Como exigir e acompanhar os terceiros no tocante à conformidade com a LGPD? Como não inviabilizar negócios com esses terceiros que não estão em parte ou totalmente em conformidade com a lei?
A adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) tem sido um processo desafiador para empresas no Brasil. Consegue imaginar quando envolve o tratamento de dados pessoais fora de sua infraestrutura tecnológica? A dificuldade na gestão certamente aumenta. No entanto, atualmente é muito comum a utilização de terceiros nas atividades da empresa e isso muitas vezes envolve o tratamento dos dados pessoais.
Nos projetos de implementação, quando as empresas se deparam com a necessidade de exigir e monitorar os seus fornecedores quanto à Proteção de Dados e Segurança da Informação surgem algumas incertezas: Como exigir e acompanhar os terceiros no tocante à conformidade com a LGPD? Como não inviabilizar negócios com esses terceiros que não estão em parte ou totalmente em conformidade com a lei?
Com frequência temos acompanhado empresas ao redor do mundo perdendo milhões por causa de incidentes de violação de dados, sendo alguns, inclusive, originados nos seus terceiros. Nesse sentido, o Ponemon Institute, responsável pela promoção de pesquisa e educação direcionadas ao uso responsável de informações e gestão de privacidade das empresas, publicou em 2020 uma pesquisa que revela o impacto dos 25 fatores principais no prejuízo total médio de vazamentos de dados que giram em torno de US$ 3,86 milhões.
Um dos principais e que aumentam o prejuízo são os vazamentos por terceiros que corresponde a US$ 207.411. Já a migração dos dados para a nuvem também foi associada a prejuízos por vazamentos de dados acima da média, aumentando o prejuízo médio em US$ 267.469. Também foi apurado que 53% das empresas realizaram mudanças no seu programa de gerenciamento de riscos de terceiros após a ocorrência da violação de dados, o que revela um movimento do mercado em implementar de forma efetiva medidas para mitigar os riscos à proteção de dados com relação aos seus terceiros.
Em agosto de 2020, a Secretaria Especial de Desburocratização, Gestão e Governo Digital, sob o comando do Ministério da Economia, publicou o Guia Específico para Avaliação de Riscos de Segurança e Privacidade nos Contratos, Sistemas e Processos das Instituições Públicas, que abarca medidas de segurança e privacidade, controles por risco, matriz de risco e processo de avaliação que deve ser implementado.
Desta forma, a Avaliação da Proteção de Dados Pessoais e Segurança da Informação nos terceiros, apesar de desafiador, faz parte dos processos que suportam o Programa de Privacidade das empresas e deve ser observado com rigor para refletir nas relações externas e fazer com que o Programa atinja sua excelência. Isto porque a LGPD dispõe que o Controlador ou o Operador que, no exercício de atividade de tratamento de dados pessoais causar dano patrimonial, moral, individual ou coletivo, violando a lei de Proteção de Dados Pessoais é obrigado a repará-lo.
Além disso, a LGPD estabelece que Controlador e o Operador poderão estabelecer regras de boas práticas, implementando ações educativas e desenvolvendo mecanismos internos de supervisão e mitigação de riscos, devendo manter os registros das operações de tratamento de dados pessoais. Diante desse cenário, é fundamental que a empresa que contrata serviços ou utiliza produtos de terceiros, via de regra denominada como Controladora, para realizar tratamento de dados pessoais, conheça os riscos associados e certifique-se de contratar fornecedores (Operadores) que estejam engajados com a proteção de dados pessoais.
O procedimento de Avaliação da Proteção de Dados Pessoais em terceiros deve ser conduzido por área específica da empresa, por exemplo, Compras e/ou a própria área contratante, com o apoio do Encarregado pelo Tratamento dos Dados Pessoais e deve ser aplicado nos momentos da contratação e da renovação contratual. No entanto, esse procedimento também é importante para a manutenção e quando se der encerramento da relação entre os agentes de tratamento de dados pessoais.
É essencial que o procedimento avalie se o terceiro conta com medidas técnicas e organizacionais para proteção de dados pessoais e que apresente as evidências da implementação dos controles de segurança e proteção de dados pessoais, a partir dos seguintes passos:
- Levantamento das informações sobre o escopo do contrato, como por exemplo o tratamento associado e os tipos de dados pessoais envolvidos;
- Resposta de questionário contendo controles de segurança e proteção de dados pessoais sob o aspecto de governança, processos, cultura e tecnologia;
- Avaliação do questionário e identificação dos riscos apresentados e fatores que possam mitigá-los;
- Análise do plano de ação do terceiro, se necessário;
- Monitoramento e implementação do plano de ação do terceiro.
Esse processo é essencial para que as empresas tenham conhecimento sobre as vulnerabilidades do terceiro, o que, por sua vez, possibilita mais visibilidade para a tomada de decisão no seguimento ou não da contratação. Caso a empresa decida seguir com a contratação, mesmo que o terceiro não esteja em conformidade com a legislação, assumirá os riscos da operação.
A necessidade de identificar, avaliar e gerenciar os riscos de privacidade é parte integrante da sua responsabilidade e crucial para desenvolver uma estrutura de gerenciamento de privacidade adequada e proporcional. Afinal, os líderes precisam avaliar se compartilhar uma base de dados pessoais com um fornecedor que não implementa controle mínimos de segurança da informação e não atende aos direitos dos titulares de dados pessoais seria viável para os seus negócios.
A LGPD é uma legislação que foi criada para mudar a cultura de privacidade, segurança da informação e proteção de dados pessoais no País, o que nos faz refletir que um terceiro que não está alinhado com as políticas e a cultura de privacidade da empresa pode não ser um terceiro adequado e seguro para o negócio. Desse modo, atender os requisitos da legislação de proteção de dados pessoais e exigir que os seus fornecedores ou parceiros comerciais sigam a mesma linha, a partir de um procedimento de Avaliação da Proteção de Dados Pessoais, é essencial para a proteção dos processos de negócio e para a reputação da empresa perante seus clientes e colaboradores.
Fonte: Migalhas