O segmento contábil deverá se atentar para a Lei Geral de Proteção de Dados Pessoais no desempenho de todo o trabalho que desenvolve. Isso porque um profissional de contabilidade atua de maneira diversificada e, independente de sua atuação ser ou não individual, inevitavelmente tratará dados pessoais.
Atento a tais informações, sob sua tutela está o controle do tratamento de dados de seus funcionários, clientes, fornecedores, parceiros, terceiros e, portanto, sua responsabilidade acaba se tornando ainda mais premente perante a lei.
Pode ser também que exerça uma atividade operacional, ou apenas de meio, quando realiza o processamento dos dados pessoais provenientes de um controlador, que é aquele a quem compete as decisões referentes ao tratamento de dados pessoais. Aqui há a ocorrência lícita de transferência dos dados pessoais por intermédio de um contrato, estabelecendo a definição dos papéis de cada um. Mesmo atuando como operador ele pode ser solidário nos casos de ocorrência de eventual vazamento de dados pessoais ou nos casos de incidentes que envolvam falhas de segurança.
Independentemente da forma, a adequação é obrigatória e deve ser pautada na natureza da atividade empresarial exercida por esse mister. Na contabilidade, os dados são dos mais variáveis, e podem conter informações comuns, especiais, e até sensíveis, a depender da situação. Um exemplo disso é a emissão de folhas de pagamento contemplando situações específicas, como empréstimos consignados, licenças, benefícios de familiares, assim como outras circunstâncias.
Portanto, para este segmento é necessário que a empresa ou o profissional inicie sua jornada de conformidade realizando o inventário de todos os dados pessoais que trata, categorizando-os e estabelecendo quem são os verdadeiros donos e responsáveis por eles. Diante disso, seguem-se as etapas de preparação, organização, implementação, governança e monitoramento ou avaliação, que não precisam seguir necessariamente essa ordem, pois tudo depende do nível de maturidade em que aquela organização se encontra, do que é ou não mais urgente e importante.
Ainda, necessárias as adequações contratuais, que deverão ser realizadas após definidas as principais diretrizes por meio de políticas próprias, essenciais para fins de alinhamento das responsabilidades de cada um. Isso porque em determinados casos, o contador pode atuar como controlador conjunto, somente como controlador e, até mesmo, como controlador e operador, papel a ser definido caso a caso.
Em relação as documentações dos clientes, folhas de pagamento, pagamento de impostos, relatórios, defesas administrativas e outros registros, todos devem possuir uma classificação e políticas especificas de retenção próprias para assegurar a sua guarda e armazenamento, quando ainda sejam necessários às finalidades que propõem. O ciclo dos dados pessoais deve ser todo documentado. Os registros e evidências devem estar em consonância com as políticas e regulamentos que regem as atividades contábeis e outras normas atinentes a privacidade.
Também importante que, além das certificações relacionadas a área de auditoria e riscos, outras, como a ISO 27001, auxiliem as empresas na padronização dos processos contábeis no que diz respeito a segurança da informação.
E, como se não bastasse, até que a Autoridade Nacional de Proteção de Dados Pessoais disponha de modo diverso, ter um encarregado de dados pessoais ainda é uma obrigatoriedade também para essas empresas. Ele terá a função principal de atender as demandas dos titulares, da ANPD, dos controladores e operadores, exercendo, muitas vezes, atividades multidisciplinares no seu papel de intercomunicador.
Essas são apenas algumas das adequações pontuais e urgentes que merecem especial atenção por parte deste segmento empresarial. Outras, igualmente importantes, também merecerão cuidados ao longo das atividades impostas pelas fases de implementação: definição das bases legais para cada um dos tratamentos realizados pela organização, checklists, entrevistas, avaliações e relatórios de Impacto, formulários, planos de resposta e de incidentes.
A importância a ser dada na implementação de dados pessoais em um ambiente contábil é altíssima, não somente do ponto de vista dos critérios que a lei define, mas também em relação às boas práticas e segurança no trato das informações e sistemas de tecnologia e informação, que devem estar alinhados junto aos princípios de missão e valores de cada atividade empresarial.
Assim, seja por meio de consultoria setorizada, ou até mesmo inserido em uma área dentro de uma organização, a definição de seu papel no tratamento de dados pessoais deve ser muito bem delimitada para que não incorram em responsabilizações que não fazem parte do seu escopo de trabalho. Seja um controlador ou um operador dos dados pessoais, é necessário que estejam claros os critérios relacionados a qual tratamento ele estará envolvido.