O período de entrega da declaração do Imposto de Renda de Pessoa Física (IRPF) está prestes a iniciar.

Com a entrega das declarações prorrogada neste ano, iniciando no dia 15 de março e estendendo-se até 31 de maio, os contribuintes precisam enviar o quanto antes todos os seus informes de rendimentos.

Justamente pelo curto prazo, a preferência pelo envio remoto de documentos tem se tornado uma boa alternativa.

Apesar dessa praticidade, tanto para o contribuinte quanto para o contador, um aspecto de grande importância entra em questão: a Lei Geral de Proteção de Dados (LGPD) .

Por serem documentos com conteúdos até mesmo jurídicos, que contém informações sensíveis, a proteção desses dados é relevante e extremamente necessária.

Pensando nisso, a especialista em LGPD e coordenadora de privacidade da IOB, Juliane Beckedorff, explica essa questão e como fica o envio remoto de documentos para realização da declaração do IRPF 2023.

Confira a entrevista realizada pelo Portal Contábeis com a especialista na íntegra:

IRPF está chegando, como fica a LGPD nessa situação?

A quantidade de dados pessoais que passam pelos escritórios de contabilidade durante o período de declaração de Imposto de Renda é de um volume impressionante. Na Declaração do Imposto de Renda vão todas as suas informações pessoais, financeiras, familiares como nome, endereço, CPF, nome dos dependentes, patrimônio, renda, investimentos etc. E não somente durante o prazo para a declaração do IRPF [passam dados pessoais], mas todos os dias. Este ano há alguns "incentivadores" a mais para todas as empresas, com cuidados no momento da coleta e tratamento dos dados.

A LGPD já era aplicada e recentemente a Autoridade Nacional de Proteção de Dados (ANPD) torna-se uma autarquia de natureza especial com autonomia para exercer o seu papel de fiscalização e processo sancionador. 

A também chamada "Norma de Dosimetria" foi publicada em fevereiro de 2023 e a ANPD começa a julgar o primeiro estoque de oito processos administrativos por supostas violações à LGPD e aplicar as sanções e multas. Com o alto volume de coleta de dados, o risco de sofrer um incidente de segurança aumenta. É uma excelente oportunidade de rever processos de segurança e privacidade de dados.

O que é mais seguro para os clientes e contadores: a entrega em mãos ou remota?

É importante lembrar que o artigo 1° da LGPD se aplica tanto aos dados digitais quanto físicos. Além disso, os possíveis incidentes com dados pessoais não se limitam aos vazamentos, mas incluem a destruição, perda e alteração ilícitas ou acidentais. Deve-se ter grande cuidado, portanto, com a proteção dos dados armazenados. 

Não se pode esquecer que cada meio, tanto físico, quanto digital tem suas particularidades e devem ser analisadas com o mesmo nível de risco e impacto. Mantenha computadores e redes seguros e sua xícara de café longe dos documentos originais.

Mas os escritórios de contabilidade muitas vezes usam os mesmos processos desde os tempos em que tinham que protocolar as declarações de Imposto de Renda em CDs ou imprimir cópias. 

Na prática, indo mais para o digital, a empresa pode se beneficiar, por exemplo, com a redução de custos de armazenamento com espaços físicos ou de montanhas de dados que não precisam ser mais retidos e o que é ainda mais grave, guardados em desacordo com a Lei, por perderam a finalidade. 

Pode ainda se beneficiar da utilização de procedimentos mais práticos, ágeis e seguros, proporcionando economia de tempo e consequentemente, dinheiro.

Como lidar com toda a documentação recebida?

As informações do Imposto de Renda são um grande atrativo para os cibercriminosos para comercialização de dados. Basta pesquisar no google para verificar que atualmente estamos convivendo com uma grande quantidade de notícias de vazamento de dados e informações de todos os tipos de empresas e profissionais. Mas é possível destacar alguns pontos mais impactantes: 

• Garantir a segurança dos dados: o artigo 46 traz uma obrigação do dever do contador (controlador) em adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Esse é um excelente começo! Tenha uma plataforma de segurança que proteja seus computadores e celulares com ameaças cibernéticas;
• Determinar uma das dez bases legais para cada tratamento dos dados como exemplo: a coleta, recepção, utilização, transmissão, transferência;
• Contrato de prestação de serviço formalizado o serviço de Imposto de Renda em relação à LGPD informando quais são seus direitos do titular e como seus dados pessoais serão tratados;
• Dados sensíveis e dados de crianças e adolescentes devem ter uma atenção especial já que a declaração de IRPF provavelmente terá dados relativos à saúde (recibos de exames médicos), preferências políticas (doações a candidatos), filiações sindicais, etc. 
• Treine e conscientize toda sua equipe de trabalho sobre privacidade, proteção de dados e como realizar o adequado tratamento de dados pessoais.

Quais cuidados os contadores e contribuintes devem ter na hora de enviar os documentos sensíveis?

No artigo cinco da LGPD, dados sensíveis (religião, raça/etnia, opinião política, sexualidade e dados genéticos ou biométricos) são aquelas informações mais delicadas e cujas chances de mau uso (para fins discriminatórios e prejudiciais ao titular) são mais altos. Já no artigo 11 é possível entender os cuidados de como e o que pode ser feito.

Um dos pontos mais importantes é o consentimento que deve ser solicitado de forma clara e explícita, sempre com uma finalidade determinada, neste caso o IRPF para poder executar as entregas. 

A empresa precisa fazer uma análise jurídica cuidadosa visando garantir que o tratamento seja enquadrado em uma das hipóteses legais. Estes dados sensíveis exigem um nível maior de cuidado no momento da coleta, armazenamento, transmissão e descarte. 

Execute as declarações de IRPF de computadores e celulares seguros que tenham pelo menos uma proteção de segurança contra ataques de Ransomware (sequestro de dados) e outros vírus ou malwares que possam comprometer a segurança e a proteção dos dados, evitando expor a privacidade do titular com um incidente de segurança.

Para os contadores que não começaram a se preocupar com o tema, a LGPD já está multando o vazamento de dados?

Foi publicada no dia 27 de fevereiro de 2023 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela ANPD. A chamada "Norma de Dosimetria", destacada nos artigos 52 e 53 da LGPD, tem como objetivo estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD. 

É a maneira que será calculada a multa para a empresa que for autuada. A partir de agora a ANPD poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, pois o regulamento entrou em vigor imediatamente após a sua publicação, que ocorreu no dia 27 de fevereiro. 

Uma boa notícia é que no artigo 6°, assim como a maior parte das leis, a LGPD prevê a boa-fé daqueles atingidos por ela. Se a empresa já adotou regras de boas práticas e de governança, ela poderá ter descontos na multa.

Além disso, é também uma excelente forma de facilitar o processo de adequação à LGPD e será considerada como atenuante no caso da aplicação de sanções administrativas e, muito provavelmente, nos casos de responsabilidade civil.