Publicações - MT Advogados
Implicações da LGPD nas auditorias
Esteja em compliance. Aja dentro das normas do compliance. Se você entende que estar em compliance é custoso, experimente o “non-compliance”. Estes jargões voltados ao respeito Ás regras podem ter sido suficientemente difundidos dentro de inúmeras organizações. Porém, na prática, o controle do seu cumprimento exige um insistente monitoramento e comprometimento dos líderes das organizações. Mais recentemente, buscando tornar-se membro da OCDE, o Brasil aprovou a Lei Geral de Proteção de Dados (LGPD).
Em poucas palavras, a referida Lei estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
Pois bem, e quando essa norma não é cumprida pela empresa? Qual a consequência disto? A presente análise limita-se a identificar a possibilidade/necessidade de apontamento por parte de auditoria independente quando identificado que a LGPD não é cumprida ou, quando o é, se está em nível insatisfatório.
A Norma Brasileira de Contabilidade estabelece, através da NBC TA 250, considerações de leis e regulamentos na auditoria de demonstrações contábeis. Em seus materiais explicativos, notadamente no A1, A3 e A4 da referida norma, é possível identificar como responsabilidade da administração, com a supervisão geral dos encarregados pela governança, assegurar que as operações da entidade sejam conduzidas em conformidade com leis e regulamentos.
Ainda, elencam exemplos de tipos de política e procedimentos que as empresas podem implementar para auxiliar na prevenção e na detecção de não conformidade com leis e regulamentos, como:
- monitoramento de requisitos legais para assegurar que procedimentos operacionais sejam planejados para cumprir esses requisitos;
- instituição ou operação de sistemas apropriados de controle interno; desenvolvimento, divulgação e acompanhamento de código de conduta;
- confirmação que os empregados sejam adequadamente treinados e entendam ao código de conduta;
- monitoramento da conformidade com o código de conduta e a atuação apropriada para disciplinar os empregados que deixem de cumpri-lo;
- contratação de assessores legais para auxiliar no monitoramento de requisitos legais;
- manutenção de controle de leis e de regulamentos importantes que a entidade tenha que cumprir no seu setor de atividade e no registro de ocorrências.
Ainda, define, se um ato constitui não conformidade com leis e regulamentos é um assunto a ser determinado por tribunal ou outra autoridade legal apropriada que está, geralmente, além da competência profissional do auditor. Contudo, o treinamento, a experiência e o entendimento da entidade e de seu setor de atividade pelo auditor podem fornecer uma base para que se reconheça que alguns atos de que o auditor toma conhecimento podem constituir não conformidade com leis e regulamentos.
Uma leitura mais restritiva destes itens pode nos levar Á conclusão de que a abrangência é adstrita Á análise e publicação de resultados das empresas auditadas, sob o viés contábil. Porém, não se pode perder de vista que a LGPD não se reveste de características específicas de cada segmento empresarial para a qual os Auditores detêm fundamentada razão para não tecer qualquer comentário quanto ao eventual descumprimento de norma.A aderência da atividade auditada quanto ao cumprimento da LGPD é algo que não deve passar despercebido pela auditoria.
Conforme previsto na referida NBC TA 250, quando analisada a responsabilidade pela conformidade com leis e regulamentos, observamos o indicado no item 6(b):
Outras leis e regulamentos sem efeito direto na determinação dos valores e divulgações nas demonstrações contábeis, mas cuja conformidade pode ser fundamental para os aspectos operacionais do negócio, para a capacidade de a entidade continuar com os negócios ou para evitar penalidades relevantes (por exemplo, conformidade com os termos de licença de operação, conformidade com as exigências regulamentares de solvência ou conformidade com os regulamentos ambientais); a não conformidade com tais leis e regulamentos, portanto, pode ter efeito relevante sobre as demonstrações contábeis.
E aqui surgem os questionamentos: qual atividade que se desenvolve sem a presença de colaboradores, para os quais a LGPD trouxe direitos e obrigações? Qual empresa nos tempos atuais não realiza qualquer terceirização de uma atividade meio? Exemplo comum, a própria contabilidade!
Se a conclusão a que se chega é de que, direta ou indiretamente, a LGPD atinge num menor ou maior grau a todos segmentos de atividades, a partir da sua vigência é dever das auditorias incluírem tal legislação entre o rol daquelas que devem ser observadas. Tal conclusão fica evidenciada quando observado que a Agência Nacional de Proteção de Dados detém competência para, dentre outros, autuar empresas que deixem de atender os comandos da LGPD.
A citada norma representa uma especificidade do compliance, o qual, direta e indiretamente, guarda relação com o trabalho de auditoria. Neste sentido, a identificação de não conformidade é passível de ressalva na medida em que constatada pelo Auditor, ainda que não seja possível a quantificação financeira imediata frente ao seu descumprimento.
A toda evidência que a não observância da LGPD tem um ônus que pode inclusive não gerar um passivo Á empresa, caso sobre ela não recaia qualquer fiscalização/denúncia/processo. Por outro lado, se isto ocorrer, a dimensão do ônus só será conhecida quando, ponderando quanto ao cumprimento da norma, a ANPD fixar multa administrativa por eventual descumprimento e/ou quando encerrar litígio individual ou coletivo proposto por parte lesada frente ao descumprimento da norma pela empresa.
Neste contexto, devemos salientar que existem duas realidades a serem observadas sob o aspecto operacional da LGPD e a auditoria. Primeira, o ônus de não adequação Á norma existirá, a questão é seu tamanho e em que momento ele se fará presente na vida da empresa. Segunda, a ressalva das auditorias quando a não conformidade com a LGPD é uma realidade, que goza de embasamento técnico e já é mais um item a ser observado pelos líderes.