A preocupação com o tratamento adequado dos dados já faz parte do cotidiano das empresas e das instituições no Brasil. Iniciada em 2018, com a promulgação da Lei 13.709, a Lei Geral de Proteção de Dados (LGPD) tem se tornado cada vez mais relevante no ambiente interno das organizações, modificando as estruturas desses negócios e movimentando profissionais de diferentes áreas com o objetivo de se adequar à legislação vigente.
Seja como uma forma de ampliar o controle e impulsionar o compliance, seja pela necessidade de atenção às conformidades necessárias visando evitar sanções administrativas, as empresas, públicas e privadas, têm incorporado o tema da proteção de dados de forma gradual, assim como a estruturação da LGPD, que segue com aperfeiçoamentos e definições constantes durante os seis anos de criação da lei. Inspirada no Regulamento Geral sobre Proteção de Dados da União Europeia, a LGPD entrou em vigor em setembro de 2020, dois anos após a legislação do velho continente.
- LEIA TAMBÉM: Acesso a dados bancários impulsiona fiscalização tributária estadual e aumenta debate sobre sigilo no Brasil
Desde a implementação da LGPD, o setor contábil tem enfrentado transformações profundas. A legislação exige que os profissionais da área adotem uma postura mais rigorosa em relação à coleta, tratamento e armazenamento de dados pessoais de seus clientes, o que tem demandado uma revisão completa de processos e tecnologias. “A LGPD veio para mudar a forma como tratamos os dados dos nossos clientes, exigindo atenção total à segurança e à confidencialidade”, afirma a contadora Eliane Soares, empresária contábil e conselheira do CRCRS (Conselho Regional de Contabilidade do Rio Grande do Sul).
Os escritórios de contabilidade, segundo Eliane, precisaram se adequar rapidamente às exigências da lei, revisando contratos, treinando colaboradores e implementando medidas para garantir a conformidade. “É essencial que todos na equipe estejam cientes de suas responsabilidades no tratamento de dados sensíveis. Não basta apenas investir em tecnologia, é preciso promover uma cultura de proteção de dados”, ressalta.
A criação de novas funções dentro dos escritórios, como a do Encarregado pelo Tratamento de Dados Pessoais (DPO), também passou a ser uma exigência. O DPO atua como ponte entre os titulares dos dados, as empresas e a Autoridade Nacional de Proteção de Dados (ANPD), e tem um papel fundamental na garantia do cumprimento das normas. “A definição clara das responsabilidades do Operador e do Controlador dentro dos escritórios foi um passo importante, mas a figura do DPO é o centro dessa estrutura”, explica Eliane.
- LEIA TAMBÉM: LGPD, eleições e democracia
O custo de adequação à LGPD, incluindo investimentos em consultoria, tecnologia e treinamento, é elevado, mas, como alerta Eliane, não se adaptar à legislação pode sair muito mais caro. “As multas podem ser devastadoras, chegando a 2% do faturamento anual, com um teto de R$ 50 milhões por infração”, adverte. No entanto, Eliane acredita que a conformidade também traz oportunidades: “Cumprir a LGPD é mais que uma obrigação legal, é uma forma de mostrar aos clientes que somos parceiros confiáveis e comprometidos com a segurança de suas informações.”
Além de fiscalizar e aplicar sanções, a ANPD tem desempenhado um papel educativo, orientando empresas e cidadãos sobre a importância da privacidade e do tratamento adequado dos dados pessoais. “A adequação à LGPD é desafiadora, mas se traduz em ganhos tanto para os escritórios quanto para os clientes, promovendo uma relação baseada na confiança”, pontua Eliane.
Gestores precisam se atentar para as exigências da ANPD
Para executivo do Escritório Carpena Advogados, treinamento de funcionários é ponto a ser observado para evitar sanções
TÂNIA MEINERZ/JCResponsável por orientar, regulamentar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) já aplicou 18 sanções, em oito processos sancionadores diferentes, a empresas públicas e privadas até o momento. De advertências a multas, as decisões seguem o princípio instrutivo da legislação e auxiliam as empresas a compreender importantes lições para evitar penalidades e aprimorar seus processos internos.
"As sanções aplicadas pela ANPD revelam a empresários e gestores aprendizados de grande relevância sobre a conformidade do tratamento de dados pessoais das suas empresas com a LGPD, e destacam a necessidade de investimentos em segurança da informação e novas tecnologias, o aprimoramento de processos e a capacitação constante dos colaboradores", analisa Rafael Möller, que atua com o atendimento à LGPD na Carpena Advogados.
Ele reforça que, a partir das sanções aplicadas, a adoção de ações preventivas que impliquem em boas práticas pelas empresas se torna fundamental. "É obrigação do agente de tratamento incorporar todas as medidas possíveis e esforços necessários para identificar quais pessoas foram afetadas e realizar uma comunicação individual", explica.
Além das definições sobre as sanções administrativas, outro item concluído pela ANPD e que traz a necessidade de atenção por parte das instituições é o Regulamento de Comunicação de Incidente de Segurança. O documento apresenta as medidas a serem tomadas em caso de vazamentos e inclui a obrigatoriedade de comunicação à ANPD e aos titulares dos dados expostos, ampla divulgação nos canais oficiais da organização e informações que devem estar contidas no relato do incidente.
JC Contabilidade - Desde 2018, a LGPD tem passado por diferentes processos regulatórios, criando dispositivos de instrução sobre diversos temas relacionados ao tratamento de dados por parte de pessoas, empresas e instituições brasileiras. Como isso se relaciona com o compliance dentro das organizações e o que deve ser observado por elas?
Rafael Möller - A LGPD se refere a uma adequação de conformidade de diferentes agentes, como empresas, instituições e órgãos, e visa garantir que as operações envolvendo dados pessoais sigam as normas legais. Nesse sentido, acredito que o principal pilar a ser observado é o consentimento dos titulares dos dados e a transparência sobre como eles vão ser utilizados. É importante também o monitoramento dessas informações e eventuais auditorias para criação de mecanismos que assegurem a proteção dessas informações e consigam identificar e corrigir eventuais falhas. Um compliance consonante com a LGPD é fundamental para a saúde financeira das empresas, porque ajuda a evitar multas que, para algumas empresas, podem ter um valor bastante significativo.
Contab - Com o início das sanções aplicadas pela ANPD, qual o principal aspecto que as empresas e organizações devem estar atentas para evitar medidas administrativas impostas na LGPD?
Möller - Como a LGPD é uma lei nova para empresas, nós ainda estamos aprendendo como ela vai ser aplicada. É necessário que haja um trabalho preventivo e contínuo, porque frequentemente sai uma nova determinação ou sanção, e isso faz com que as empresas precisem readequar os procedimentos de proteção de dados utilizados. Para isso, acredito que o treinamento interno dos funcionários é o principal ponto a ser observado para evitar eventuais sanções, principalmente as mais pesadas. Isso porque, de acordo com a LGPD, se a empresa está realizando a capacitação dos funcionários e colaboradores, o entendimento é de que, em um eventual caso de vazamento, demonstra que a empresa buscou e está tentando prevenir, até porque, mesmo utilizando mecanismos de prevenção, eles não garantem que a entidade não está sujeita a ter dados vazados.
Contab - E em casos nos quais, mesmo realizando os procedimentos de segurança, acontecer um vazamento, qual é a resolução?
Möller - Ter dados vazados não necessariamente significa que houve uma violação LGPD propriamente, porque existem casos que não podem ser evitados, ainda que o agente de tratamento, que é o nome dado a empresa responsável por esses dados, estiver realizando os procedimentos adequados, treinando os funcionários e realizando as comunicações de segurança quando necessário.
Contab - O Regulamento de Incidente de Segurança da ANPD apresenta a obrigação de uma comunicação, por parte dos agentes de tratamento, em caso de vazamento de dados. Como ela deve ser realizada?
Möller - Quando há algum incidente de segurança, além de comunicar a própria ANPD, é preciso que haja uma comunicação pública. Por exemplo, se houver um vazamento de dados envolvendo pessoas X e Y, essa comunicação não pode ser exclusiva para um ou outro. Para garantir que essa informações chegue aos envolvidos, a empresa precisa comunicar também no seu site ou redes sociais oficiais, ou seja, os canais que a organização utiliza para se comunicar com o seu público. Uma das sanções impostas pela ANPD, que foi contra o Instituto de Assistência ao Servidor Público Estadual de São Paulo (Iamspe), foi justamente pela ausência dessa comunicação. As instituições precisam dar notoriedade sobre o suposto vazamento de dados, porque as pessoas precisam ter ciência de que suas informações foram expostas.
Contab - A publicização nos canais oficiais das instituições pode implicar em um grave dano para a reputação, sobretudo para empresas menores. Como elas podem se preparar para evitar esse tipo de sanção?
Möller - A questão da reputação é muito importante para as empresas, principalmente as privadas, mas não somente a elas. Uma das sanções aplicadas foi ao Instituto Nacional do Seguro Social (INSS), por não comunicar a ocorrência do incidente de segurança aos titulares dos dados pessoais. Então, a ANPD redigiu o texto a ser publicado no site deles e era um comunicado que tem uma redação imposta e, para uma empresa que dependa dessa reputação para o faturamento, pode manchar a imagem que foi construída por anos. Nesse sentido, se a empresa não comunicar, ela fica a mercê da ANPD e esse erro pode ser fatal para organizações menores.
Contab - Entre as instituições que sofreram, há uma predominância de organizações públicas em relação às privadas. O que podemos interpretar dessa disparidade?
Möller - Isso é um ponto bem interessante. Dos seis processos sancionadores aplicados pela ANPD até agosto deste ano, cinco deles foram aplicados ao poder público em decorrência de violações da LGPD. Ao meu ver, isso demonstra que a iniciativa privada buscou estar em conformidade com os procedimentos de proteção de dados mais cedo do que no caso das instituições públicas, por uma falta de percepção da lei. Todas as sanções demonstram que o poder público não tentou se adequar.