Solução para Contadores & Advogados


Solução para Contadores & Advogados

Solução para implantação da ISO 27.001

Soluções em Hardware

Soluções de Software específicos de segurança e governança de dados


Você já parou para pensar que um escritório de contabilidade/advocacia guarda um verdadeiro tesouro dos clientes? Todas as informações contábeis, fiscais e financeiras, processos, procurações, atas, estatutos dos clientes passam por eles.

Estes dados tão importantes vão gerar uma preocupação a mais: a adaptação à Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em fevereiro de 2020 e vai alterar a forma de lidar com eles.

Com mudanças tão importantes, os setores contábeis de empresas de diferentes segmentos e os próprios escritórios de contabilidade e advocacia já sentem os impactos. Eles influenciam diretamente a rotina de diversos negócios e precisam ser conhecidos a fundo. 

Com a LGPD algumas coisas podem mudar. E é sobre ela que vamos falar neste texto.

1. O que é a LGPD? 

A Lei Geral de Proteção de Dados visa proteger os dados pessoais físicos e digitais das empresas e cidadãos brasileiros. As mudanças alteram significativamente as obrigações das empresas quanto ao tratamento de informações pessoais. 

Seja o manuseio feito por colaboradores, funcionários de empresas terceirizadas, clientes e fornecedores. A finalidade é aumentar a proteção à privacidade dos indivíduos e o controle sobre seus próprios dados.

Além disso, deverão informar devidamente aos titulares sobre as condições em que seus dados são coletados e utilizados. Do contrário, o consentimento pode não ser válido. Esta autorização pode ainda ser revogada a qualquer momento. Neste caso, as empresas deverão interromper a coleta ou utilização de dados daquele titular.

Para se adaptar à LGPD será necessário ‘colocar ordem na casa’: mapear os dados, classificá-los, organizá-los de acordo com a base legal que autoriza o seu tratamento e torná-los mais seguros.

2. A LGPD e os impactos nos escritórios de contabilidade

O impacto da LGPD nos escritórios de contabilidade é direto, já que essas empresas possuem informações importantes sobre seus clientes e outras pessoas. 

Por estarem envolvidas com a regulamentação, devem ser adotadas várias mudanças, que podem garantir a adequação à lei e à proteção das atividades. Para os escritórios contábeis, é mais importante ainda gerenciar os documentos dos clientes, pois são eles os responsáveis por demonstrar que eles operam dentro da legalidade. 

Por isso, gerir adequadamente a documentação é fundamental para a comunicação entre clientes e o escritório. Além disso, investir na segurança de dados pessoais por meio de uma plataforma contábil, fazer uma boa gestão dos tributos e do financeiro, organizar e reter adequadamente estes arquivos pode ajudar na segurança e proteção dos dados.

Segundo estimativa do Gartner, em 2019, o investimento global em segurança da informação deverá crescer 8,7%.

O não cumprimento das definições da LGPD, como garantir o consentimento do titular do dado a ser usado e informá-lo sobre como será usado, pode ter graves consequências às empresas de contabilidade.

A lei define claramente multas e sanções significativas. Desde comunicados e advertências até multas. E  algumas dessas multas são bem pesadas – podem chegar a R$ 50 milhões por infração cometida – e podem impactar muito os escritórios de contabilidade. Assim, mesmo que a implementação de novas práticas gere muitas demandas, é melhor aderir a elas do que sofrer as penalizações.

3. Como os escritórios de contabilidade podem se adaptar

Nesse processo de adequação, algumas medidas devem ser colocadas em prática. Os escritórios de contabilidade devem preparar-se diante do que a LGPD define como prioritário na proteção e gestão de dados. Veja, a seguir, como a lei impacta as empresas e quais medidas devem ser tomadas.

1. Consentimento no recolhimento e uso de dados

Como citado anteriormente, a única pessoa que pode autorizar os escritórios de contabilidade a usá-los é o titular dos dados. Esse consentimento explícito deve ser reforçado especialmente em sistemas digitais. 

2. Diferenciação entre controlador e operador

A Lei também exige que as empresas definam quem irá fazer uso dos dados. Isso é determinado em dois níveis de trabalho: de controlador e de operador. A responsabilidade de cada um é diferente: o controlador direcionará o que será feito com os dados. Já o operador é quem lida com eles, na prática. 

3. Comitês de segurança da informação

Os escritórios de contabilidade devem criar um Comitê de Segurança da Informação para avaliação das medidas de proteção de dados próprios e dos clientes. Neste comitê haverá um profissional exclusivo, o Data Protection Officer, responsável pelo cumprimento da nova lei. 

4. Medidas de redução de exposição

O escritório contábil deve utilizar técnicas de segurança administrativas e de operações diversas, implementadas de forma ampla, para que todos os colaboradores possam praticar. Isso também é parte do trabalho do comitê de segurança da informação.

5. Responsabilidade das terceirizadas

Os escritórios de contabilidade que tiverem subcontratadas devem exigir que elas também se adaptem às medidas de proteção de dados, porque estarão também sujeitas às sanções em casos de vazamentos. Assim, é fundamental ter clareza quanto aos procedimentos de segurança.

4. Como a tecnologia ajuda os escritórios de contabilidade

Como a maior preocupação da LGPD é com a segurança e vazamentos de dados, um sistema de gestão em nuvem é capaz de dar a segurança que o contador do futuro precisa. Com o uso dessa ferramenta não é necessário guardar mais nada nos computadores ou no servidor da empresa, o que garante muito mais segurança. 

Mas não é só a proteção dos dados que aumenta com a computação em nuvem. Plataformas on-line de gestão contábil, como o ONVIO, trazem outros benefícios.

A computação em nuvem é um dos recursos que trazem muito mais praticidade para os profissionais do escritório, facilitando a interação com os clientes e a conclusão das atividades. Além disso, garante a segurança dos dados e aumenta a produtividade do time.

Até 2020, 83% dos ambientes de trabalho ficarão na nuvem, segundo a Forbes. Como conceito, ela permite que qualquer tipo de dado esteja sempre acessível para os usuários de qualquer lugar do mundo, sendo acessado a partir de qualquer navegador e dispositivo móvel.É impossível negar a importância da tecnologia nos processos de uma empresa contábil. 


NORMAS: 

ISO 27701: “a certificação da LGPD”

A ISO 27701:2019 é um padrão internacional para proteção de dados que chegou ao mercado Brasileiro em dezembro de 2019, com o lançamento da ABNT NBR ISO/IEC 27701 – Técnicas de segurança: extensão para gestão da privacidade da informação.

A norma já está adequada à GDPR (General Data Protection Regulation) e à LGPD brasileira, facilitando a implementação dos controles de proteção de dados nas empresas.

Para obter a certificação, as empresas deverão primeiro se adequar à ISO 27001:2013 (padrão internacional para sistema de gestão da segurança da informação) e fazer a extensão para a ISO 27001:2019 (sistemas de gestão de segurança privada).

É importante ressaltar que a certificação ISO 27001:2013 não garante o compliance com a LGPD, embora já inclua várias exigências da lei, tais como:

  • Identificação e atribuição de responsabilidades pela proteção de ativos
  • Classificação da informação
  • Controle de acesso para limitação de acesso à informação por pessoas não autorizadas
  • Controle de fornecedores para cumprir requisitos de segurança da informação
  • Gestão de incidentes de segurança da informação.

Mas, faltam alguns pontos que só são contemplados pela ISO 27001:2019:

  • Atribuição de papéis dentro do tratamento de dados e diferenciação de responsabilidades (controlador/operador)
  • Diferenciação de definição e tratamento de dados pessoais e dados pessoais sensíveis
  • Mapeamento de banco de dados com suaclassificação por origem, base legal e finalidade
  • Garantia dos direitos dos titulares
  • Comunicação transparente para o titular de dados sobre a finalidade do uso de seus dados.

Logo, a ISO 27001:2013 pode ser usada como base para a adequação à LGPD: basta observar os pontos adicionais da extensão de 2019 e adotar como boas práticas na empresa.

Por enquanto, a nova norma ainda não foi integralizada no país, o que permite que as empresas incorporem as regras de forma independente.

Como adaptar sua empresa contábil à LGPD

Ainda há muitas dúvidas sobre como atender às exigências da LGPD em empresas contábeis.

Para acertar na adequação, siga os passos abaixo.

1. Prepare os dados

O primeiro passo para adequar sua empresa contábil à LGPD é realizar um mapeamento dos dados armazenados (fluxo e inventário). 

Nesse momento, também é importante identificar as bases legais para o seu contexto de negócio, revisando a Lei nº 13.709/2018.

2. Nomeie um encarregado de dados

A lei exige que a empresa nomeie um encarregado de dados: uma pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Nesse caso, o responsável DPO (Data Protection Officer) pode um profissional dedicado às questões da proteção de dados, um escritório ou um colaborador que tenha conhecimento e experiência na área, desde que não haja conflito de interesses.

3. Crie e implemente um programa de privacidade de dados

O próximo passo é criar seu programa de privacidade de dados nos termos da lei, observando os seguintes aspectos:

  • Políticas de segurança, privacidade, classificação e retenção de dados
  • Cronograma de retenção de dados
  • Formulário de consentimento do titular (quando necessário)
  • Registro dos resultados da AIPD (Avaliação de Impacto sobre a Privacidade de Dados)
  • Aviso de privacidade
  • Código de conduta
  • Contrato de processamento de dados(segurança jurídica e acordo para assegurar o controle)
  • Treinamento contínuo em privacidade. 

4. Implemente a governança

Para garantir o funcionamento do programa, também é importante implementar a governança de dados.

Para isso você deve criar um procedimento de resposta e notificação para casos de violação de dados, um registro para esse tipo de incidente e inventário das atividades de processamento.

Além disso, deve prever cláusulas contratuais padrão para a transferência de dados pessoais para outros países.

5. Avalie e melhore continuamente

Por fim, é importante acompanhar as leis e resoluções para manter seus processos sempre atualizados e em conformidade com as normas.

Se possível, é interessante conduzir auditorias e avaliações de compliance, além de monitorar as operações que envolvem privacidade e proteção de dados em geral. 

A ISO 27001 na contabilidade pode auxiliar escritórios a garantir segurança das informações além da LGPD.

A lei geral de proteção de dados (LGPD) entrará em vigor em agosto de 2020 e tem causado uma movimentação no mercado pela busca por soluções de proteção da informação e garantindo que as empresas estejam em conformidade com lei. Mas isso basta para ter segurança das informações em um escritório de contabilidade? Vamos entender como a ISO 27001 na contabilidade pode auxiliar nessa proteção.

A lei, realmente traz uma nova cultura para nosso país e para todos os ramos de atividades que utilizam dados pessoais, ou seja, praticamente 100% das empresas. Esse é um grande ganho para todos, tanto para a empresa quanto o proprietário da informação (em geral os consumidores que fornecem seus dados pessoais).

Mas o que gostaria de falar vai um pouco além dessa obrigação legal, vai além de atender uma legislação para não levar multa. Gostaria de falar sobre garantia do negócio quanto à perda de informação, seja ela de relativa a dados pessoais ou importante para operação de uma empresa.

Vamos pensar em um escritório de contabilidade que tem diversas atribuições para pessoas físicas e jurídicas. Quais são as informações que transitam na operação de um escritório de contabilidade? Dados pessoais atrelados às empresas como todas as informações pessoais de sócio, colaboradores, financeiras incluindo dados bancários. Informações que devem ser protegidas de acordo com a LGPD, mas e as informações jurídicas?

E todas a informações de faturamento, dados cadastrais, senhas, assinaturas digitais, impostos governamentais que se vazarem podem gerar riscos de fraude gigantescos e acabar com a operação do escritório, a marca e gerar prejuízo financeiro e até mesmo a falência da organização?

Por isso temos que ir além da LGPD, precisamos pensar em uma solução global para garantir a segurança da informação de toda empresa. Que traga a visão de gerenciamento de risco permeando todos os processos do escritório de contabilidade e assim garantindo sua operação livre de risco de vazamento de informação.

Mas se não temos uma lei que nos obriga a realizar toda essa proteção qual a melhor forma de gerenciar as informações no escritório? Podemos classificar em três grandes grupos de risco:

  • Riscos físicos,
  • Riscos oriundos do comportamento humano e;
  • Riscos digitais.

Vamos detalhar um pouco mais cada um dos riscos e pensar como pode afetar o escritório de contabilidade.

Os riscos físicos afetam diretamente a continuidade do negócio, isso quer dizer, que um dano físico com grande proporção pode parar completamente a operação, levando à falência. Podemos pensar em situações extrema como catástrofe ambiental (inundações, terremoto, furacões, queimadas, entre outros acidentes ambientais). Para gerir esse risco ter um sistema de backup em nuvem, ou servidores em locais extremante protegidos é uma boa solução.

Existem aqueles riscos mais prováveis como a queda de energia, perda de rede de telecomunicações e comprometimento da conexão com a internet, e no momento do pico de energia a queima de equipamentos, que não utilizam backup tendo como consequência a perda de informação contida naquele equipamento. Esse é um exemplo muito simples e bastante factível e que pode afetar a integridade das informações do escritório de contabilidade. Informações de clientes podem ser comprometidas e afetando diretamente a qualidade do serviço do escritório que não atenderá a necessidade do cliente.

Os riscos de comportamento humanos são aquele que estão atrelados ao mal uso da informação comprometendo a confidencialidade. Uma série de atividades cotidianas que não são naturalmente vistas como risco, mas são riscos sim, como por exemplo: computador aberto em local público com informações disponível, acesso à redes públicas e desprotegida (de hotéis, shopping, aeroporto e tantas outras). O risco de roubo de celulares, notebook ou tablets que são utilizados para acessar informação da empresa. Isso pode acontecer quando mantemos os equipamentos no automóvel ou em bolsas em locais públicos.

Esses riscos são os mais difíceis de serem controlados, já que depende de seres humanos e não simplesmente da instalação de uma ferramenta de proteção. Por isso o treinamento contínuo e a evidência da importância da participação de todos é crucial para minimizá-lo.

E os riscos digitais são aqueles ligados aos sistemas utilizados, bancos de dados, redes e conexões entre outros. E para eles uma série de ações de segurança podem e devem ser realizadas para garantir que não ocorra vazamento de informações do escritório e além de prejudicar o escritório podendo levar a crimes contra seus clientes. Algumas dessas ações incluem o gerenciamento de acesso, sistemas de criptografia, proteção contra vírus, conexões seguras, qualificação de fornecedor de software garantindo que eles tenham proteção adequada.

Esse conjunto de ações levará à um sistema de segurança de informação que garanta a integridade, confidencialidade e acessibilidade de informações e dessa maneira a continuidade do negócio.

Assim se inicia um gerenciamento de riscos à segurança da informação no escritório, mas seguir padrões internacionais de segurança pode ser ainda mais eficiente. A ISO 27001 é reconhecida mundialmente e apresenta um método de determinar, gerir e eliminar o risco. Num sistema de planejamento e avaliação, plano de ação, monitoramento adequado para sempre aumentar a eficiência do sistema implementado.

Dessa forma é possível entender como a LGPD atende um pequeno pedaço da operação dos escritórios e não garante 100% de segurança. De maneira complementar, ter ações de proteção de dados pessoais e dados gerais do escritório elevará o padrão de segurança e o gerenciamento de risco da empresa garantindo a continuidade das atividades sem envolvimento processual e crimes cibernéticos.