LEI GERAL DE PROTEÇÃO DE DADOS – LGPD – IMPACTO PARA OS ESCRITÓRIOS DE CONTABILIDADE

1. Introdução
A Lei Geral de Proteção de Dados – LGPD, instituída por meio da Lei n° 13.709/2018, trouxe um grande impacto para todas as empresas, pois, estabelece regras mais específicas a serem aplicadas no tratamento de dados da pessoa física, como, por exemplo, nome, RG, CPF, imagem, entre outros.

Veremos agora qual os impactos desta lei aos escritórios de contabilidade que, para o desenvolvimento de suas atividades realizam o tratamento destes dados.

2. Conceito
Em conformidade com a Lei n° 13.709/2018, artigo 5°, temos o seguintes conceitos:

a) dado pessoal: dados da pessoa física, identificada ou identificável;

b) tratamento: operações como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, de dados pessoais;

c) consentimento: manifestação por parte do titular, que concorda com o tratamento dos seus dados para uma certa finalidade;

d) controlador: pessoa física ou jurídica que é o responsável pelas decisões pertinentes ao tratamento de dados pessoais de pessoas físicas, como, por exemplo, dados de seus clientes, funcionários, sócios, dirigentes, prestadores serviços;

e) operador: pessoa física ou jurídica, que realiza o tratamento de dados em nome do controlador, como, por exemplo, funcionário dos seus clientes, do tomador do serviço do cliente, dentre outros dados utilizados para cumprimento de obrigações acessórias;

f) titular: pessoa física a qual pertencem os dados tratados;

g) encarregado: pessoa que ficará responsável pela comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), sendo está indicada pelo controlador e operador;

h) agente de tratamento: refere-se ao controlador e o operador.

3. Impacto para os Escritórios Contábeis
Para os escritórios de contabilidade, a LGPD tem grande impacto, visto que para o desenvolvimento das suas atividades são necessárias a coleta e manutenção das informações de todos seus clientes, e que muitas vezes se referem a dados de pessoas fisicas.

Conforme cita o Conselho Regional de Contabilidade do Estado de São Paulo – CRCSP em Notícia de 23.10.2019:

“Nesse cenário, o escritório de contabilidade guarda um verdadeiro tesouro dos clientes. Todas as informações contábeis, fiscais e financeiras de empresas e seus colaboradores, pessoas físicas e seus familiares, podem passar por ele. Todo contador processa dados pessoais diariamente e, portanto, também deve cumprir a LGPD.”

Como objetivo desta lei é proteger os direitos fundamentais de liberdade e de privacidade das pessoas naturais, os escritórios deverão criar mecanismos, de identificação dos fluxos das informações, implementação de softwares, sistemas e políticas internas para garantir a aplicabilidade desta normativa. (Lei n° 13.709/2018, artigo 1°)

4. Dados a Serem Tratados
Os dados a serem tratados com observância a LGPD, se referem aos de pessoas naturais, ou seja, informações de pessoas físicas. (Lei n° 13.709/2018, artigo 1°)

Como exemplos de dados de pessoas física: CPF, RG, CNH, CTPS, Certidão de Nascimento, Casamento, Diplomas, Fotos e Imagens Pessoais, Endereço, e-mail, Telefone, entre outros.

Nos escritórios de contabilidade se tem os dados de funcionários de seus clientes, como nome, RG, CPF, dados dos dependentes, endereço, também há o processamento dos dados dos sócios, pessoas físicas, para eventuais alterações contratuais ou entrega de obrigações acessórias.

5. Regras de Tratamento dos Dados
Antes de processar um dado de pessoa física, o escritório de contabilidade deverá observar as regras de processamentos de dados estabelecidos por esta lei.

No artigo 7° da Lei n° 13.709/2018 são mencionadas dez hipóteses que legitimam o tratamento de dados pessoais.

Se destacada a condição para o “consentimento”, que corresponde a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, ou seja, para que determinada empresa possa utilizar os dados de terminada pessoa física, deverá ter o consentimento desta.

Porém, este mesmo artigo menciona situações que o processamento de dados não necessita do consentimento do titular, a qual é possível citar o caso dos escritórios de contabilidade. Como:

a) cumprimento de obrigação legal ou regulatória pelo controlador, como utilização de dados pessoais para envio de obrigações legais tais como, DIRF, EFD-Contribuições, EFD-Fiscal, NFe, NFSe, DMED, DMOB, etc.

b) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados, como, por exemplo, operação de inclusão de dados pessoais de sócios/titulares pessoas naturais em contratos sociais.

6. Adaptação a LGPD e Identificação de Informações
Para os escritórios de contabilidade se adaptarem a LGPD, é necessário a identificação de algumas informações, como veremos a seguir.

6.1. Controlador, Operador e Encarregado
Como vimos no item 2 desta matéria, temos que o controlador é o responsável pelas decisões pertinentes ao tratamento de dados pessoais de pessoas físicas; e o operador é quem que realiza o tratamento de dados em nome do controlador.

O Escritório de Contabilidade pode ser tanto controlador quanto operador de dados pessoais:

Controlador Operador
Com relação aos dados pessoais (de pessoas físicas) de seus clientes, funcionários, sócios, dirigentes, prestadores serviços, será considerado o Controlador da informação Com relação aos dados pessoais (de pessoas físicas) de terceiros, ou seja, do funcionário dos seus clientes, do tomador do serviço do cliente, dentre outros

Quando o escritório contábil estiver como operador, a utilização dos dados é especificamente para envio de obrigações acessórias.

O escritório passando a usar os dados relacionados aos seus clientes para outras finalidades que não sejam as estritamente contratadas, o mesmo será compreendido nesta operação como sendo um controlador também.

Em relação ao encarregado, este deverá ser definido pelo controlador, sendo este responsável por: (Lei n° 13.709/2018, artigo 41, § 2°)

a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

b) receber comunicações da autoridade nacional e adotar providências;

c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

6.2. Identificação dos Dados Utilizados no Escritório
Na identificação dos dados utilizados pelo escritório deverá ser aplicado o princípio da finalidade, conforme dispõe o inciso I do artigo 6° da Lei n° 13.709/2018:

I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Sendo assim, deverá ser realizado um mapeamento dos dados de pessoas físicas que a empresa possui e identificar se essas informações são úteis e necessárias para o desenvolvimento das atividades para qual o escritório contábil foi contrato.

Depois dessa análise, é necessário a identificação do fluxo dessas informações dentro do escritório e quem tem acesso a elas. Dessa forma, é possível organizar os processos, diagnosticar as vulnerabilidades da empresa, como no caso do acesso indevido de terceiros a esses dados.

Após a análise dos dados e do fluxo dessas informações na empresa, é possível identificar a necessidade de implementação de um sistema que processe e proteja essas informações, estabeleça políticas internas para proteção desses dados e até mesmo a criação de um comitê responsável por proteger essas informações.

6.3. Boas Práticas e Governança
De acordo com a LGPD é permitido aos controladores e operadores criarem e estabelecerem regras de boas práticas e de governança, que tenha por objetivo definir as normas de segurança, obrigações específicas, procedimentos de organização funcionamento, entre outros. (Lei n° 13.709/2018, artigo 50)

Diante dessa hipótese, pode o escritório de contabilidade, estabelecer um comitê interno, responsável por definir estas normas e práticas de proteção de dados, o qual também ficará incumbido por disseminar isso internamente, através de criação de cartilhas, regulamentos e treinamentos.
Fundamentação Legal: Já citada no texto.