Ana Amelia Menna Barreto
Convite do Conselho Regional de Contabilidade da Paraíba. Resumo da live ocorrida em 08/10/2020
Bem vindo ao mundo dos dados – tão bem conhecidos pela contabilidade. Seguramente a profissão há mais tempo digital, que iniciou sua jornada no processo de informatização do Fisco.
O universo da contabilidade são dados: vocês trabalham, acessam e processam dados todo o tempo.
O foco dessa apresentação é prático: como, quando, quem
LGPD é um assunto complexo com pouca aderência apesar de estar no nosso dia a dia, permeando o cidadão e as empresas, mas antes de tratarmos especificamente da gigante congruência entre a LGPD e Contabilidade, gostaria de começar pela sua vigência. Você pode nos esclarecer melhor o porquê dessa vigência por partes?
Durante a tramitação legislativa a Lei foi alterada para adiar as sanções administrativas e multas. Foram prorrogadas para agosto 2021.
Lembrando que a ANPD definir as sanções por regulamento, que será objeto de consulta pública, e somente após publicadas para ciência dos agentes de tratamento.
A quem ela se aplica e quais os principais objetivos da LEI?
Trata-se de um novo marco legal com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, criando uma série de direitos ao titular dos dados .
Estão obrigados a cumprir a LGPD pessoais físicas e jurídicas de direito privado e público, que realizem tratamento para fins econômicos de indivíduos localizados no território brasileiro
Gostaríamos de entender sobre alguns novos conceitos trazidos no artigo 5º, pois a mesma possui termos técnicos fundamentais para a compreensão e correta aplicabilidade da lei, você pode nos falar sobre alguns desses termos?
A lei traz as definições e ações que pertencem ao ecossistema de privacidade e proteção. Os dados e o titular dos dados são os protagonistas da LGPD.
Vamos analisar ! Quantos sistemas informatizados a contabilidade acessa para repassar informação de seus clientes ?
Conectividade Social = Sefip = Sicalc = Caged = Empregador web
Dctf = RAIS = Dirf: Imposto de renda = Receita Federal = DEFIS
Quais os dados de clientes e empregados que a contabilidade acessa ?
.Dados trabalhistas: empregador doméstico, segurado especial, MEI, cadastro Geral de Empregados e Desempregados, admissão e rescisão do trabalhador, movimentação do trabalhador, informações referentes a rescisão ao Ministério do Trabalho
.Débitos e créditos tributários federais > Informações sobre o FGTS do trabalhador > Imposto de renda >Apuração dos impostos federais > Retenções federais, PIS, COFINS, Contribuição social, irpi > informações sociais (cor, raça, salário, grau de instrução) > movimento da empresa (saldo de banco, número de funcionários, retirada de pró-labore e lucro, venda, compra e transferência de mercadoria.
O titular, precisa conhecer e ter direito de acesso ao fluxo dos seus dados desde a coleta até a destinação, inclusive opinando pela destinação dos mesmos, dando mais autonomia ao titulares para controlar o que será feito com seus dados. Você pode falar mais detalhadamente sobre o atendimento do princípio do livre acesso e sobre esse fluxo de dados? (Art. 9º)
A Lei elencou os princípios e fundamentos em que se baseia o tratamento de dados que observados pela Autoridade Nacional para aplicação de penalidades. O princípio do livre acesso é um deles. Exige a garantia de consulta facilitada e gratuita ao titular sobre a forma, duração do tratamento e sobre a integralidade de seus dados pessoais.
Foram elencados uma série de direitos para que titular exerça o controle sobre o uso e destinação de seus dados. O titular tem direito a solicitar as seguintes informações: Confirmação da existência de tratamento; Acesso aos dados; Informação a respeito do compartilhamento de dados; Informação sobre a possibilidade e consequências do não fornecimento de consentimento; Correção de dados; Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; Portabilidade dos dados; Eliminação dos dados; Revisão de decisão automatizada; Revogação do consentimento
Se qualquer dado disponibilizado for exposto, quem será responsável será a PF ou PJ que obtém esses dados e não cumpriu com o check list de segurança desde a entrada até a saída do mesmo.
Vamos dividir em 2 respostas. O responsável será o detentor dos dados, a PF ou PJ que realiza o tratamento
Os agentes de tratamento são novos atores. A empresa deve indicar o OPERADOR – a pessoa que toma as decisões relativas ao tratamento. O OPERADOR realiza o tratamento definido pelo controlador. O ENCARREGADO é a pessoa que atua como elo de comunicação entre os usuários e a autoridade nacional. Que tanto pode ser física ou jurídica.
Para que isso seja evitado, entra então a criação do termo de consentimento ou autorização de uso de dados cadastrais. Do que se trata esse termo de autorização e consentimento?
Existem 10 bases legais que autorizam o tratamento. O consentimento é apenas a primeira delas. Existe também o tratamento necessário para a execução de contrato. Falando sobre consentimento: uma cláusula contratual pela qual a parte AUTORIZA o tratamento. É indispensável atualizar seus contratos, inserindo a cláusula de consentimento do titular.
Quanto ao término do tratamento vivenciamos outra realidade. Porque o contador não pode simplesmente jogar fora documentos que lhe foram confiados: que existe a necessidade legal de preservação dos dados, cumprindo-se a TTD , a tabela de temporalidade documental.
Chamo atenção para um termo que há na Lei e que de certa forma é novo para nós que é: tratamento dos dados. Em minha leitura percebi que nós contadores além de sermos possuidores desses dados, somos controladores, operadores e tratamos esses dados o tempo inteiro, desde a coleta, até a destinação final. Qual o nível de responsabilidade que nós contadores temos sobre esse mundo de informação que nos permeia e qual o impacto para os escritórios de contabilidade?
Tratamento é toda e qualquer operação realizada com dados pessoais, inclusive o armazenamento. O contador é o Controlador e Operador dos dados em seu poder. É o responsável pela guarda segura, pelo armazenamento dos dados confiados. Já ouvimos falar de invasão de sistemas, ransoware. Tive vários alunos contadores que foram vítimas de sequestro de dados.
Responsabilidade legal = Obrigação e reparar o dano de ordem material, moral, individual ou coletivo.
Ressarcimento de danos = Garantia de efetiva indenização ao titular pelo controlador/operador.
Qual o passo inicial resolutivo que devemos dar para adequação à lei?
Não existe receita de bolo. Mas existem passos obrigatórios a serem seguidos para se atingir a adequação – um processo de constante gerenciamento e revisão.
. Crie um comitê de privacidade – defina responsabilidades
. Levante os dados coletados e qualidade (sensível?); Qual a base legal de tratamento? É necessário buscar o consentimento?
. Faça o fluxo de dados: Qual o caminho percorrido pela informação. Quais áreas da empresa coletam dados, quem coleta, quem acessa?
. Adote procedimentos para exercício do direito dos titulares .
. Site: Anuncie sua política de privacidade, indague sore a permissão para uso de cookies , informe o encarregado, com link para envio de mensagem
. Gestão contratual: atualize as cláusulas < gestão do consentimento < autorização compartilhamento para a autoridade fiscal. Obrigatoriamente se transfere informações do cliente ao governo.
. Revisão do consentimento do cliente
Seu legado: Congele os dados antigos
Higienizar base antiga: Cadastro – dados – níveis de acesso – eliminação
. Busque a adequação dos parceiros = software privacy by design
Conforme a Lei: as empresas terão de apresentar relatórios de impacto à proteção de dados pessoais. O que deve constar nesse relatório e quem é o responsável por apresentá-lo?
TODO processo necessita de análise de impacto!
O que é:Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais
Quando é necessário?: Quando a atividade de tratamento possa gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco
Quem é obrigado a elaborar?: Responsabilidade do controlador
Elementos: Deve conter no mínimo: a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Na sua visão como será essa aplicabilidade, sem ainda ter sido criada a ANPD autoridade nacional regulatória e fiscalizatória?
Independente da instalação da ANPD, a Lei está em vigor. A aplicação das sanções é competência exclusiva da ANPD, órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.
Essa competência prevalecerá sobre as competências correlatas de outras entidades e órgãos da adm. Pública = SENACON, CADE, ANATEL, ANS, a ANAC. Em se tratando de relação de consumo o titular poderá exercer seus direitos perante os organismos de defesa do consumidor.
A Lei serve para garantir a confidencialidade inclusive de operações estratégicas que acontecem entre empresas, na minha visão, nesse contexto ocorrerão muitas alterações contratuais, inclusive com a inclusão nesses contratos do termo de acordo de confidencialidade. Gostaria que comentasse sobre essa colocação.
A gestão contratual é elemento crucial PARA ADEQUAÇÃO. DEVE acontecer a customização de acordo com o serviço prestado. O titular deve conhecer o uso de seus dados e o contador deve obter o consentimento. Você compartilha dados? Necessário conhecimento e em alguns casos , o consentimento do titular.
Qual a função do Encarregado ou DPO (Data Protection Officer)?
É a pessoa – indicada pelo controlador e operador – para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
De uma forma geral quais os impactos sobre a governança Empresarial?
Afeta todos processos de negócio, indica a evidência de riscos. Acesse o Programa de Governança de Dados Pessoais do MPDFT, que estabelece diretrizes, obrigações e protocolos
E os impactos da Lei para as pequenas empresas, inclusive MEI? Elas também terão que se adequar?
A lei não excetuou o cumprimento pelas PME, como aconteceu no regulamento europeu. A Autoridade PODERÁ criar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação.