Conversar WhatsApp
LGPD · LGPD · 6 min de leitura

LGPD no escritório contábil: você é controlador, operador ou os dois?

O escritório contábil processa mais dado pessoal por metro quadrado do que quase qualquer outro negócio: CPF, holerite, declaração de IRPF, extrato bancário, pró-labore. E ainda assim a maioria dos contadores não sabe responder se é controlador ou operador sob a LGPD, o que muda essa resposta, e o que fazer quando o cliente pede pra apagar tudo de uma vez.

LGPD no escritório contábil: você é controlador, operador ou os dois?
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

O escritório contábil lida com dado pessoal o tempo todo. CPF de funcionário, holerite, declaração de IRPF, extrato bancário do sócio, planilha de pró-labore: são dados pessoais, boa parte deles dados pessoais sensíveis na leitura ampliada da LGPD. E a pergunta que quase nenhum contador consegue responder com segurança é: afinal, eu sou controlador ou operador dos dados que processo?

Não é questão acadêmica. É o que define se você responde sozinho em caso de vazamento, se pode recusar pedido de exclusão, e o que precisa estar no seu contrato de prestação de serviços.

Controlador ou operador: quem decide, manda

A LGPD define controlador como quem toma as decisões sobre o tratamento: finalidade, meio, o que coletar, por quanto tempo guardar (art. 5º, VI). Operador é quem processa dados seguindo instrução do controlador, sem autonomia pra decidir nada disso (art. 5º, VII).

Na prática contábil, a resposta costuma ser: os dois ao mesmo tempo, dependendo do dado. Quando o escritório processa a folha de pagamento dos funcionários do cliente seguindo as regras do cliente, o escritório atua como operador. O controlador é o cliente. Mas quando o escritório insere esses dados no próprio CRM pra oferecer outro serviço, ou usa o histórico do titular pra qualquer finalidade própria, o escritório vira controlador daquela operação.

Nossa leitura: a maioria dos escritórios contábeis é operador em relação aos dados dos clientes de seus clientes, como os funcionários da empresa-cliente e os dependentes declarados. E é controlador dos dados dos clientes diretos e dos próprios funcionários. Essa distinção muda quem responde por vazamento e quais direitos o titular pode exercer contra você.

O contrato precisava ter cláusula de dados desde 2020

Quando o escritório atua como operador, o art. 39 da LGPD exige que o controlador imponha obrigações ao operador por contrato. Em outras palavras: o contrato de contabilidade precisa ter cláusula de proteção de dados, o que costuma se chamar de DPA (Data Processing Agreement). Pode ser cláusula dentro do contrato ou adendo separado.

Essa cláusula precisa definir, no mínimo: quais dados são tratados, com qual finalidade, por quanto tempo, o que o escritório pode fazer com eles, e o que acontece com os dados quando o contrato encerra. Sem isso, o escritório opera em cinza jurídico. Se vazar dado do funcionário do cliente, pode ser responsabilizado mesmo sem ter feito nada de errado, simplesmente por falta do instrumento que a lei exige.

Falando sério: a maioria dos contratos de contabilidade que a gente revisa em Blumenau e no Vale do Itajaí ainda não tem essa cláusula. Nem os fechados depois de 2020.

Retenção fiscal não conflita com LGPD: é base legal

Um equívoco recorrente: "o cliente pediu pra apagar os dados, mas a gente precisa guardar por 5 anos por causa do Fisco". Isso não é conflito, é solução. O art. 7º, II da LGPD autoriza o tratamento de dados quando necessário para cumprimento de obrigação legal ou regulatória pelo controlador. Guardar DCTF, ECF, EFD, DIRF e eSocial pelo prazo decadencial do CTN é obrigação legal. O escritório pode recusar pedido de exclusão com base nisso.

O que a LGPD exige: comunicar ao titular a razão da recusa dentro de 15 dias do pedido (art. 19). Sem resposta no prazo, o titular pode registrar queixa na ANPD. Os principais prazos de guarda no contexto contábil:

  • Documentos fiscais federais: 5 anos (decadência e prescrição tributária, CTN arts. 173 e 174)
  • FGTS: 30 anos para ações de cobrança (Súmula 362 do TST)
  • eSocial e folha: 5 anos como regra geral trabalhista
  • IRPF do cliente pessoa física: 5 anos após entrega da declaração

O escritório não vai poder apagar quase nada em 5 anos. Mas precisa saber por que guarda cada categoria e ter esse fundamento documentado. "Guardamos porque sempre guardamos" não é fundamento legal.

Sistemas contábeis e o problema do suboperador

O escritório usa sistema de gestão contábil. Esse sistema processa dados pessoais dos clientes e dos clientes dos clientes. Quem responde pelo que o sistema faz com esses dados? Aqui entra o conceito de suboperador: quando o operador contrata fornecedor pra processar dados em seu nome, esse fornecedor precisa de base contratual pra isso, e o operador continua responsável.

A questão prática: o contrato com o fornecedor do sistema (Domínio, Alterdata, Calima ou qualquer outro) tem cláusula de proteção de dados? Se o sistema roda em nuvem, os servidores ficam no Brasil ou no exterior? Se no exterior, há transferência internacional de dados, o que exige fundamento adicional no art. 33 da LGPD. Se o fornecedor vazar dados dos clientes do escritório, o escritório pode ser co-responsabilizado perante os titulares.

Poucos escritórios contábeis revisaram os termos de uso dos sistemas que utilizam sob o ângulo da LGPD. Vale pedir ao fornecedor o DPA. Fornecedores maiores costumam ter o documento disponível mediante solicitação. Se o fornecedor não tiver nenhum instrumento, isso já é sinal de risco concreto.

Compartilhamento com a Receita Federal não exige consentimento

A Receita Federal recebe volume enorme de dados pessoais via obrigações acessórias: SPED Fiscal, SPED Contábil, eSocial, ECF, EFD-REINF, DIRF. O escritório envia isso como parte do serviço. Precisa de consentimento do titular pra cada envio? Não. O fundamento é o art. 7º, II: cumprimento de obrigação legal. A obrigação de entregar essas declarações é da empresa, executada pelo escritório como operador.

O que muda com a LGPD: a empresa precisa informar seus titulares quais dados são compartilhados com órgãos governamentais e com qual finalidade. Isso vai na política de privacidade da empresa, não num consentimento individual por envio. O escritório pode e deve orientar o cliente a incluir isso na política de privacidade dele.

O que fazer nas próximas duas semanas

Não precisa de programa de adequação completo pra começar a reduzir risco agora:

  • Revise um contrato de cliente: tem cláusula de proteção de dados? Se não, elabore adendo simples definindo quais dados são tratados, finalidade e o que acontece ao encerrar o contrato.
  • Mapeie onde ficam os dados dos clientes: sistema local ou nuvem? Quem tem acesso? Peça o DPA ao fornecedor do sistema contábil.
  • Indique seu encarregado (art. 41): pode ser você mesmo se for escritório pequeno. Divulgue o e-mail de contato no site e no contrato. A Resolução CD/ANPD 02/2022 prevê regime simplificado pra PMEs, mas a indicação é obrigatória.
  • Monte um log de pedidos de titulares: se um funcionário do cliente pedir acesso ao dado que você processou, você tem 15 dias pra responder. Precisa de processo, não de improviso.

A ANPD aplica sanções desde agosto de 2021. A multa administrativa pode chegar a 2% do faturamento bruto no Brasil no último exercício, limitada a R$ 50 milhões por infração. Escritório contábil não está fora desse radar: processa dado sensível de muita gente ao mesmo tempo, o que aumenta o potencial de dano em qualquer incidente.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →