Rui Lourenço Helena
Os Clientes da BDO compreendem entidades de pequena, média e grande dimensão, públicas e privadas, nacionais e estrangeiras, de interesse público (EIP) e outras, com e sem fins lucrativos, que operam em Portugal, Cabo Verde, Angola e São Tomé e Príncipe, inseridas nos mais variados setores de atividade.
No que respeita à auditoria/revisão de contas, trabalhamos em Portugal com alguns dos mais qualificados e experientes revisores oficiais de contas (ROC), com vista a proporcionarmos aos nossos Clientes serviços profissionais de acordo com os mais elevados padrões de qualidade e que tenham em consideração as especificidades e necessidades únicas de cada Cliente e de cada setor de atividade.
A linha de serviços Assurance utiliza a metodologia da rede internacional BDO, consubstanciada no BDO Audit Manual e na ferramenta APT – Audit Process Tool, garantindo assim o cumprimento dos mais exigentes normativos nacionais e internacionais nesta matéria.
Presente em Portugal com 4 escritórios e 250 colaboradores e em mais de 167 países do Mundo com 1.728 escritórios e 97.292 colaboradores, a BDO tem a dimensão, a presença geográfica e a experiência necessárias para assegurar, local e internacionalmente, de forma consistente, elevados padrões de qualidade e um nível excecional de serviço.
RGPD - Audit & Assurance Services - Policy Statement
Com a entrada em aplicação direta na ordem jurídica portuguesa, em 25 de maio de 2018, do Regulamento Geral sobre Proteção de Dados (RGPD) e em conformidade com os recentes pronunciamentos da Ordem dos Revisores Oficiais de Contas (OROC) na Circular n.º 47/18, de 30 de abril, cumpre esclarecer o enquadramento no âmbito do RGPD dos Serviços de Auditoria e Assurance que a BDO & Associados - SROC, Lda. presta aos seus Clientes, resumidamente:
Os Serviços do Revisor Oficial de Contas (ROC) compreendem o acesso, consulta e verificação de um conjunto de informação, que o ROC, no âmbito do seu juízo profissional independente selecione como necessária para a realização das suas funções de interesse público e que conservará como prova de auditoria (que eventualmente contém informação relativa a dados pessoais). O cumprimento dos deveres resultantes do Estatuto da Ordem dos Revisores Oficiais de Contas e das normas de auditoria, em particular a sujeição a sigilo profissional, no âmbito das suas funções de interesse público, acomoda suficientemente os deveres do RGPD, não carecendo de diligências adicionais, nomeadamente, da obtenção do consentimento junto dos titulares dos dados pessoais. O tratamento da informação recolhida pelo ROC não configura tratamento de dados pessoais efetuados por conta dos Clientes uma vez que o ROC não é subcontratante do Cliente na aceção do artigo 28.º do RGPD. Assim, para os Serviços do ROC prevalecem os acordos escritos firmados com os Clientes, mediante contrato de prestação de serviços e/ou de carta de compromisso, em conformidade com a lei, com as normas internacionais de auditoria e cumprindo as orientações da OROC aplicáveis.
Enquadramento detalhado, como segue:
A. Arquivos (com dados pessoais) mantidos como suporte aos relatórios emitidos
- Enquadramento Geral
Os dados pessoais utilizados (consultados, eventualmente verificados, integrados no trabalho desenvolvido e conservados para a necessária evidência dos procedimentos realizados e conclusões obtidas) pelo ROC no âmbito das funções de interesse público (por exemplo, dados dos trabalhadores da empresa cliente) e que sejam necessários para a execução das mesmas e que integram a pasta e os documentos de trabalho do ROC, encontram-se legitimados pelo exercício das referidas funções de interesse público, sendo devidamente assegurados todos os cuidados necessários com a conservação e proteção desses dados.
- Dever de independência
O ROC, nos termos legais e deontológicos, exerce as suas funções de interesse público que lhe estão acometidas com independência. Para assumir a sua responsabilidade de manter a sua independência, o ROC executa os procedimentos que entender necessários de modo a suportar a opinião, parecer, conclusão que expresse no seu relatório. Na impossibilidade de executar um procedimento que entenda necessário e de o substituir adequadamente por outro ou na impossibilidade de aceder a informação necessária para a execução desses procedimentos, o ROC deve considerar tal facto na emissão do seu relatório.
Não compete ao ROC exigir informação ou acesso a dados, mas se lhe for imposta alguma restrição no acesso a informação ou a dados, compete ao ROC considerar o efeito dessa restrição na emissão do seu relatório.
- Dever de segredo, sigilo e confidencialidade
O relatório emitido (CLC) pelo ROC pode ser efetivamente público, mas não contém dados pessoais, a prova de auditoria que tem de o suportar e que poderá conter dados pessoais está sujeita ao segredo profissional. A par da liberdade de acesso à informação, essencial para a independência do ROC no exercício das suas funções, é imposto ao ROC o dever de sigilo. Assim, o ROC encontra-se legalmente proibido de usar a informação a que acede para qualquer outro fim que não evidenciar os procedimentos que executou que suportam as conclusões extraídas do relatório que emite. O ROC encontra-se também proibido de divulgar (salvo raras exceções judiciais) qualquer informação que tenha obtido no exercício das suas funções.
- A proteção de dados e a qualidade do trabalho do revisor oficial de contas
O objeto do trabalho de revisão legal das contas, de acordo com as disposições legais não é constituído pelo tratamento de dados pessoais. No entanto, no desenvolvimento das suas funções (de interesse público), o revisor oficial de contas, para a execução de alguns dos procedimentos necessários, poderá ter de usar informação contendo dados pessoais. Ainda que este não seja o objeto do nosso trabalho como ROC, sempre poderá fazer parte da prova de auditoria que é dever do ROC conservar.
É dever do ROC firmar com a entidade cliente um contrato de prestação de serviços ou registar numa carta de compromisso, ou noutra forma apropriada de acordo escrito, os termos acordados do trabalho, em conformidade com o previsto nas normas internacionais de auditoria, na própria lei (como é o caso da revisão legal das contas / auditoria), cumprindo as orientações da OROC aplicáveis.
Tudo acima considerado, é, pois imperativo que no acesso à informação necessária à realização do nosso trabalho não haja dependência de consentimentos concretos ou de quaisquer outras salvaguardas que esses dados possam merecer. A proteção dos dados pessoais não será prejudicada pelo exercício das nossas funções, atento o disposto na lei quanto a essas funções.
B. Dados recolhidos ou mantidos para outros efeitos legais
Relativamente aos dados pessoais que o ROC possa recolher ou manter para outros efeitos, legais ou outros (como seja o caso de bases de dados de fornecedores, clientes, pessoal ou outras), para estes casos, o RGPD é aplicável de igual modo como se de qualquer outro profissional ou empresa se tratasse, atendendo sempre, é claro, à situação concreta em cada caso.
Nota final
A preocupação com a proteção dos dados pessoais e com a segurança da informação não são temas novos para a BDO.
Não impondo o RGPD uma rutura ou mudança significativa nas nossas práticas e políticas de proteção de dados, a referida legislação preconiza novas regras de compliance e gestão da informação.
Neste âmbito, a BDO, como parte de um programa global de proteção de privacidade na sua rede internacional (BDO Global Privacy Programme), reviu já e tem implementados os seus procedimentos internos de forma a cumprir com a legislação de proteção de dados pessoais em vigor, nomeadamente nas relações com os seus clientes, cuja aplicação efetiva produz efeitos a partir de 25 de maio de 2018.