LGPD

Como realizar mantendo a conformidade dos negócios?

insight featured image
A Lei Geral de Proteção de Dados (LGPD) define regras para todas as empresas que coletam, armazenam e tratam dados pessoais de pessoas físicas no Brasil.

No entanto, não basta as companhias aplicarem a LGPD apenas internamente. Nas suas relações comerciais, é necessário ter atenção aos seus fornecedores e prestadores de serviços, principalmente com aqueles cuja contratação envolve o tratamento e compartilhamento de dados pessoais. Sendo assim, a gestão de terceiros é um dos requisitos de adequação à Lei Geral de Proteção de Dados (LGPD), sendo de observância obrigatória para as empresas controladoras de dados pessoais. Além disso, a ISO 27.701 também a traz como melhor prática.

Como realizar a gestão de terceiros de maneira eficaz?

A gestão de terceiros pode ser realizada desde a fase pré-contratual, bem como durante todo o contrato.

Fase pré-contratual: a empresa controladora dos dados (contratante), poderá criar um procedimento de “due diligence de privacidade” de terceiros a ser aplicado antes da contratação do fornecedor. Dessa maneira, o objetivo é avaliar a maturidade do ambiente do seu fornecedor em relação à LGPD e Segurança da Informação. A operacionalização deste procedimento de avaliação, pode ser realizada por meio da aplicação de um questionário direcionado ao seu fornecedor (operador), por exemplo.

Recomenda-se que a avaliação solicite evidências, tais como:

  • existência de Política de Privacidade e de Segurança da Informação;
  • nomeação do Encarregado de Dados;
  • canal onde o titular possa exercer seus direitos;
  • procedimentos de backup, de gestão de incidentes e incidentes de privacidade;
  • comprovação de análise de vulnerabilidades;
  • existência de Políticas de Gestão de Acessos;
  • existência de Código de Conduta que mencione a privacidade dos dados como uma conduta a ser esperada dos seus colaboradores;
  • evidências de treinamentos dos colaboradores, nos temos de privacidade e segurança da informação;
  • entre outros.

Fase contratual: nesta fase a gestão do terceiro (operador) poderá ser realizada através do próprio contrato, com a inserção de cláusulas que tratem de privacidade de dados e segurança da informação, delimitando obrigações entre controlador e operador, prazos e procedimentos de reporte em caso de incidente de violação de dados pessoais, SLA’s, dentre outras, a depender do escopo contratual.

Durante o período contratual: a empresa controladora também poderá periodicamente aplicar a avaliação de maturidade sob aspectos de privacidade e solicitação de evidências ao seu fornecedor, mantendo assim o monitoramento do ambiente onde seus dados estão sendo tratados pelo terceiro contratado.

Ações de boas práticas e governança

É de suma importância que a empresa responsável pelo tratamento dos dados pessoais (controladora) implemente a gestão dos seus fornecedores e tenha todas as evidências documentadas de que monitora os ambientes onde os dados pessoais são tratados, cumprindo assim as boas práticas e governança ditadas pelos Artigos 39 e 50 da LGPD.

Além disso, em caso de incidentes com vazamento de dados pessoais, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) observará, inclusive, para fins de mensuração de penalidade, se a empresa adotou todas os mecanismos e procedimentos internos capazes de minimizar os danos ao titular.

Como estão os processos de gestão de terceiros da sua empresa?

Através de metodologia própria e equipe especializada nos processos de Adequação à LGPD, podemos auxiliar a sua empresa a entender qual o nível alcançado em seu Programa de Privacidade e atendimento à Lei Geral de Proteção de Dados para realizar a gestão de terceiros.

Conheça nossas abordagens