Ícone do site Silva Pinto Assessoria Contábil

Desafios na implementação da LGPD para o segmento contábil e terceiro setor

A 6347 B2fb19fe374529d3658197da0657ab0c Contabilidade Em São Paulo Sp | Blog Silva Pinto Assessoria Contábil - Silva Pinto Assessoria Contábil

A Lei Geral de Proteção de Dados (“LGPD”), Lei 13.709/2018, entrou em vigor em 18.09.2020, a partir da sanção, pelo Presidente Jair Bolsonaro, da Lei nº 14.058/2020. O Presidente manteve o veto ao artigo 4º da Medida Provisória nº 959/2020, que dispunha sobre a vigência da LGPD a partir de 03.05.2021. Com isso, é preciso que, desde logo, as empresas adequem as suas práticas, para que seja resguardado o direito à proteção dos dados de seus titulares.

Por tratamento de dados, a Lei entende que são basicamente todas as operações realizadas com os dados, desde a simples coleta, até o seu armazenamento e processamento. É importante ter em mente que a LGPD não tem como objetivo impedir a transmissão e o compartilhamento de dados pessoais. Pelo contrário, a Lei vem para regulamentar o tratamento desses dados, criando regras que têm o intuito de proteger os titulares e criar um ambiente com boas práticas. Inspirada na legislação europeia, a LGPD regulamenta o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas. Doravante qualquer empresa que incluir em sua base de dados

informações de seus clientes, por mais básicos que sejam, deve seguir os procedimentos da nova lei.

LGPD determina que todo e qualquer tratamento deverá ser realizado de acordo com a finalidade para o qual determinado dado pessoal foi coletado. Dessa forma, por exemplo, se um dado foi coletado tão somente para a execução de operações bancárias, a LGPD estabelece que tais dados não possam ser utilizados para finalidades distintas.

Outro aspecto relevante diz respeito às bases legais que passam a ser exigidas das empresas para legitimar o tratamento de dados. Criou-se, no mercado, o sentimento de que somente o consentimento do titular permitiria que os dados fossem tratados. Contudo, a LGPD prevê diversas outras hipóteses que autorizam o tratamento de dados pessoais sem que haja prévio consentimento: para o cumprimento de obrigação legal ou regulatória; para a realização de estudos de órgãos de pesquisa, garantindo sempre que possível a anonimização dos dados pessoais; para execução dos contratos ou procedimentos preliminares desses contratos em que o titular dos dados é parte e ele próprio requisitou o contrato; para o exercício regular dos direitos em processo de quem coletou os dados; para a proteção da vida ou incolumidade física do titular dos dados ou de terceiros; para a tutela da saúde, dentro dos requisitos previstos em lei; para atendimento do interesse legítimo do controlador ou de terceiros; e até mesmo para fins de proteção do crédito.

O Ministério Público do Rio Grande do Sul é um dos primeiros do país a regulamentar a lei federal e, com isso, criou uma comissão para fazer uma fase de adaptação interna. A lei vem justamente para estabelecer responsabilização civil, administrativa e até criminal. Por isso a importância da regulamentação, afirmou em entrevista à Radio Gaúcha, o procurador-geral de Justiça do RS, Fabiano Dallazen.

Embora a vigência da lei tenha sido antecipada, as sanções que serão aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), terão início apenas em agosto de 2021. O órgão responsável por fiscalizar as regras ainda não foi plenamente estabelecido, sendo assim por meio do Provimento nº 68/2020, o MPRS se antecipa no disciplinamento de sua aplicação.

Fundamentos da Lei Nº 13.709/18

A Lei Geral de Proteção de Dados garante que os dados pessoais de cada um sejam mantidos em privacidade, a fim de garantir a segurança e liberdade de expressão dos cidadãos. Resumidamente, a Lei nº 13.709/18 tem sete princípios (ou fundamentos):

  1. o respeito à privacidade;
  2. a autodeterminação informativa;
  3. a liberdade de expressão, de informação, de comunicação e de opinião;
  4. a inviolabilidade da intimidade, da honra e da imagem;
  5. o desenvolvimento econômico e tecnológico e a inovação;
  6. a livre iniciativa, a livre concorrência e a defesa do consumidor; e
  7. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Estes fundamentos devem ser seguidos por todos os obrigados a implementação e aplicação da LGPD.

Quem está obrigado à aplicação da LGPD?

Tanto empresas brasileiras quanto algumas estrangeiras estão obrigadas a implementar um Plano de Privacidade e Proteção de Dados. É o caso de:

Ou seja, se você irá utilizar dados para fins que não são lucrativos, ou mesmo para fins jornalísticos/artísticos, não está obrigado à aplicação desta lei.

Criação do Plano de Privacidade de Dados

Para elaborá-lo, é importante contratar alguém que irá:

Com a implementação deste plano, as diretrizes da Lei Geral de Proteção de Dados estarão sendo seguidas.

Dos Impactos de sua Implementação

LGPD, seu objetivo e função

LGPD foi criada com o intuito de proteger dados pessoais, ou seja, não se aplica aos dados de pessoa jurídica. Seu principal objetivo é garantir a proteção de dados pessoais e garantir que o titular, pessoa física identificada ou identificável, tenha controle sobre como, onde e por quem seus dados estão sendo utilizados. A legislação não traz uma listagem do que seria um dado pessoal, mas podemos dizer que é qualquer dado que identifique ou permita a identificação da pessoa.

Em resumo, tem como principal função proteger os dados pessoais, físicos e digitais de empresas e cidadãos brasileiros. Essas alterações que passarão a vigorar em todo o território nacional irão alterar significativamente as obrigações das empresas quanto a análise de informações.

Seja a manipulação dos dados feito por colaboradores, terceirizados, clientes ou fornecedores, o intuito é aumentar a proteção à privacidade e controle dos usuários sobre as próprias informações. E, para se adequar a essa nova regra será preciso muitas alterações estruturais, como: mapear os dados, classificá-los, organizá-los de acordo com a base legal que autoriza o seu tratamento, e torná-los mais seguros.

LGPD pelo mundo

Considerada como uma precursora na regulamentação de dados, a General Data Protection Regulation (GDPR) é a lei europeia, que entrou em vigor em maio de 2018, com a finalidade de proteger todos os cidadãos europeus contra violação de privacidade.

Já no Brasil, a LGPD entrará em vigor para fixar parâmetros da GDPR, entretanto, ainda existem muitos países, como o Estados Unidos que ainda não entraram em completa adequação ou ainda aqueles que não possuem nenhuma especificação sobre o tema.

LGPD e os impactos nos escritórios de contabilidade

De acordo com Vilmar Machado, especialista em tecnologia e segurança de dados, e um dos responsáveis pela estruturação do projeto de proteção de dados no Grupo Solutta, o impacto da LGPD, em especial nos escritórios de contabilidade, que mexem com documentos de caráter confidencial, será imenso, tanto medidas internas, como criação de novos cargos e departamentos visando a segurança de dados; como medidas externas e a migração para sistemas em nuvem.

“Os escritórios de contabilidade terão que se adequar e muito rápido a essas novas leis, pois as empresas que não entrarem em conformidade poderão pagar uma multa pesada, com esse valor podendo chegar até R$ 50.000.000 (cinquenta milhões de reais) por cada vazamento de dados”, explica Machado.

De acordo com o Serviço Federal de Processamento de Dados (SERPRO), é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo: se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão deste procedimento feito por máquinas.

Como os escritórios de contabilidade podem se adaptar?

Nos escritórios de contabilidade, essas novas regras passarão a exigir alterações, a fim de garantir a segurança dos dados perante a nova legislação.

Além disso será necessário implementar um cronograma de privacidade dos dados, contemplando:

Tópicos retirados do site contaazul

Conforme falamos em tópicos anteriores, as empresas, em especial os escritórios contábeis, por lidarem com um grande número de informações, precisam contar com o consentimento do titular dessas informações, autorizando o uso dos mesmos. Essa autorização formal deverá ser reforçada, em especial por sistemas digitais.

“Vai ser preciso instalar vários sistemas de proteção, mas acima de tudo, será necessário treinamentos esporádicos para os funcionários entenderem a real importância, o impacto e que todo e qualquer dado passa a ser confidencial”, aponta Vilmar.

Além disso, os escritórios de contabilidade ainda precisarão implementar um Comitê de Segurança da Informação, tanto para averiguar a proteção de dados da empresas e clientes, quanto para evitar ou gerenciar crises de vazamento de dados. Neste comitê deverá haver ainda um profissional exclusivo, o Data Protection Officer (DPO), responsável pelo cumprimento da nova lei.

“Se verificado um vazamento de dado, o escritório tem até 48 horas para fazer a notificação ao órgão regulatório, senão poderá ter que arcar com a multa aplicável ao erro”, afirma Vilmar.

Por fim, mas não menos importante, também deverá ser implementado medidas de segurança em operações diversas, para que isso passe a fazer parte da rotina do escritório.

“O que é essencial em um primeiro momento é tentar bloquear o vazamento de informação, mas acima de tudo conscientização. Pois na verdade, os vazamentos hoje não estão muito ligados à tecnologia, mas sim às pessoas, pois por exemplo, se um funcionário pega uma senha que não deveria isso já é um vazamento. Por isso que os escritórios também deverão ter medidas internas para a redução de exposição”, explica Vilmar.

Uma boa prática também indicada por Vilmar é a instalação de um Data Loss Prevention (DLP) – em uma tradução literal, “prevenção a perda de dados”. Uma solução que está sendo amplamente utilizada como medida de segurança para fazer o monitoramento de ocorrências que podem ocasionar o vazamento de informações.

Como a tecnologia ajuda os escritórios de contabilidade?

De acordo com a Forbes, ainda em 2020 até 83% dos ambientes de trabalho ficarão em nuvem, e até 41% do trabalho corporativo serão executadas em plataformas de nuvem pública (Amazon AWS, Google Cloud Platform, IBM Cloud, Microsoft Azure e outras). Migrar para a nuvem pode ser considerado o passo essencial para certificar a segurança digital na contabilidade, pois com um sistema de gestão 360º (O modelo de avaliação 360 graus é um método de avaliação de desempenho utilizado por empresas, que tem como objetivo principal de desenvolver competências essenciais dos colaboradores), os dados passam a ser auditados e administrados de maneira mais eficiente, reduzindo os números de downloads, minimizando a vulnerabilidade e possíveis vazamentos de dados.

LGPD e os impactos no Terceiro Setor

Segundo a GIFE, 69%(sessenta e nove por cento) das organizações da sociedade civil (OSCs) já ouviu falar sobre Lei Geral de Proteção de Dados Pessoais (LGPD) , mas ainda não se aprofundou no tema, ao mesmo tempo em que 91% acredita que o impacto da nova legislação será, ao menos, moderado para o terceiro setor. Essas são algumas descobertas da pesquisa LGPD e o Terceiro Setor, realizada por Jérémie Dron, gestor de projetos sociais e cientista de dados para avaliação e monitoramento de projetos sociais.

Com apoio do Atados e da Social Good Brasil, o levantamento tem como objetivo preencher a lacuna de informações sobre a lei e suas implicações para o terceiro setor. Segundo Jérémie, a ideia é que as OSCs possam entender um pouco mais sobre o tema e buscar maneiras de se adequar à nova legislação.

LGDP: uma oportunidade para o Terceiro Setor

Se a chegada dessa nova legislação pode gerar certa preocupação por parte das Organizações da Sociedade Civil, há de se enxergar esse momento como uma oportunidade para que estas possam usufruir de todo o conhecimento tecnológico que essa transformação sugere e assim otimizar o uso da informação que possuem para melhorar de forma relevante o impacto social de suas ações. Isso passa por algumas etapas essenciais:

Vale salientar que esse novo paradigma também redefinirá as regras de comunicação entre as instituições e poderá até influenciar possibilidades de parcerias.

Como vimos, a LGPD traz elementos essenciais para a proteção das informações que caracterizam cada um de nós. E como a tecnologia avançará ainda muito nos próximos anos, essa legislação chega num momento onde é fundamental entender que entramos em uma era totalmente nova e revolucionária no que diz respeito ao tratamento da informação. De fato, é possível extrair mais conhecimento sobre uma pessoa pelo entendimento dos dados que a definem do que pelo seu próprio DNA.

Uma proposta foi apresentada no dia 30/04/2019 e ainda será discutida para prorrogar a entrada em vigor da LGPD para agosto de 2022. As discussões sobre essa questão não podem ser adiadas, até porque dispositivos de proteção e dados já estão vigorando na Europa. O Brasil não deve ficar para trás e o Terceiro Setor precisa entender o tratamento adequado do dado não só como uma forma de melhorar profundamente seu impacto social, mas também como um fundamento essencial de respeito ao ser humano.

O que devo fazer então?

Abaixo um passo a passo simples para quem está no início e quer conhecer um pouco mais do que precisa fazer:

Passo 1 – Entenda a LGPD

É preciso primeiramente realizar um aprofundamento no entendimento da LGPD, em todos os aspectos. Importante conscientizar que todos os colaboradores, voluntários e direção precisarão se envolver e realizar esforços em conjunto. Ou seja, todos precisam estar alinhados e compromissados com o assunto.

Passo 2 – Levantamento de todos os dados

Reúna todas as fontes de dados que a entidade detém. Quais dados de colaboradores, fornecedores, doadores, associados, e assim por diante. Diante disso, é preciso avaliar possíveis falhas no processo do tratamento desses dados e os riscos de um vazamento. Verifique com a equipe quem tem acesso e limite somente àqueles que realmente precisam.

Passo 3 – Crie uma política de privacidade

É um documento muito importante que precisa ser criado. É nele que são detalhados todos itens sobre a coleta, armazenamento e uso dos dados pela entidade. Nele deverão constar também as medidas adotadas pela organização para garantir a segurança desses dados.

Passo 4 – Consentimento expresso

Um conceito muito importante da LGPD é o consentimento. Em termos simples, o titular (doador, voluntário, etc.) deve autorizar o uso da informação, dando consentimento ou permissão para a entidade sem fins lucrativos.

Por exemplo, se sua entidade coleta e-mails de possíveis doadores para posteriormente transformar essa pessoa em um doador efetivo, ela precisa dar esse consentimento expresso no momento do cadastro. Ela poderá inclusive solicitar a remoção de seus dados a qualquer momento.

Passo 5 – Elabore um plano de segurança da informação

LGPD e a segurança da informação andam de mãos dadas. Crie um plano, por mais simples que seja, que aborde a proteção de dados pessoais. Dê preferência e adote sistemas de gestão que possam organizar esses dados de forma segura. Que possa permitir controle de acessos às informações além de uma auditoria em caso de incidentes. Importante também a segurança com acesso criptografado, armazenamento de dados em território nacional e políticas de backups automatizadas.

Por que se adequar a LGPD?

LGPD vai ocasionar grandes mudanças na forma como as OSCs tratam os dados pessoais, tendo como seu maior obstáculo criar uma cultura de proteção de dados pessoais, incorporada ao conjunto de valores e normas das Organizações. Assim, o cuidado com o tratamento de dados pessoais deverá fazer parte da rotina diária das Organizações, sempre pautado na segurança dessas informações. Nessa mesma linha, as Organizações devem estabelecer regras de boas práticas, levando em consideração, com relação ao tratamento de dados dos titulares, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos, bem como os benefícios decorrentes de tratamento de dados pessoais do titular.

As Organizações Sociais deverão conhecer em detalhes todos os dados pessoais que são coletados e tratados pelos seus colaboradores, bem como entender o tratamento de dados desde sua coleta, processamento e seu destino final. Que pode ser a eliminação definitiva desse dado ou deixá-lo anônimo. É possível identificar algumas atividades que utilizam dados pessoais executadas nas Organizações:

(I) envio de informações para prestação de contas com o Poder Público;

(II) envio de relação nominal atualizada dos dirigentes da organização para o Poder Público;

(III) envio de documentos relacionados ao processo de seleção e à análise do perfil socioeconômico dos bolsistas solicitado especificamente para o CEBAS³;

(IV) envio de relação de bolsistas com identificação precisa dos beneficiários também solicitado pelo CEBAS;

(V) cadastro de beneficiário;

(VI) cadastro de voluntários e seus respectivos contratos.

Ou seja, é evidente que as Organizações Sociais tratam um conjunto considerável de dados pessoais e, para realizar uma implementação eficaz, será preciso um diagnóstico detalhado da forma como as OSCs estão tratando esses dados, pois é de extrema importância entender por que foram coletados e para que serão usados ou armazenados. É possível destacar, sem a intenção de esgotar o tema, algumas medidas necessárias para iniciar a adequação à legislação, tais como:

(I) identificar o volume e categoria dos dados;

(II) definir as bases legais para cada finalidade, papéis e responsabilidades dos agentes de tratamento;

(III) levantar as informações sobre como é feita a segurança dos dados, controle de acesso;

(IV) identificar os locais de armazenamento de dados pessoais;

(V) analisar como os dados dos colaboradores e voluntários são tratados e o uso desses dados para outras finalidades;

(VI) verificar se são coletados dados de crianças e adolescentes e/ou dados sensíveis, bem como revisar todos os contratos com parceiros, fornecedores, colaboradores e voluntários, incluindo a elaboração de uma política de privacidade e proteção de dados.

E, por fim, é nítido que o terceiro setor terá impactos significativos com a LGPD, podendo até interferir em aspectos econômicos, uma vez que a captação de recursos pode depender de adequação às normas de proteção de dados. Por esse motivo, é fundamental que os dirigentes e colaboradores atuem de forma consistente no mapeamento dos dados coletados e realizem uma análise minuciosa para identificar se o tratamento realizado é compatível com os princípios e com as “bases legais” elencadas na LGPD, sempre com o objetivo de consolidar a cultura de proteção de dados pessoais nas Organizações.

Quais os riscos para as instituições em geral?

A AUDISA e Monello Advogados, empresa especializada em auditoria para o Terceiro Setor lista algumas considerações, que vão além de sanções, mas que podem ser tão ou mais prejudiciais à sua entidade.

Já existem pelo menos dois fatos que refletem a aplicação da LGPD, iniciando pelo primeiro caso de condenação por descumprimento desta lei e trata-se da empresa Cyrela, onde uma juíza paulista decidiu por uma indenização de R$ 10 mil a um cliente que teve seus dados compartilhados com parceiros sem autorização. A sentença foi proferida  em 29/09/2020.

O caso envolve um cliente que comprou um apartamento em novembro de 2018 e, na sequência, passou a receber ligações indesejadas de instituições financeiras e empresas de decoração oferecendo serviços associados à aquisição do imóvel. Na visão da juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, a Cyrela não apenas infringiu normas da LGPD como também direitos previstos no Código de Defesa do Consumidor e da própria Constituição.

Na interpretação da magistrada, a construtora feriu preceitos como a honra e a privacidade do reclamante, violando sua intimidade ao não apenas repassar seus dados pessoais, mas também revelar detalhes sobre a compra do imóvel. A juíza cita ainda que o contrato entre as partes envolvia apenas a inclusão dos dados no Cadastro Positivo e no próprio banco de dados da empresa, sem que o cliente tenha sido informado sobre o repasse das informações a parceiros comerciais ou terceiros.

O segundo é que o site MercadoLivre deverá suspender um anúncio referente a venda de banco de dados e cadastro em geral. A decisão é do juiz de Direito Caio Brucoli Sembongi, da 17ª vara Cível de Brasília/DF, ao determinar, com base na LGPD – Lei Geral de Proteção de Dados, que a empresa anunciante não disponibilize de forma gratuita ou onerosa, digital ou física, dados pessoais de qualquer pessoa.

Em casos de descumprimento, a decisão liminar do magistrado determina que será cobrado multa de R$ 2 mil para cada operação irregular realizada pela empresa na plataforma de vendas.

No entendimento do magistrado, a comercialização afrontou tanto a Constituição Federal quanto a LGPD.

Conclusão

A entrada em vigor da Lei Geral de Proteção de Dados Pessoais em agosto de 2020 colocará o Brasil em um outro nível regulatório, o qual é exigido no panorama mundial. A coleta, armazenamento e tratamento de dados pessoais é atividade básica da nova economia e ao mesmo tempo que abre um “novo mundo” de informações, também eleva o risco sobre como estes dados estão sendo tratados.

Tal legislação influencia não apenas o Brasil, como também, impacta em todos os países que tratam dados pessoais de cidadãos brasileiros, frente a sua ampla aplicação, quais sejam: operação de tratamento no território nacional, fornecimento de bens ou serviços ou tratamento de indivíduos localizados no território nacional ou quando os dados tenham sido coletados no território nacional.

A atual sociedade da informação exige o acompanhamento por parte das empresas de padrões éticos em suas atividades, não apenas por uma questão moral, mas sim, legal, buscando devolver o controle dos dados pessoais aos seus titulares, seus verdadeiros donos.

A proteção dos dados pessoais abarca múltiplas facetas, sendo o objetivo deste parecer a análise sobre as principais alterações trazidas pela Lei Geral de Proteção de Dados Pessoais brasileira e a ressonância dos direitos dos titulares no mundo digital, mais precisamente, referente ao tratamento de dados pessoais, com a devida observância aos direitos e garantias fundamentais, em suas múltiplas dimensões.

Vale ressaltar que a inobservância dos direitos fundamentais implica na ruptura das legítimas expectativas dos cidadãos e das empresas que pretendem agir com a devida eticidade, exigida no mercado atual e reforçada por esta legislação brasileira.

A eficácia dos direitos fundamentais, tanto nas relações públicas quanto privadas, atua como limite objetivo. O conteúdo da dignidade enuncia a compreensão de que o indivíduo é um fim em si mesmo, vedando-se a sua instrumentalização, o qual não pode ser tratado como meio para a consecução de objetivos ou metas de natureza coletiva.

Assim, é imprescindível que as organizações empresariais e a administração pública atentem-se aos grandes avanços proporcionados pela Lei Geral de Proteção de Dados Pessoais, de forma a estarem em compliance com o que fora nela previsto, evitando riscos e possíveis danos que possam culminar na aplicação de multaravíssimas e, principalmente, situações que possam ferir a reputação dessas oanizações.

FONTES DE CONSULTA:

Programa de Rádio Gaúcha Atualidades de 08/10/2020;

Provimento 68/2020 de 26/08/2020 – MPRS;

José Adriano Pinto – Blog Bluetax;

Blog contadores Conta Azul;

Adriano Ferreira – Domínio Sistemas;

Audito sistemas e auditoria;

AUDISA – Auditoria e Consultoria e Monello Advogados;

Vanessa Ruffa Rodrigues – Gerente da Consultoria Tributária/Terceiro Setor da Meira Fernandes Contabilidade e Gestão. Docente na Escola Superior de Advocacia de São Paulo (ESA-SP);

Jéremie Dron – Social Good Brasil (SGB);

Homero -HTec;

GIFE – associação dos investidores sociais do Brasil e

Maria Claudia Gouveia – Advogada especialista em direito contratual, Direito Digital e Proteção de Dados Pessoais.

Fonte: Roberto Onofrio – CRC-RS 049.568

Classifique nosso post post
Sair da versão mobile