Ir para RDD10+

LGPD: Guia Completo para Escritórios de Contabilidade

Guia para Adequação à LGPD em Escritórios de Contabilidade: Passo a Passo Completo

Introdução

A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) estabelece regras fundamentais para o tratamento de dados pessoais no Brasil, impactando diretamente os escritórios de contabilidade. Estas organizações lidam diariamente com uma quantidade significativa de informações sensíveis de seus clientes, incluindo dados financeiros, fiscais e contábeis, tornando a adequação à LGPD não apenas uma obrigação legal, mas uma necessidade operacional.

A LGPD foi elaborada para proteger informações digitais e físicas das pessoas e entidades localizadas no Brasil, garantindo o sigilo, a privacidade e o livre exercício da personalidade de pessoas físicas e jurídicas. A lei determina o controle completo dos dados, exigindo que os gestores orientem todos os funcionários do escritório de contabilidade e implementem os recursos adequados para garantir a conformidade.

Neste guia detalhado, apresentaremos os passos necessários para que escritórios de contabilidade se adequem às exigências da LGPD, implementando boas práticas que garantam a proteção dos dados de seus clientes e evitem penalidades severas por descumprimento da legislação.

Pré-requisitos para Adequação à LGPD

Antes de iniciar o processo de adequação à LGPD, é importante que o escritório de contabilidade tenha:

  1. Conhecimento básico sobre a Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
  2. Mapeamento dos processos internos que envolvem coleta e tratamento de dados pessoais
  3. Inventário dos dados pessoais tratados pelo escritório
  4. Equipe designada para liderar o processo de adequação
  5. Recursos financeiros para possíveis investimentos em tecnologia e consultoria
  6. Disposição para realizar mudanças organizacionais e culturais

Passos para Adequação à LGPD em Escritórios de Contabilidade

1. Entenda o Escopo e a Aplicabilidade da LGPD para seu Escritório

A LGPD se aplica a todas as organizações que realizam a coleta, o armazenamento e o processamento de dados pessoais, sejam por meios digitais ou físicos. É fundamental compreender que escritórios de contabilidade estão diretamente sujeitos a essa legislação, pois lidam constantemente com informações pessoais de clientes, funcionários, fornecedores e parceiros comerciais.

Para determinar a aplicabilidade da LGPD ao seu escritório, analise se sua empresa coleta dados no Brasil, processa informações em território nacional ou presta serviços a indivíduos localizados no país. A lei considera esses três fatores como determinantes para sua aplicação, independentemente da localização física da empresa ou de sua nacionalidade. Portanto, mesmo escritórios estrangeiros que atendem clientes brasileiros estão sujeitos às regras da LGPD.

É importante também identificar quais dados estão isentos da aplicação da LGPD, como informações coletadas para uso pessoal sem fins econômicos, dados destinados à defesa nacional ou segurança pública, e informações utilizadas exclusivamente para fins acadêmicos, jornalísticos ou artísticos. Entretanto, na prática, a maioria dos dados tratados por escritórios de contabilidade não se enquadra nessas exceções, exigindo conformidade com a legislação.

2. Realize um Mapeamento Completo dos Dados Tratados

O primeiro passo prático para adequação à LGPD é realizar um mapeamento detalhado de todos os dados pessoais que seu escritório coleta, armazena e processa. Este inventário de dados é fundamental para entender o fluxo de informações dentro da organização e identificar possíveis vulnerabilidades.

Durante o mapeamento, identifique quais tipos de dados são coletados (como nomes, CPFs, endereços, informações bancárias, dados fiscais), por quais meios eles são obtidos (formulários físicos, sistemas online, e-mails), onde são armazenados (servidores próprios, nuvem, arquivos físicos), quem tem acesso a eles, por quanto tempo são mantidos e como são descartados. Este processo deve ser minucioso e abranger todas as áreas do escritório, desde o atendimento ao cliente até o departamento financeiro.

Após concluir o mapeamento, classifique os dados de acordo com sua sensibilidade e risco. Dados pessoais sensíveis, como informações de saúde, biométricas ou relacionadas à orientação religiosa, sexual ou política, requerem proteções adicionais. Identifique também quais bases legais justificam o tratamento de cada categoria de dados, como consentimento, cumprimento de obrigação legal, execução de contrato ou interesse legítimo. Este trabalho de classificação será essencial para as próximas etapas de adequação.

3. Obtenha o Consentimento Explícito dos Titulares dos Dados

A obtenção do consentimento explícito é um dos pilares da LGPD. Os escritórios de contabilidade devem garantir que seus clientes compreendam claramente como suas informações serão utilizadas e concordem expressamente com esse uso. O consentimento deve ser livre, informado, inequívoco e fornecido para finalidades específicas.

Desenvolva políticas de privacidade e termos de consentimento claros e acessíveis, evitando linguagem técnica excessiva ou textos demasiadamente longos que possam dificultar a compreensão. Estes documentos devem especificar quais dados serão coletados, para quais finalidades, com quem serão compartilhados, por quanto tempo serão armazenados e quais são os direitos dos titulares. Além disso, é fundamental oferecer mecanismos simples para que os clientes possam revogar seu consentimento a qualquer momento.

Implemente processos para documentar e armazenar os registros de consentimento, pois a LGPD exige que as organizações sejam capazes de comprovar que obtiveram a autorização dos titulares. Isso pode ser feito por meio de sistemas de gestão de consentimento, formulários assinados ou registros eletrônicos. Lembre-se que o ônus da prova do consentimento recai sobre o controlador dos dados, ou seja, seu escritório de contabilidade.

4. Estabeleça um Comitê de Segurança da Informação

A criação de um Comitê de Segurança da Informação é uma medida estratégica para garantir a proteção contínua dos dados pessoais tratados pelo escritório. Este comitê deve ser composto por representantes de diferentes áreas da organização, incluindo TI, jurídico, atendimento ao cliente e gestão.

O comitê terá como responsabilidades principais a elaboração e implementação de políticas de segurança da informação, a avaliação periódica de riscos, o monitoramento de incidentes e a promoção de uma cultura de proteção de dados dentro da organização. É importante que o comitê se reúna regularmente para discutir atualizações na legislação, novas ameaças à segurança e oportunidades de melhoria nos processos existentes.

Para garantir a eficácia do comitê, invista na capacitação contínua de seus membros, mantenha-os atualizados sobre as melhores práticas de segurança da informação e forneça os recursos necessários para a implementação das medidas recomendadas. Além disso, estabeleça canais de comunicação eficientes entre o comitê e os demais colaboradores do escritório, permitindo o rápido reporte de incidentes e a disseminação de orientações importantes.

5. Implemente Medidas Técnicas e Organizacionais de Segurança

A proteção efetiva dos dados pessoais exige a implementação de medidas técnicas e organizacionais robustas. Estas medidas devem ser proporcionais aos riscos envolvidos no tratamento dos dados e às capacidades técnicas e financeiras do escritório.

No aspecto técnico, considere a implementação de controles como criptografia de dados sensíveis, autenticação de dois fatores para acesso aos sistemas, firewalls, softwares antivírus, backups regulares, restrições de acesso baseadas em funções e monitoramento contínuo da rede. Avalie a segurança dos sistemas utilizados pelo escritório, incluindo softwares contábeis, e-mails corporativos e plataformas de armazenamento em nuvem, garantindo que atendam aos requisitos de segurança da LGPD.

No âmbito organizacional, desenvolva e implemente políticas claras sobre o uso de dispositivos pessoais para fins profissionais, acesso remoto, senhas, compartilhamento de informações e descarte seguro de documentos físicos e digitais. Estabeleça procedimentos para a revisão periódica dessas políticas e para a verificação de seu cumprimento. Além disso, crie protocolos para resposta a incidentes de segurança, definindo claramente os papéis e responsabilidades de cada membro da equipe em caso de vazamento de dados.

6. Diferencie as Atividades de Controle e Operação de Dados

A LGPD estabelece uma distinção clara entre as figuras do controlador e do operador de dados. O controlador é quem toma as decisões sobre o tratamento dos dados pessoais, definindo finalidades e meios, enquanto o operador realiza o tratamento conforme as instruções do controlador. Em um escritório de contabilidade, é essencial identificar claramente quem exerce cada papel.

Realize uma análise detalhada dos processos internos para determinar quem atua como controlador e quem atua como operador em cada atividade de tratamento de dados. Em muitos casos, o próprio escritório será o controlador dos dados de seus clientes, enquanto funcionários específicos ou sistemas serão operadores. Em outros cenários, o escritório pode atuar como operador de dados para seus clientes, que seriam os controladores.

Após identificar as funções, documente claramente as responsabilidades de cada parte e estabeleça protocolos de comunicação entre controladores e operadores. Desenvolva contratos e termos de uso que especifiquem as obrigações de cada parte em relação à proteção de dados, incluindo medidas de segurança, procedimentos para exercício dos direitos dos titulares e protocolos para notificação de incidentes. Esta diferenciação clara de papéis é fundamental para determinar responsabilidades em caso de violações da LGPD.

7. Garanta a Conformidade das Empresas Terceirizadas

Os escritórios de contabilidade frequentemente trabalham com empresas terceirizadas que podem ter acesso a dados pessoais de clientes. Segundo a LGPD, a responsabilidade pela proteção desses dados permanece com o controlador, mesmo quando o tratamento é realizado por terceiros.

Realize uma avaliação criteriosa de todos os fornecedores e parceiros que têm acesso a dados pessoais sob sua responsabilidade. Verifique se eles estão em conformidade com a LGPD e se adotam medidas adequadas de segurança da informação. Esta avaliação pode incluir questionários de due diligence, solicitação de certificações de segurança, análise de políticas de privacidade e, quando necessário, auditorias presenciais.

Revise e atualize os contratos com terceiros para incluir cláusulas específicas sobre proteção de dados, definindo claramente as responsabilidades de cada parte, os limites para o uso dos dados, as medidas de segurança exigidas, os procedimentos para notificação de incidentes e as consequências em caso de descumprimento. Estabeleça também um processo de monitoramento contínuo desses parceiros, com avaliações periódicas de conformidade e canais de comunicação eficientes para o reporte de problemas.

8. Nomeie um Encarregado pelo Tratamento de Dados Pessoais (DPO)

A LGPD exige que as organizações nomeiem um Encarregado pelo Tratamento de Dados Pessoais, também conhecido como Data Protection Officer (DPO). Esta figura é responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O DPO pode ser um funcionário do escritório ou um profissional externo contratado especificamente para esta função. O importante é que esta pessoa tenha conhecimento técnico adequado sobre proteção de dados e esteja em posição de independência na organização, podendo reportar diretamente à alta direção. Suas responsabilidades incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos, receber comunicações da ANPD, orientar funcionários sobre práticas de proteção de dados e executar outras atribuições determinadas pelo controlador.

Após a nomeação do DPO, divulgue amplamente sua identidade e informações de contato, incluindo-as em sua política de privacidade, site institucional e materiais de comunicação com clientes. Forneça ao DPO os recursos necessários para o desempenho eficaz de suas funções, incluindo acesso a informações relevantes, participação em processos de tomada de decisão relacionados ao tratamento de dados e oportunidades de capacitação contínua.

9. Desenvolva Procedimentos para Atender aos Direitos dos Titulares

A LGPD garante aos titulares de dados uma série de direitos, incluindo acesso, correção, anonimização, portabilidade, exclusão, informação sobre compartilhamento e revogação do consentimento. Os escritórios de contabilidade devem estar preparados para atender a essas solicitações de maneira eficiente e dentro dos prazos estabelecidos pela lei.

Crie canais específicos para receber e processar solicitações dos titulares, como formulários online, endereços de e-mail dedicados ou linhas telefônicas. Desenvolva procedimentos padronizados para cada tipo de solicitação, definindo claramente os passos a serem seguidos, os responsáveis por cada etapa e os prazos máximos para resposta. Estes procedimentos devem incluir métodos para verificar a identidade do solicitante, evitando o acesso não autorizado a dados pessoais.

Implemente sistemas que permitam localizar rapidamente todos os dados relacionados a um determinado titular, facilitando o atendimento às solicitações de acesso, correção ou exclusão. Mantenha registros detalhados de todas as solicitações recebidas e das ações tomadas em resposta, incluindo datas, responsáveis e justificativas para eventuais recusas. Estes registros serão importantes para demonstrar conformidade em caso de questionamentos pela ANPD.

10. Elabore e Implemente um Plano de Resposta a Incidentes

Mesmo com todas as medidas preventivas, incidentes de segurança podem ocorrer. A LGPD exige que controladores comuniquem à ANPD e aos titulares afetados a ocorrência de incidentes que possam acarretar risco ou dano relevante. Por isso, é essencial ter um plano de resposta a incidentes bem estruturado.

Desenvolva um protocolo detalhado para identificação, contenção, investigação e remediação de incidentes de segurança envolvendo dados pessoais. Este protocolo deve definir claramente os papéis e responsabilidades de cada membro da equipe, os canais de comunicação a serem utilizados, os procedimentos para documentação do incidente e os critérios para determinar sua gravidade.

Estabeleça modelos de comunicação para notificar a ANPD e os titulares afetados, contendo informações sobre a natureza do incidente, os dados afetados, as medidas de segurança utilizadas, os riscos relacionados e as providências adotadas. Realize simulações periódicas para testar a eficácia do plano de resposta, identificar pontos de melhoria e garantir que todos os envolvidos estejam familiarizados com suas responsabilidades. Após cada incidente real ou simulado, conduza uma análise detalhada para identificar causas e implementar medidas preventivas.

Conclusão

A adequação à LGPD representa um desafio significativo para escritórios de contabilidade, mas também uma oportunidade de aprimorar processos, fortalecer a segurança da informação e construir relações de confiança com clientes. Seguindo os passos detalhados neste guia, seu escritório estará no caminho para a conformidade legal e para a adoção das melhores práticas de proteção de dados.

É importante ressaltar que a adequação à LGPD não é um projeto com data de término, mas um processo contínuo que exige monitoramento constante, atualizações regulares e adaptação às mudanças na legislação e nas tecnologias. Mantenha-se informado sobre as orientações da Autoridade Nacional de Proteção de Dados, participe de fóruns e grupos de discussão sobre o tema e invista na capacitação contínua de sua equipe.

Ao demonstrar compromisso com a proteção dos dados pessoais, seu escritório de contabilidade não apenas evitará penalidades legais, mas também se destacará no mercado como uma organização confiável e responsável, capaz de garantir a segurança das informações sensíveis de seus clientes em um ambiente cada vez mais digital e interconectado.

Fonte: Roberto Dias Duarte. “O que seu escritório de contabilidade precisa saber sobre a LGPD”. Disponível em: https://www.robertodiasduarte.com.br/o-que-seu-escritorio-de-contabilidade-precisa-saber-sobre-a-lgpd/

Publicado

em

por

Claude Sonnet 3.7

Tags:

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *