penalidades, as quais podem variar desde uma advertência até um bloqueio total dos dados. Veja a seguir o que diz o texto: Como se trata de uma lei relativamente recente, é natural que muitas empresas ainda não tenham se adaptado completamente ao que é exigido na LGPD, e isso preocupa muitos gestores com relação às sanções que podem ser aplicadas. Existem punições mais brandas, como uma simples advertência, contudo, também há sanções mais pesadas, como multas, que podem chegar ao valor de R$ 50 milhões. ANPD – Artigo 52 Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; [...]. Como visto no artigo citado, a partir da LGPD, o cidadão passa a ter maiores garantias quanto ao seu direito à privacidade, e pode pedir a eliminação dos seus dados do servidor de empresas que ele julga não aptas a se relacionar ou a guardar tais informações pessoais. É possível também gerenciar melhor o que será compartilhado e com quem, isto é, o poder de decisão na divulgação dos dados totais e/ou parciais e para quem está nas mãos do titular dos dados referidos. Engana-se quem pensa que somente a relação empresa e cliente externo se enquadre nessa lei, gerando também impactos na relação da empresa com os dados de seus colaboradores e parceiros de negócios. Para evitar advertências e multas, as empresas privadas e públicas devem investir no seu setor de tecnologia da informação (TI), tendo à disposição um supervisor ou gestor de proteção de dados. Essa ação visa a manter um bom controle quanto ao que pode e ao que não pode ser manuseado e divulgado pela empresa, à medida que os pedidos de bloqueio no compartilhamento realizado pelos titulares chegam no setor de TI. A seguir, veja resumidamente as principais diretrizes que orientam a LGPD e algumas dicas de como seguir essas diretrizes. Diretrizes A LGPD tem por diretriz mudar ou adaptar processos em empresas privadas e públicas, independentemente do seu porte, de todo o território nacional, e que trabalham com dados pessoais dos cidadãos da empresa. Nesse contexto, se a empresa que tiver dados pessoais em sua posse tiver uma infraestrutura jurídica atualizada e um setor de TI atuante, isso facilitará a implementação das diretrizes ou regras descritas na LGPD. Também é bom ressaltar que, segundo o artigo 4.º, a lei não se aplica ao tratamento de dados pessoais nos seguintes casos: ANPD – Artigo 4.º I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II – realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7.º e 11 desta Lei; III – realizado para fins exclusivos de: a) segurança pública; Como já mencionado anteriormente, a tecnologia da informação pode ajudar as empresas a respeitarem o que prega a LGPD. Empresas menores como pequenos varejos e prestadores de serviços precisam estar atentos à proteção dos dados de seus clientes, sejam dados eletrônicos ou físicos, pois, por serem pequenos empreendimentos, geralmente não contam com setores jurídico e de TI, sendo algo inexistente ou terceirizado apenas quando necessário. b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; [...] [...]. É possível também, em caso de dificuldades na implementação de processos, no entendimento da lei ou na manutenção da base de dados pessoais corporativos, procurar órgãos de apoio como o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae) para auxiliar em consultorias e orientações. Veja um resumo, para compreender melhor: Aplicação da lei A LGPD deve ser cumprida por empresas que atuam em território nacional e que recolhem dados pessoais. Principais vantagens para o cidadão Permite que os titulares dos dados compartilhados, solicitem a qualquer momento a correção das informações divulgadas. Solicitações Quando solicitado pelo titular, o órgão que coletou os dados deve informar o motivo da coleta de dados e se houve ou não tratamento com base nos dadosfornecidos, para, então, o titular decidir se aceita ou não o compartilhamento. Como prevenir A organizações privadas e públicas devem propor medidas ou regras para precaver ou evitar falhas na segurança dos dados em seu poder, a fim de evitar o vazamento de informações. Autorização de uso Qualquer dado ou informação pessoal poderá ser utilizada somente após autorização feita pelo titular dos dados. Infraestrutura As organizações privadas e públicas precisam se comprometer e investir em medidas de governança e proteção dos dados de seus clientes. Sanções da LGPD Se houver algum vazamento de dados do titular ou descumprimento da lei por alguma organização, os valores podem variar de 2% do faturamento do negócio até o limite de R$ 50 milhões em multa. Do ponto de vista prático, além de um setor jurídico e de um setor de TI, também recomenda-se adotar programas de qualidade que busquem criar boas práticas no controle e na manipulação de dados corporativos, como auditorias internas ou certificações ISO, por exemplo. Vale lembrar, porém, que as certificações ISO, por si só, não atendem a todas as diretrizes descritas na LGPD, contudo, atendem à grande maioria de práticas sugeridas na lei, o que já é um bom começo para aquelas empresas que ainda não sabem por onde começar a adaptação de seus processos segundo o que prega a LGPD. Observe em seguida uma abordagem sobre a integridade de dados corporativos e o impacto que isso tem na veracidade e credibilidade das informações. Veracidade e credibilidade das informações Atualmente, a credibilidade de uma empresa é fundamental. É por meio da imagem da empresa que muitos clientes resolvem comprar produtos ou adquirir serviços. Nesse sentido, sempre que possível, é recomendada a adoção de auditorias externas para aumentar ainda mais o nível de credibilidade da empresa perante o mercado e seus clientes. Para um escritório de contabilidade isso tem um valor de mercado muito significativo, pois as empresas de contabilidade/auditorias são responsáveis por auditar outras empresas, testando o nível de veracidade e credibilidade nas informações auditadas por elas. É bom lembrar que os próprios escritórios de contabilidade também podem contratar uma auditoria externa para serem qualificados como bons prestadores de serviço contábil aos seus clientes em potencial. Com relação à LGPD, o recomendado seria adotar uma auditoria externa específica para testar o nível de segurança dos dados corporativos da empresa. Nesse caso, seria contratada uma empresa especializada em auditorias de sistemas de informação, que buscaria analisar e verificar os aspectos de toda infraestrutura de TI da empresa, assegurando, assim, maior integridade e veracidade dos dados guardados nos servidores e manuseados pelos computadores da empresa. Escritórios de contabilidade, por se tratarem de negócios que manipulam dados e informações financeiras de outras empresas, respondendo legalmente pelos dados e pelas informações geradas e guardadas no escritório, precisam de uma boa política de proteção de dados corporativos e de boas práticas contábeis também, o que reflete diretamente na credibilidade do escritório. Quando o histórico de erros/falhas nos registros contábeis dos clientes, de vazamento de dados e informações e de não conformidade em auditorias externas é baixo ou nulo, a empresa de contabilidade transmite uma imagem de segurança e transparência, de maior credibilidade e veracidade nos serviços prestados, sendo algo que pode ser construído aos poucos partir de certificações, manuais de boas práticas contábeis do escritório e de políticas de proteção e segurança de dados corporativos, avaliadas por meio de auditorias externas periódicas. O próximo tópico detalhará melhor sobre a segurança de dados corporativos. O vazamento de dados é um grave problema enfrentado nos últimos anos por várias empresas e pela população em geral, sendo o principal fator que deu origem à criação da LGPD no país. Segurança de dados corporativos Portanto, considerando o porte da empresa e o tamanho dos dados corporativos que serão armazenados por ela, é recomendável criar um setor de TI robusto, ou até mesmo contratar uma empresa especializada em segurança de dados corporativos. Portanto, quando a empresa não tem transparência em suas atividades, isso pode inviabilizar parcerias de negócios, perda de fatia de mercado e problemas quanto à veracidade das informações divulgadas. Independentemente da estratégia adotada, os ganhos serão sempre positivos quando a empresa contém um bom nível de segurança de informação atrelado a auditorias externas que podem torná-la uma referência em proteção de dados dos seus clientes. Uma boa dica a ser adotada no escritório de contabilidade é primeiramente criar políticas e diretrizes internas por meio de um programa de segurança de dados corporativos. Tendo a LGPD como norteadora, vários manuais ou formulários podem ser criados, tais como: Políticas de segurança dos dados corporativos do escritório de contabilidade Políticas de privacidade dos dados corporativos do escritório de contabilidade Políticas de classificação e retenção de dados corporativos de clientes e parceiros de negócios Política de retenção dos dados corporativos (cronograma de retenção e guarda de documentos) Formulário de consentimento/autorização do titular para guarda e uso de dados pessoais (quando necessário) Indicadores de segurança e privacidade dos dados corporativos Código de conduta para uso de dados corporativos pelos colaboradores do escritório de contabilidade Treinamentos periódicos dos grupos de trabalho (jurídico, TI, auditorias internas, relacionamento com o cliente etc.) Como já mencionado nos tópicos anteriores, a integridade e veracidade dos registros contábeis é algo que qualquer cliente espera do seu contador. Nesse sentido, quando se fala em segurança de dados corporativos, o foco será sempre, portanto, esses dois princípios fundamentais: a integridade, ou seja, a segurança na guarda de dados, e a veracidade das informações guardadas e manipuladas. Isso gera automaticamente maior ou menor credibilidade da empresa de contabilidade detentora das informações, dependendo do nível de governança corporativa que ela adote. Mesmo que você esteja atuando como técnico em um escritório de contabilidade ou trabalhando em uma empresa no setor da contabilidade, você lidará todos os dias com dados e informações pessoais de clientes e fornecedores, sejam esses dados nos formatos eletrônico ou físico. Portanto, tudo que passar pelas suas mãos ou pelo seu computador precisa ser manipulado com o máximo cuidado para não gerar transtornos futuros para a empresa na qual você trabalha. Um bom exemplo seria o de alguns e-commerces, que contam com um ponto de venda virtual (PDV) para compras por cartões específicos, como o cartão BNDES. Muitos empresários usam este tipo de cartão, e, por isso, nos setores financeiro ou de contabilidade da empresa, há um funcionário que tem acesso à plataforma BNDES e efetuará a transação de compra. Para efetuar essa transação, as informações do cartão, como CNPJ, razão social, número do cartão, data de validade e código de segurança, são encaminhadas via e-mail para esse funcionário. Esse é um bom exemplo de dados pessoais que não podem vazar ou ser divulgados após a transação ser concretizada, incluindo os dados referentes ao que o cliente comprou e qual a quantia gasta. Sabe-se que muitas empresas de marketing têm grande interesse nesses históricos de compras de clientes para formação de perfil de compra, e isso não pode ser divulgado sem a autorização do titular dos dados. Por isso, o setor de TI tem grande responsabilidade em evitar que esses dados, que são trocados via e-mail, salvos no software contábil ou guardados nos servidores da empresa, sofram algum ataque cibernético e vazem para o domínio público, pois, como já detalhado anteriormente, as sanções podem ser bem pesadas,dependendo do grau de descumprimento da LGPD. Portanto, as informações guardadas, manipuladas ou geradas pelo escritório de contabilidade não podem ser divulgadas para terceiros de forma alguma (a não ser em caso de atividades de investigação e repressão de infrações penais, por exemplo). Em resumo, a contabilidade trabalha com diversos documentos (declarações, extratos, certidões etc.) e todos eles carregam dados pessoais de seus titulares, sejam eles pessoa física ou jurídica. Cabe a você, quando manipular esses documentos ou informações eletrônicas, estar ciente de que esses dados não podem sair do setor de contabilidade nem da empresa. Também, em caso de dúvida no tratamento dos dados, é sempre aconselhável consultar o setor jurídico da empresa em conjunto com o setor de TI, e minimizar assim os riscos de algum vazamento indevido de dados pessoais de clientes. Encerramento Você chegou ao final da reflexão proposta sobre a LGPD. Agora, você já sabe que o processo de manipulação e proteção de dados corporativos é algo superimportante e delicado (exigindo atenção), e que fará parte do seu dia a dia como técnico em contabilidade.
Compartilhar