LGPD Em Empresas Contábeis: Como Se Adaptar À Nova Lei

A adequação à LGPD em empresas contábeis é crucial para garantir a proteção dos dados pessoais. Veja como seguir a nova lei.

Você está preparado para os impactos da LGPD em empresas contábeis?

Estamos falando da Lei Geral de Proteção de Dados Pessoais, que entrará em vigor em agosto de 2020 para garantir o direito à privacidade do cidadão.

Para os contadores, este é o momento de adequar o negócio às novas exigências, que mudam a forma de coletar, armazenar e utilizar dados dos clientes.

Mas calma: não é tão complicado quanto parece.

Se a segurança da informação e proteção de dados são novidade para você, vamos ajudar a decifrar a nova lei e preparar seu escritório para 2020.

Siga a leitura e comece a se adaptar o quanto antes.

O que é a LGPD

Para entender o impacto da LGPD em empresas contábeis, vamos analisar o que diz a Lei Geral de Proteção de Dados Pessoais.

A Lei nº 13.709/2018, publicada em 14 de agosto de 2018, regula as atividades de tratamentos de dados pessoais em meios físicos e digitais, por pessoas físicas e jurídicas.

Seu objetivo central é proteger os direitos fundamentais de liberdade e privacidade, além do livre desenvolvimento da personalidade.

Na prática, a lei determina que todos os dados pessoais (nome, gênero, idade, estado civil, ocupação, documentos, etc.) só podem ser coletados mediante a algumas hipóteses, entre elas, o consentimento do usuário.

Nesse sentido, o texto é muito parecido com outras leis internacionais como a General Data Protection Regulation (GDPR) da União Europeia e California Consumer Privacy Act of 2018 (CCPA) dos EUA.

A LGPD está prevista para entrar em vigor a partir de agosto de 2020, de acordo com a Medida Provisória nº 869.

Ou seja: há pouco tempo, embora factível para que as empresas se adequem às novas regras de coleta e tratamento de dados.

Se você ainda não sabe qual o significado da LGPD em empresas contábeis, vamos ajudar a esclarecer.

Impactos da LGPD na contabilidade

Os efeitos da LGPD em empresas contábeis começam pela própria mudança de mentalidade dos contadores, que deverão ter mais atenção e cuidado com as informações dos clientes.

Na verdade, a lei terá impactos em todos os setores econômicos, pois toda empresa armazena dados de pessoas, incluindo colaboradores, clientes e parceiros.

Logo, o tratamento de informações deverá ser adaptado, em todo o seu ciclo de vida do dado (coleta, armazenamento, transmissão e descarte).

Lembrando que a lei trata especificamente dos dados pessoais, que considera “toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc.”.

No caso, as informações da pessoa jurídica, como razão social, CNPJ e endereço comercial, não são considerados dados pessoais.

ISO 27701: “a certificação da LGPD”

A ISO 27701:2019 é um padrão internacional para proteção de dados que chegou ao mercado Brasileiro em dezembro de 2019, com o lançamento da ABNT NBR ISO/IEC 27701 – Técnicas de segurança: extensão para gestão da privacidade da informação.

A norma já está adequada à GDPR (General Data Protection Regulation) e à LGPD brasileira, facilitando a implementação dos controles de proteção de dados nas empresas.

Para obter a certificação, as empresas deverão primeiro se adequar à ISO 27001:2013 (padrão internacional para sistema de gestão da segurança da informação) e fazer a extensão para a ISO 27001:2019 (sistemas de gestão de segurança privada).

É importante ressaltar que a certificação ISO 27001:2013 não garante o compliance com a LGPD, embora já inclua várias exigências da lei, tais como:

• Identificação e atribuição de responsabilidades pela proteção de ativos
• Classificação da informação
• Controle de acesso para limitação de acesso à informação por pessoas não autorizadas
• Controle de fornecedores para cumprir requisitos de segurança da informação
• Gestão de incidentes de segurança da informação.

Mas, faltam alguns pontos que só são contemplados pela ISO 27001:2019:

• Atribuição de papéis dentro do tratamento de dados e diferenciação de responsabilidades (controlador/operador)
• Diferenciação de definição e tratamento de dados pessoais e dados pessoais sensíveis
• Mapeamento de banco de dados com sua classificação por origem, base legal e finalidade
• Garantia dos direitos dos titulares
• Comunicação transparente para o titular de dados sobre a finalidade do uso de seus dados.

Logo, a ISO 27001:2013 pode ser usada como base para a adequação à LGPD: basta observar os pontos adicionais da extensão de 2019 e adotar como boas práticas na empresa.

Por enquanto, a nova norma ainda não foi integralizada no país, o que permite que as empresas incorporem as regras de forma independente.

Como adaptar sua empresa contábil à LGPD

Ainda há muitas dúvidas sobre como atender às exigências da LGPD em empresas contábeis.

Para acertar na adequação, siga os passos abaixo.

1. Prepare os dados

O primeiro passo para adequar sua empresa contábil à LGPD é realizar um mapeamento dos dados armazenados (fluxo e inventário).

Nesse momento, também é importante identificar as bases legais para o seu contexto de negócio, revisando a Lei nº 13.709/2018.

2. Nomeie um encarregado de dados

A lei exige que a empresa nomeie um encarregado de dados: uma pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Nesse caso, o responsável DPO (Data Protection Officer) pode um profissional dedicado às questões da proteção de dados, um escritório ou um colaborador que tenha conhecimento e experiência na área, desde que não haja conflito de interesses.

3. Crie e implemente um programa de privacidade de dados

O próximo passo é criar seu programa de privacidade de dados nos termos da lei, observando os seguintes aspectos:

• Políticas de segurança, privacidade, classificação e retenção de dados
• Cronograma de retenção de dados
• Formulário de consentimento do titular (quando necessário)
• Registro dos resultados da AIPD (Avaliação de Impacto sobre a Privacidade de Dados)
• Aviso de privacidade
• Código de conduta
• Contrato de processamento de dados (segurança jurídica e acordo para assegurar o controle)
• Treinamento contínuo em privacidade.

4. Implemente a governança

Para garantir o funcionamento do programa, também é importante implementar a governança de dados.

Para isso você deve criar um procedimento de resposta e notificação para casos de violação de dados, um registro para esse tipo de incidente e inventário das atividades de processamento.

Além disso, deve prever cláusulas contratuais padrão para a transferência de dados pessoais para outros países.

5. Avalie e melhore continuamente

Por fim, é importante acompanhar as leis e resoluções para manter seus processos sempre atualizados e em conformidade com as normas.

Se possível, é interessante conduzir auditorias e avaliações de compliance, além de monitorar as operações que envolvem privacidade e proteção de dados em geral.

Futuramente, cabe também analisar a obtenção da certificação da ISO 27001:2019 para aumentar ainda mais a credibilidade da empresa.

Viu como a LGPD em empresas contábeis não tem mistérios?

Então, comece a avaliar seus dados e se adequar o quanto antes.

Se tiver dúvidas e opiniões sobre a lei, deixe seu comentário.