Como adequar o seu escritório de contabilidade à LGPD
Valendo desde 2020, a Lei Geral de Proteção de Dados – LGPD é a lei que regulamenta o uso dos dados pessoais pelas empresas e pelas pessoas físicas que usam dados pessoais com finalidades econômicas.
Essa regulamentação trouxe uma série de princípios e regras que devem ser observados e cumpridos pelas empresas que usam dados pessoais, o que impacta de maneira diferente cada setor econômico.
Os escritórios de contabilidade são um dos seguimentos mais afetados, tendo em vista o alto volume de dados pessoais de clientes e de colaboradores de clientes que são utilizados diariamente no desenvolvimento de suas atividades.
E para evitar o uso em desacordo com a LGPD, abaixo você encontra algumas medidas que pode implementar ainda hoje no seu escritório de contabilidade.
Mapeamento de dados
O primeiro passo é fazer um mapeamento de dados para conhecer todos os dados pessoais que circulam no escritório de contabilidade e identificar seu ciclo de vida.
Nesse mapeamento serão levantadas todas as informações e documentos que o escritório utiliza, para identificar quais dados pessoais constam em cada um deles e como eles são utilizados internamente, por exemplo: como são recebidos, onde são armazenados, quem tem acesso, por quanto tempo são guardados e como são eliminados.
Verificar a finalidade e a necessidade de cada dado coletado
Depois de feito o levantamento dos dados é imprescindível entender para que esses dados, informações e documentos são utilizados e se eles são realmente necessários.
As vezes pode haver coleta de um documento que não é utilizado em nenhum processo e isso não é permitido pela LGPD, porque o agente de tratamento somente pode coletar e tratar os dados para uma determinada finalidade e deve se limitar a coletar somente aqueles estritamente necessário para se atingir aquela finalidade.
Por isso é imprescindível avaliar se existe um motivo para coletar aquele dado e se esse dado é indispensável para se atingir aquele objetivo. Após essa avaliação será necessário descartar e parar de coletar os dados, informações e documentos que não tenham finalidade e/ou não sejam necessários.
Restrição de acesso ao banco de dados
O terceiro passo é restringir o acesso ao banco de dados. Por isso será importante criar procedimentos internos de trabalho para que seja especificado quais pessoas das equipes terão acesso a determinadas informações e porque elas terão esse acesso.
Essa segmentação é importante para impedir que pessoas tenham acesso a dados pessoais sem necessidade e acabem colocando em risco a segurança da informação do escritório de contabilidade.
Com essa prática o escritório de contabilidade garante a confidencialidade, ou seja, que somente as pessoas autorizadas terão acesso a determinados dados e informações.
Implementação de medidas de segurança
Além da restrição de acesso, que é uma medida administrativa de segurança, é imprescindível que o escritório adote outras medidas que possam garantir não só a confidencialidade, mas também a disponibilidade e a integridade das informações.
Confidencialidade, disponibilidade e integridade são os pilares da segurança da informação e pretendem garantir que somente pessoas autorizadas tenham acesso aos dados, que os dados estejam disponíveis para o uso sempre que necessário e que os dados estejam sempre íntegros, completos e corretos.
Por isso, os escritórios de contabilidade devem implementar algumas medidas técnicas e administrativas de segurança para proteger o seu banco de dados, sendo que algumas das medidas mais utilizadas são: segmentação de acesso, criação de políticas, criação de senhas individuais, utilização de softwares, firewall, VPN e backup.
Revisão de contratos
Também será necessário revisar todos os contratos ativos do escritório de contabilidade e incluir previsões de responsabilidades relacionadas a privacidade e proteção de dados em todos os contratos de serviços que envolvam o compartilhamento de dados pessoais.
É importante incluir esses pontos para que a relação esteja mais segura, determinando quais são as obrigações e responsabilidades de cada uma das partes, e os dados pessoais mais protegidos, garantindo que somente serão utilizados os dados necessários para aqueles serviços e que eles serão acessados somente por pessoas autorizadas.
Treinamento da equipe
Por fim, é imprescindível que se treine a equipe, porque de nada adianta mudar processos e implementar medidas de segurança se a equipe não estiver engajada com a temática de proteção de dados e não souber como agir no dia a dia.
Então será necessário treinar a equipe, por exemplo, sobre a importância das mudanças que foram realizadas; mostrar quais foram as mudanças e como os processos devem ser realizados nesse novo cenário; e aprender sobre as novas medidas técnicas e administrativas de segurança da informação. E esse treinamento não será único e isolado, é importante manter um cronograma de atualização da equipe, com treinamentos periódicos, para que a equipe sempre relembre os processos e esteja sempre atualizada sobre privacidade e proteção de dados.