Elaboramos este artigo depois de um bate papo com Raphael Carrilho e Adriano Santos, eles são da Contmatic Phoenix e vieram nos ajudar nessa jornada de conhecimento, pois estão profundamente ligados a essa área de tecnologia.
Hoje nós temos a oportunidade de falar sobre este tema que tem tirado o sono dos empreendedores contábeis. Nós vamos entender como isso pode impactar as empresas contábeis e o que precisamos de fato começar a fazer estrategicamente.
Quais ações que precisam ser feitas para deixar a nossa empresa contábil preparada?
A LGPD LEI Nº 13.709, DE 14 DE AGOSTO DE 2018, vem tirando o sono não só do escritório contábil, isso se estende a muita gente.
Ela vem literalmente para garantir que as pessoas cuidem dos seus dados e que as empresas tenham responsabilidade sobre os dados dessas pessoas.
Isso até antes da LGPD, embora houvesse algumas outras coisas que garantiam essa segurança, não eram tão rígidas e emblemáticas quando a Lei Geral de Proteção de Dados Pessoais.
Regulamentação em relação a questão dos dados
Existem uma série de outras leis que já tratavam essa questão de dados.
Abaixo você pode ver alguns parágrafos relevantes da lei:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei. (Incluído pela Lei nº 13.853, de 2019) Vigência
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
É importante lembrar que a LGPD cuida de qualquer dado, não somente os dados online. Caso você imprima um relatório por exemplo, deixou na mesa e foi parar fora do escritório é um dado que vazou.
Quando essas leis surgiram elas focaram principalmente nos dados em papel, procedimentos e processos nas empresas.
Hoje, como tudo praticamente é feito pelo computador, ela vem muito forte sobre esta questão de segurança da informação.
Vamos a seguir fazer algumas perguntas comuns sobre o tema, com o objetivo de esclarecer dúvidas. Confira!
Dentro de uma empresa contábil, o que seriam esses dados pessoais?
Os dados pessoais são quaisquer dados que identifiquem uma pessoa:
- Rg;
- CPF;
- Título de eleitor;
- Cartão de banco.
Dentro do escritório nós temos o cadastro de sócios, que já é um dado de pessoa natural. Temos também a folha de pagamento, onde há muitas dessas informações também.
No departamento de legalização temos muitos dados sobre o responsável pela empresa, que está em um outro tipo de cadastro e os dados do cliente.
A grande maioria como trata a LGPD são dados de pessoas naturais.
No escritório, principalmente no software onde você trabalha os seus dados estão concentradas a maioria dos dados. Atualmente as informações estão em muitos lugares, espalhada dentro de um escritório de contabilidade.
Qual o cuidado que temos que ter com essa informação que está espalhada?
O mundo ideal é que você tenha tudo centralizado em um único local, mas sabemos que dentro do escritório contábil ainda temos muito papel, sistemas diferentes e tudo isso acaba gerando brechas para que os dados vazem.
A primeira alteração tem que ser no site do escritório, disponibilizando nele a política de privacidade, dizendo o que eu farei com os dados e como são protegidos.
O titular do dado tem que saber o que vai ser feito com os dados e a empresa coletar apenas os dados suficientes para fazer o trabalho dela.
É preciso deixar claro e avisar o cliente se for coletar dados extra, pois embora não seja primordial, está sendo coletado para alguma finalidade.
Como adequar essa questão da proteção de dados?
O ideal é colocar dentro de um contrato ou em outro documento específico. Hoje temos a entrada através do meio digital onde você deve colocar na política de privacidade, tendo que informar todos os dados coletados e para que são usados, todas as possibilidades que podem ser utilizados.
Porém, quando você também fecha um contrato de papel com as pessoas, tem que ter essas cláusulas contratuais informadas.
Se eu quiser coletar dados adicionais preciso deixar escrito no meu contrato o porquê estou coletando os outros dados.
Todos os escritórios de prestação de serviços dos escritórios contábeis com seus clientes eles precisam ter cláusulas específica relacionadas a Lei Geral de Proteção de Dados.
Todos os contratos terão que ser refeitos?
Terão que ter no mínimo um termo aditivo, porque justamente é preciso adequar e estar em consonância com a Lei Geral de Proteção de Dados.
Não basta somente inserir no seu site, uma vez que tem um contrato firmado, você tem que ter a segurança contratual.
O segundo ponto, é a partir deste contrato o que fazer dentro do escritório de contabilidade para que o vazamento de dados não aconteça.
Na Tactus Contabilidade nos deparamos com uma realidade com nossos alunos – a grande maioria já virou essa chave – mas uma parte deles ainda não tem contrato de prestação de serviços.
Neste caso, temos uma segunda irregularidade, pelo fato de não ter contrato, a irregularidade contratual – que é uma proteção bilateral – a questão da ilegalidade em relação ao CFC que obriga a questão de termos um contrato, e a questão da Lei Geral de Proteção de Dados.
Quem está nessa situação vive um momento preocupante?
Sim, essas pessoas precisam regularizar o quanto antes para atender o Conselho Federal de Contabilidade e a parte de LGPD, pois se os dados vazarem, nenhuma das partes está segura.
Como você vai saber onde começou a responsabilidade de cada um?
No caso de vazamento de dados, hoje temos penalizações extremamente severas e se não tem um contrato que determine o que cabe para cada parte fazer, as duas partes serão autuadas.
Existem personagens que são muito bem descritos na LGPD como o controlador que detém informação, operador e a figura do DPO.
E num sentido de vazamento de informações é preciso saber o papel do controlador e operador e quem é o DPO nessa história. Vamos explicar quem são os personagens detalhadamente estabelecido pela lei:
- Controlador: A empresa que solicita as informações para a sua atividade final.
- Operador: São os funcionários dessa empresa, que coletam os dados e trabalham com esses dados para relatórios, conteúdos gerenciais e etc.
- DPO: Esse deve ser colocado publicamente como o encarregado dos dados da empresa. Pode ser uma equipe, uma pessoa, terceiro, funcionário.
Nós indicamos que seja sempre um funcionário, ninguém melhor que um funcionário para conhecer os processos da empresa.
Ele vai adequar às regras, mas não coloca a “mão na massa”. O DPO verifica quais são as regras e adequa para as leis e em caso de vazamento, faz a comunicação da empresa para a NPD informando aos clientes.
Caso o DPO seja desligado da empresa, como fica responsabilidade?
Neste caso há um conflito entre a LGPD e a Lei Previdenciária.
A LGPD diz que o DPO pode exigir que seus dados sejam apagados, só que eu tenho outra legislação que obriga que eu tenha 15/20 anos os dados no departamento pessoal de funcionário.
Isso gera um conflito, mas a obrigação legal é sempre superior a questão da LGPD. No caso que não são necessários do escritório, pode ser apagado.
É necessário informar os clientes contratualmente que compartilho os dados com os parceiros?
Sim, você deve informar. Está dentro das boas práticas se você entrar em qualquer site, verá que as empresas hoje compartilham publicamente na sua política de privacidade com quais empresas elas dividem esses dados.
O cliente tem todo o direito de revogar, porém, se é algo primordial para a empresa terá que haver um consenso ou revogação contratual.
O consentimento dado pelo nosso cliente pode ser revogado?
Sim, pode ser revogado a qualquer momento.
Hoje uma das cláusulas da LGPD diz isso, que o consentimento pode ser revogado.
É sempre importante pensar nessa questão do relacionamento com o cliente.
Como proteger o escritório de um vazamento de dados através dos colaboradores. Vou ter que fazer um contrato com cada colaborador?
Na verdade você já tem um contrato com o seu colaborador, o que você precisa fazer é adequação dele. Neste caso, estamos nos referindo a política de confidencialidade.
Ou seja, enquanto for um funcionário da empresa todos os dados que tratar são pertinentes ao trabalho dele, ninguém tem que saber e recomendamos que é preciso fazer essas adequações no contrato.
Quem está controlando o vazamento de dados? Quais são as penalidades?
Quem vai cuidar dessa parte de vazamento de dados é a Autoridade Nacional de Proteção de Dados, ela foi instituída junto com a lei, porém hoje não tem atores, sócios ou pessoas que vão cuidar dela.
No caso de denúncia, a ANPD vai entrar em contato com o DPO da empresa que foi denunciada, que vai apurar, encontrar onde vazou e fazer a defesa e procurar onde vazou.
A lei deixa uma coisa bem complicada para todos, no caso de vazamento de dados a empresa terá que expor publicamente que houve um vazamento e quais dados vazaram.
Além da penalidade financeira, institucionalmente é muito difícil a empresa se recuperar dessa mancha institucional e algumas empresas podem até ser proibidas de trabalhar com dados.
Ter um sistema na nuvem (gerenciamento documental, ERP contábil e utilizar ferramentas online) protege a empresa contábil?
Sim, principalmente na questão de tecnologia e segurança da informação.
A segurança do seu servidor, quem tem que garantir é o provedor.
Garantir que ninguém vai invadir ele ou destruir os dados dele, ou até mesmo se apropriar desses dados de forma indevida.
Mas 90% dos vazamentos hoje são de fatores humanos, apenas 10% de software.
Não adianta ter backup, criptografia ter anonimização, antivírus e todas as políticas possíveis e imagináveis se o fator humano também não está empenhado em cuidar dos dados.
É preciso que os colaboradores estejam engajados com essa proteção e deve haver algum tipo de controle.
A questão de dados “sensíveis” tais como raça, cor, credo e sexualidade precisam ser cuidados com maior gravidade?
Sim! Dados sensíveis são dados que você pode usar contra uma pessoa, como dados biométricos, estado de saúde, posicionamento político, orientação sexual, filiação sindical, convicção religiosa, tudo o que possa gerar alguma forma de preconceito.
Muitas dessas informações não têm utilidade para a empresa, mas por algum motivo são coletadas e essas podem ser consideradas informações que podem gerar algum tipo de discriminação.
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos daLei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: (Redação dada pela Lei nº 13.853, de 2019) Vigência
I – a portabilidade de dados quando solicitada pelo titular; ou (Incluído pela Lei nº 13.853, de 2019) Vigência
II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. (Incluído pela Lei nº 13.853, de 2019) Vigência
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. (Incluído pela Lei nº 13.853, de 2019) Vigência
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
§ 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.
§ 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.
§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.
§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
É claro que existem casos específicos e outras legislações.
O DPO pode ser o sócio proprietário do escritório contábil?
Sim, como dissemos o DPO nada mais é do que um encarregado.
A pessoa que vai ser responsável em melhorar os processos, em cobrar os processos e no caso de um vazamento, de um problema será a figura que vai responder pela empresa perante a ANPD.
Pode ser qualquer pessoa, desde física até a jurídica, desde que ela se torne responsável por isso.
É melhor que seja alguém de dentro da empresa, sócio ou colaborador, porque conhece o ambiente e está ali no dia a dia.
Quem é o melhor profissional para atuar como DPO aos escritórios contábeis? O contador pode prestar esse tipo de serviço aos escritórios uma vez que estiver qualificado?
Sim, sem nenhum problema. O escritório contábil pode oferecer melhorias de adequações ao cliente e pode também ser o DPO do escritório do cliente dele. O grande diferencial é que o contador já tem a rotina para administrar o escritório dele e vai ter que entender toda a rotina e processos do cliente dele para propor melhorias e adequações de segurança.
O DPO não é punido criminalmente no caso de problemas, porém terá que mostrar os processos dentro da empresa e o que ela fez para evitar o vazamento. No caso de vazamento, ele terá que se retratar e vir a público, além disso, correr atrás das melhorias para que possa voltar a trabalhar com dados.
Embora a lei já esteja em vigor, as penalidades e sanções vão acontecer a partir de agosto de 2021.
A partir de quando a lei entrou em vigor, os clientes já podem começar a processar as empresas pelo vazamento de informações e etc.
As informações que vão para as obrigações acessórias precisam de autorização?
Tudo o que é feito em caráter governamental que seja compartilhado com o governo por uma necessidade ou solicitação do governo que esteja previsto em alguma outra lei, acaba se sobrepondo a LGPD.
O cuidado que eu preciso ter a mais é que dentro dessas informações tem os dados sensíveis que precisam ser garantido, mais do que qualquer outro dado, que esses dados não vazem e que as pessoas não sejam discriminadas por isso.
Quando o cliente solicita o envio de documentos para terceiros deve ser evitado ou ter uma autorização já basta?
Basta que ele mande uma autorização por e-mail permitindo que seja enviado por parte do escritório os dados financeiros para o banco, ele está consentindo, basta imprimir isso e anexar.
Mas, você precisa ter alguma forma de provar que ele consentiu aquilo. Se é algo que você oferece como serviço, é interessante ter um adendo para se resguardar pegando o consentimento.
As empresas pequenas, na questão da impressão de documentos, por exemplo, devem mudar o mindset e não pensar pelo fato de serem pequenas não vão aguentar os custos para ter uma impressão controlada. Às vezes você acaba reduzindo custo quando pensa em novas possibilidades!
O volume de empresas contábeis que migrou o sistema que era local para a nuvem foi muito grande?
O pessoal da Contmatic afirma que a demanda cresceu muito e que antes da pandemia, os contadores ainda tinham a visão de que nuvem era algo caro, complicado e havia uma mistificação.
Muitos contadores partiram para ferramentas de acesso remoto e muitos tiveram problemas de invasão de hackers porque a porta estava aberta “para o mundo” e sofreram sequestro de dados.
Neste momento eles tiveram que ir para a nuvem e a demanda cresceu muito e muita gente percebeu que haveria uma redução de custos para migrar para a nuvem.
Tudo isso se relaciona somente a dados pessoais? Ou por exemplo, caso o faturamento do cliente seja vazado também se aplicam as multas previstas?
A LGPD só trata dados de pessoas ou de titulares, ou seja dados de vazamento de empresas são tratados por outras legislações.
Informações ao período anterior a LGPD precisam de algum tratamento específico?
Sim, é preciso fazer a adequação de todos os tratamentos, afinal de contas você tem os dados sendo eles antigos ou atuais você tem que coletar o consentimento para usar ou não.
O termo que deve ser enviado para o cliente é a privacidade ou política de informação. O termo de confidencialidade é o da empresa para o seu colaborador. É sempre interessante consultar o advogado para adequar a realidade de cada empresa.
Já existem advogados prestando este tipo de serviço?
Sim, muitos escritórios contábeis e advogados estão se especializando nisso e é uma oportunidade de negócios para empresas contábeis ampliar serviços.
Os dados dos clientes são normalmente os mesmos: nome, cpf ou CNPJ, e-mail. No caso de vazamento, como saber que esse dado vazou do escritório?
Neste caso você precisa de uma auditoria interna, para entender como o dado saiu: se foi por e-mail, invasão, um pendrive ou algum colaborador imprimiu.
Todo o dado no momento que você habilita uma auditoria sobre ele, deixa algum rastro e você consegue chegar à origem do vazamento.
A empresa como um todo precisa estar engajada para melhorar o sistema de segurança.
Muito se fala sobre a segurança dos dados nas nuvens, no caso dos dados estarem no Google podem ser acessados?
Definitivamente isso não acontece e se acontecer há uma auditoria muito minuciosa. Nenhum tipo de dado é compartilhado livremente dentro de data centers, isso não é real.
Isso é muito utilizado para manchar a imagem, alguns profissionais de TI acabam falando que a nuvem não é legal para garantir a manutenção de servidores.
Muitas informações sobre a Lei Geral de Proteção de Dados, certo?
Sim! São muitas informações e nosso objetivo é que você tenha acesso a maior parte delas possível.
Todas as informações disponibilizadas foram baseadas no que temos de informação no mês de outubro de 2020.
Ainda ficou com alguma dúvida sobre o tema? Entre em contato conosco!
I don’t think the title of your article matches the content lol. Just kidding, mainly because I had some doubts after reading the article.
Very nice post. I just stumbled upon your blog and wanted to say that I’ve really enjoyed browsing your blog posts. In any case I’ll be subscribing to your feed and I hope you write again soon!
Muito bom esse post!