Fale conosco

8 passos para a proteção de dados no escritório

Antes de continuar, leia novamente a pergunta acima e reflita por alguns segundos se você esta realmente seguro na sua resposta…

A partir disso, tenho uma boa e uma má notícia!

A boa é que mais de 89% dos escritórios não estão nem um pouco preocupados com a Lei Geral de Proteção de Dados até este momento de 2021.

Assim, você não é o único que ainda não se movimentou para implementar regras mínimas de segurança de dados no seu escritório.

A má notícia é que, independente da sua preocupação ou dos seus concorrentes, a Lei chegou para ficar e as tentativas de prorrogar a vigência ou “aliviar” as exigências até agora não vingaram.

E só para ajudar, a ANPD (Autoridade Nacional de Proteção de Dados) que é quem fiscaliza a coisa toda, publicou esta semana no Diário Oficial as regras e rotinas de fiscalização em todo o país.

Ou seja: não é uma questão SE você vai ter de se adaptar, mas sim QUANDO você terá que se mexer para que não acabe na fila dos autuados, dos endividados (sim, as multas vão para a Divida Ativa da União e para o CADIN) ou pior: dos proibidos de tratar dados.

Para te ajudar a refletir sobre o assunto e para te mostrar que colocar seu escritório nos trilhos da LGPD é possível com alguma dedicação, montei esse passo a passo de como a coisa toda funciona e o que você precisa fazer.

Importante destacar que a LGPD se aplica a quaisquer tipos de dados pessoais sensíveis sejam eles digitais ou físicos (papel, livros, documentos etc).

Eu não sei você, mas seu concorrente certamente não quer perder honorários pagando multas por falta de documentos. Veja agora como evitar isso.

PS: só para ajudar, em cada passo eu adicionei um “O que você ganha com isso?” pra te ajudar a entender o reflexo da medida no seu negócio e na sua atividade profissional.

Passo 1 – Aceita que dói menos – Reunião de conscientização

Escritório contábil que se preze tem pouquíssimo tempo para reuniões. Seja presencial ou virtual, contabilidade tem uma rotina tão frenética que mesmo quando trabalhamos lado a lado com nossos colegas, mal conseguimos dividir os problemas do dia a dia.

Mas quando se trata e um assunto novo e que impacta na vida de todos (sim, de todos!) ainda mais por culpa de uma lei nova e cheia de regras e novidades “nunca antes na história” é fundamental uma reunião com todos os envolvidos.

E a primeira deve ser com todo mundo, até mesmo para que seja feita uma pergunta básica:

Todo mundo sabe ou ja ouviu falar em proteção de dados? Sabem o que é a Lei Geral de Proteção de Dados?

Não se assuste com as respostas… e torço para que no seu time alguém pelo menos levante a mão e diga que leu alguma coisa ou que ja ouviu falar.

Se nem isso acontecer, um conselho: CORRA para fazer com que pelo menos todos entendam que as informações que você recebe mensalmente dos seus clientes contêm centenas de dados pessoais sensíveis e que a sua equipe e seu escritório são responsáveis por proteger esses dados.

Caso você mesmo não tenha as informações necessárias para falar sobre LGPD com seu time, siga esse infográfico para que possa aprender rapidamente sobre os conceitos principais:

Caso prefira passar um vídeo para o seu pessoal nessa reunião, deixo aqui um link com uma explicação bem especifica e pontual do que é a LGPD para um escritório de contabilidade.

Veja que cada item do gráfico ou do vídeo precisam de atribuições especificas, que vamos falar delas mais adiante. O importante é que todos entendam que tudo está interligado e que a participação coletiva é essencial.

Aqui tem também um video que eu mesmo gravei para um treinamento para escritórios de contabilidade com um mapa mental bem específico e objetivo para que todos possam entender as responsabilidade envolvidas no contexto.

O que você ganha com isso?

Bom, por mais que as novas exigências da lei sejam mais uma forma do Governo transferir para você medidas que seriam dele, simplesmente não fazer nada e esperar a notificação definitivamente não é um bom caminho. Afinal, imagine seus cliente sabendo que você não toma nenhuma atitude para proteger os dados deles como a lei manda?

Passo 2 – Cada um no seu quadrado – defina um encarregado, atribua tarefas e faca um mapa de dados

Apos mostrar a todos os itens básicos que envolvem a LGPD, temos que atribuir tarefas claras a todos os departamentos, incluindo você! Sim, proteção de dados é uma cultura e deve começar com o dono e a alta direção.

Não se trata de um “faca o que eu digo, não faca o que eu faço” porque no final, a responsabilidade da Lei em caso de infração é do controlador-operador, ou seja, você.

Você precisa literalmente indicar alguém que vai assumir o papel de “encarregado” pelos dados, pelo mapeamento e pelos relatórios. Até porque essa pessoa será a via de contato e esclarecimentos com a ANPD, conforme consta da lei.

Esse encarregado pode ser um colaborador que já está na sua equipe e que se identifique com essas atribuições. Ou pode ser um terceirizado (já existem empresas com essa mão-de-obra as a service).

Encarregue uma pessoa de cada departamento para ser a responsável por colher as informações para montar o mapeamento básico de dados. Talvez você nunca tenha ouvido falar em mapeamento ou data mapping, então vou dar uma rápida explicação.

Mapeamento de dados nada mais é do que conseguir alimentar uma planilha com várias classificações que a lei exige para indicar os tipos de dados que você tem acesso, como coleta, como trata, como armazena e de que maneira deleta ou mantêm eles no seu escritório e por quanto tempo.

Este é uma tela de um modelo básico de mapeamento de dados para o meu escritório. Como aqui só cabe uma foto, veja que a planilha possui:

  • varias abas, sendo uma para cada departamento (no meu caso foram 6)
  • dezenas de tipos de dados (no meu escritório identifiquei mais de 50 dados distintos)
  • colunas com os classificações essenciais para cada dado (na minha planilha foram 30 colunas de critérios)
  • e em cada coluna eu classifiquei com dezenas de outras variáveis, algo assim:

Ou seja: para cada coluna com um critério, existem os enquadramentos da lei e das exigências. Enfim… se você não envolver todo o seu time, montar essa planilha vai levar séculos!

O que você ganha com isso?

Nomear alguém para cuidar do processo e das implementações deixa você menos assoberbado de trabalho (que você já tem demais, eu sei!) e ajuda em uma análise mais imparcial dos riscos e das medidas. Quando o próprio operador ou o controlador assumem essa tarefa, é muito difícil não queimar etapas por achar que o processo “já está bom”.

Passo 3 – A união faz a força – Envolva o jurídico e o pessoal de T.I.

Sim, eu sei o quanto é difícil colocar na mesma sala os advogados e seu pessoal de informática! Mas eles precisam de uma trégua para fazer a coisa acontecer.

Essa fase é muito importante pois muitos escritórios Brasil afora acham que meia dúzia de modelos de termos de consentimento e uma ou outra alteração no contrato com os clientes já é suficientes para estar em conformidade com a LGPD.

Infelizmente tem muito advogado por ai falando que “basta ter o consentimento” que a coisa está resolvida. Ledo engano!

Não quero te decepcionar caso ja tenha investido algum dinheiro com advogados que formatam esses modelos e eles te disseram que “ é só preencher isso, colocar esse aditamento e pronto!”

A LGPD vai custar algum dinheiro para ser implementada, isso é fato! A diferença é que não adianta gastar mal e ainda ficar descoberto para tomar multas. Por isso mesmo fiz esse passo a passo para te ajudar a checar se ainda falta algo para sua maior segurança.

A T.I. vai ser essencial para dizer quais os riscos tecnológicos potenciais da sua atual estrutura, além de sugerir as melhorias estruturais: maquinas, softwares, sistemas, critérios de segurança digital, cryptografia e por ai vai.

Já o jurídico é fundamental para identificar os riscos burocráticos e legais do procedimento: termos de consentimento, aditamentos com clientes, aditamentos com fornecedores, revalidação de contratos de prestadores de serviços, especialmente os sistemas onde seu time roda os fechamentos, além de se familiarizarem com as regras ja publicadas pra atendimento a fiscalização da ANPD.

Além disso, o jurídico vai ter que atuar muito próximo do encarregado no atendimento a ANPD quando seu escritório for requisitado a fazê-lo.

O que você ganha com isso?

Envolver o time do jurídico e da tecnologia fará com que os estudos mais aprofundados sobre os seus papeis, aditamentos, critérios de segurança e medidas para a equipe seja mais profissional e que sejam verificados fatores de risco que você nem iria imaginar. Além disso, vai dar a estes profissionais um papel importante na construção das políticas de privacidade e a você, a segurança necessária para evitar multas e vazamentos.

Passo 4 – Quanto mais, melhor – Detalhes todos os riscos (reais e potenciais)

O próximo e crucial passo é usar o mapa de dados e as orientações do encarregado, jurídico e do T.I. para identificar seus riscos reais e potenciais nos dados tratados pelo seu escritório.

Acredite, você vai se surpreender com as diversas “possibilidades” de vazamento ou de mau uso dos dados pelos quais pode ser responsabilizado.

Identificar os riscos é tão ou mais importante do que qualquer outro processo de implantação da LGPD. A lei geral de dados possui alguns princípios que precisam ser levados em consideração quanto aos dados, mais ou menos nessa ordem:

Partindo destas premissas, seu escritório PRECISA demonstrar que adotou medidas mínimas necessárias para eliminar ou pelo menos minimizar os riscos. Mais do que parecer, é preciso demonstrar como se faz!

E é exatamente por esta razão que identificar todos os riscos efetivos e que possam ocorrer (potenciais) torna-se um exercício permanente e que deve ser refeito pelo menos a cada 12 meses.

O mercado muda, as pessoas do seu time mudam, o perfil dos seus cliente muda. E a cada momento a Autoridade Nacional de Proteção de Dados está criando regras e adequações importantíssimas que vão muitas vezes precisar de readequação das rotinas.

Como falamos acima, na planilha do mapeamento é importante ter um campo mais ao final onde apareçam os seguintes campos:

a) especificação do risco

b) probabilidade do risco

c) impacto do risco

d) nivel do risco

e) numero do risco

f) medida para tratar o risco

g) efeitos da medida sobre o risco

Com esses fatores mínimos, já é possível montar um relatório bem estruturado dos riscos, que, como você verá mais adiante, irão compor o seu relatório final para a autoridade fiscalizadora.

O que você ganha com isso?

Você pode negar o quanto quiser, mas a verdade é que você, neste exato momento, não faz a menor ideia dos riscos e exposições de dados dos seus clientes que tem no seu escritório. Montar o mapa de dados e de riscos vai jogar na sua cara o tamanho do problema, da responsabilidade e do risco financeiro. Entender isso vai fazer você se mexer!

Passo 5 – Se existe dado, ele pode ser vazado – Defina as medidas de segurança para cada risco encontrado

Esse passo em especial merece um tópico justamente pela dificuldade que muitos escritórios tem de definir que medidas serão adotadas caso o risco seja identificado.

Não sem motivo! Nossa cultura latina dificulta bastante nosso olhar clinico e de planejamento, alem da visualização de cenários que possam impactar em determinado evento.

Assim, esse campo do seu relatório de mapeamento deve ser preenchido dado a dado, ja que cada um possui particularidades e características que cada departamento possui em particular.

Um exemplo: Uso do certificado digital do cliente para emitir situação fiscal na Receita Federal.

É bastante comum que certificados dos clientes fiquem com o seu escritório, seja para transmissão das obrigações, seja para consultar a caixa postal eletrônica ou acessar o e-cac.

Porém o que deve ser analisado nesse caso é: quem usa, como usa, com quem fica a senha, em qual maquina ele é usado, o que é feito com a informação gerada a partir do acesso, os riscos do uso indevido.

Como estamos falando de riscos, o uso indevido pode ser identificado no seu caso, digamos, no armazenamento do certificado. Vamos supor que ele fique em um armário do seu escritório, com todas as senhas coladas nele e que qualquer um de qualquer departamento possa pegar e usar a qualquer hora.

O risco potencial é de um uso indevido e da divulgação da senha de acesso. Além disso pode ser usado para fazer opções tributarias em nome do cliente sem que ele tenha solicitado (pedir um parcelamento, rescindir um parcelamento, optar por determinado regime tributário).

A medida que você pode adotar nesse caso, seria: retirar todas as senhas dos cartões e guarda-las em separado deles.

Entendeu a relação entre o risco e as medidas a serem adotadas?

Esse tópico precisa ser muito bem desenhado com sua equipe, até mesmo para não travar o dia a dia das rotinas de trabalho.

O que você ganha com isso?

Não basta dizer que sabe, é preciso provar que tomou os cuidados necessários! É uma máxima simples e objetiva que vai derrubar muito dos seus concorrentes no mercado. Ou segue o formato adequado, ou é problema na certa.

Passo 6 – Quem gasta mal, gasta dobrado – Treine TODA a equipe (sério, sem exceções!)

Sério! Isso é muito sério, mesmo!

Não adianta fazer todo um discurso de proteção de dados, de gestão de informações, nomear o encarregado, envolver o T.I., o jurídico, a alta direção, instalar sistemas mais seguros, colocar política de privacidade no site e criar dezenas de rotinas para diminuir os riscos se TODO o seu pessoal não for treinado.

Quando eu digo todo é desde a secretaria, a telefonista até o Diretor Master (caso seja você mesmo, a carapuça é para servir).

Temos uma mania incorrigível de querer fazer a “coisa pela metade” para economizar. No fim, fica mal feito, nem todo mundo entende o que tem que ser feito nem como, e acabamos com um problema maior do que o anterior: falhas de comunicação.

Por isso, é importante desenvolver uma cartilha mínima de política de dados, uma integração para todos os colaboradores atuais e uma rotina de treinamento para os novos que serão contratados no futuro.

Acredite, não adianta achar que quem esta hoje no time vai treinar quem esta chegando. É uma questão de escassez de tempo e senso de urgência: quem esta chegando que tem que se preparar, enquanto quem ja esta na rotina tem que conseguir cumprir os prazos da vida contábil (que aqui entre nós, não são nada fáceis!)

Se o seu escritório é pequeno, eu recomendo que segmente os treinamentos por departamentos. E faça VOCE um treinamento completo.

Caso seu escritório seja médio ou grande, o mais adequado é que todos façam um treinamento completo já que a dinâmica dos departamentos pode mudar e a comunicação entre eles precisa ser clara do porque um setor usa o mesmo dado de um jeito e outro setor de outro. E isso só é possível quando todos entendem o que acontece em um e em outro setor de maneira transparente.

Existem empresas especializadas em implementação de LGPD que você pode escolher de acordo com o seu orçamento. Os valores de implantação variam de R$ 12 mil a R$ 50 mil e levam entre 3 a 6 meses de implantação.

Se você não pode esperar esse tempo todo nem investir esses valores, vou deixar aqui os links para uma série de cursos online, de implantação imediata e divididos por departamentos, assuntos, facilidades e um completo.

Acredite, faça ao menos um para compreender os impactos e a amplitude de tudo que vem ao galope da LGPD. Dinheiro bem gasto é com conhecimento… e nunca conhecer a lei fez tanta diferença quando o assunto é não ser multado por mau uso de dados pessoais.

Garanto que há formação para todos os gostos e todos os bolsos. O mais importante a saber é que neles você consegue, além do treinamento, os modelos de implementação e Certificado de conclusão ao final (e esse certificado vai ser muito importante, e te conto mais adiante!)

O que você ganha com isso?

DINHEIRO! Ou alguém aqui está afim de ficar torrando milhares de reais em medidas de adequação? Melhor custo benefício sempre foi um santo remédio em situações de novas exigências legais.

Passo 7 – Diga-me com quem andas e te direi quem és – Prepare o relatório completo exigido pela ANPD

Sim, no final tem que preparar um relatório. Senão, qual seria a graça de ter esse trabalho todo?

A Autoridade Nacional de Proteção de Dados determina que o documento necessário pra atender qualquer requisição mínima dela é o chamado Relatório de Impacto a Proteção de Dados Pessoais – RIPDP.

Nele, existe um resumo bem estruturado de todo o caminho percorrido pelo seu escritório e pelo seu time para atender as exigências da LGPD. É ele quem vai provar para a autoridade fiscalizadora que você fez tudo o que estava ao seu alcance para evitar ou minimizar o riscos existentes.

Dentre vários campos deste relatório, um deles merece especial atenção, que nos leva ao passo 6 acima: TREINAMENTO.

Não basta dizer que todos sabem, é preciso provar que todos foram capacitados para saber.

Por isso, ter um certificado de cada colaborador treinado é fundamental para compor esse relatório. Ele também precisa ser assinado por TODOS os envolvidos, desde a reunião, os levantamentos, o mapeamento dos dados e os treinamentos.

Vou reforçar, já que todo contador precisa ter isso em mente: ESTE SERA O DOCUMENTO A SER APRESENTADO A FISCALIZAÇÃO, compreendeu? Perfeito! (sim, em todos os treinamentos que indiquei acima existe um modelo apenas para ser preenchido do seu futuro RIPDP).

O que você ganha com isso?

Ter todo esse trabalho e adequar seu escritório, mas não fazer o devido registro na ANPD significa que todos os esforços ficarão guardados em segredo com você e sua equipe. Já imaginou o peso de falar aos seus clientes que suas medidas de segurança dos dados deles estão todos informados para a Autoridade de Dados?

Passo 8 – Seguro morreu de velho – Busque um seguro cibernético contra vazamentos de dados

Eu sei que não temos uma cultura de prevenção. Alias essa é uma das grandes barreiras que todas as empresas terão que enfrentar quando se trata de gestão de dados pessoais.

Nunca precisamos nos preocupar com isso nesse nível e com a nova lei parece que não se fala de mais nada a não ser essa necessidade incansável de proteger e adotar medidas para o principal produto do que entregamos ao fisco mensalmente: dados sensíveis.

Da mesma forma, os riscos só aumentam a cada dia. Bandidos especializados em invasão cibernética, roubo de dados e vazamentos triplicaram os ataques as empresas entre 2020 e 2021, sendo que a tendência é piorar. Dados do mercado indicam que o setor de serviços (sim, o seu, o meu e os demais escritórios) estão entre os top 10 mais procurados como alvo de invasão.

E sabe porque?

Isso mesmo – porque eles sabem que praticamente ninguém esta preocupado em nosso setor em tomar medidas de prevenção – o famoso “pagar para ver”. E a conta vai chegar, garanto!

Apenas imagine a situação:

“chega pela manha no escritório, liga os computadores e todos recebem a seguinte mensagem na tela de abertura – seu sistema foi invadido e todos os seus arquivos estão criptografados – se quiser eles de volta, deposite BTC 0,01 na hash “………” em até 48h – caso contrario tudo deletados e divulgados.”

PS: só de referencia caso você não seja muito familiarizado com bitcoins, o montante de 0,01 dela hoje equivale a mais ou menos R$ 5 mil.

Ou seja: quanto vale a segurança dos dados do seu escritório (e dos dados dos seus clientes que estão sob seus cuidados?)

Caso nunca tenha vivenciado isso, te desejo do fundo do coração que nunca precise passar por algo assim. É frustrante, apavorante e totalmente imprevisível!

Por essa razão, adicionei esse oitavo passo sobre a contratação de um seguro. Já existem algumas empresas com apólices para a LGPD, mas é preciso ficar atento as condições e critérios. Além disso, se a seguradora não pedir o seu RIPDP ou seu mapeamento de dados, analise com mais atenção para saber se ele realmente cobre os possíveis vazamentos, indenizações, custos com perdas e demais sinistros com dados cibernéticos.

O que você ganha com isso?

Ter um seguro para ataques e vazamentos cibernéticos é a maneira mais barata e eficaz de ter alguém para pagar a conta se tudo der errado! Jogar fora anos de credibilidade e de economias para arcar com multas e processos é coisa que não poderia sequer estar nos riscos do seu escritório. Seu tempo é o bem mais valioso que você possui, e perder dinheiro (e tempo!) porque não quer investir em segurança, certamente não é o seu objetivo de vida.

Resumindo

O cerne de toda essa questão sobre a Lei de Dados é bem simples de definir:

1) Goste ou não, as exigências da LGPD existem e você precisa se adaptar. Precisa treinar seu time. Afinal, o dia a dia do seu escritório está nas mãos deles.

2) Não é uma questão de gastar para se adequar, é uma questão de não perder! Quem for notificado e autuado, vai gastar dinheiro desnecessário.

3) Se você pode simplificar sua vida e já deixar isso resolvido, para que esperar o problema acontecer para só depois ter que tomar as medidas mais caras, na correria e sem tempo para compreender o processo?

No fim do dia meu amigo, quem vai pagar a conta se a lei não for atendida… é você!

Nem que seja para cobrar mais caro dos seus clientes justamente porque você vai estar preparado para a LGPD, dê o primeiro passo!

Compartilhe

Posts relacionados

BLOG

15 dez 2023

O vazamento de dados de pacientes é como uma pandemia: precisamos agir rápido!

Você é um profissional da área de saúde? Se sim, este blog post é para

Ler mais

BLOG

27 nov 2023

Proteção de dados em instituições de ensino

O vazamento de dados educacionais é como uma mancha no currículo: prejudica eternamente a imagem

Ler mais
Irresponsabilidade empresarial

BLOG

24 nov 2023

Irresponsabilidade empresarial eleva desafios da LGPD no Brasil

Com a obrigatoriedade da Lei Geral de Proteção de Dados – LGPD, empresas de todo

Ler mais

O Instituto Nacional de Dados Pessoais é uma organização que se dedica à proteção de dados pessoais.

Localização

Informações

  • 19 3406 8008
  • contato@indapbr.com.br
  • Rua santa cruz 388 1 andar sala 6
Política de privacidade

© 2025 Todos os direitos reservados