-
Gestão eficiente da cadeia de suprimentos hospitalar
Consolidação, redução de custos de aquisições, padronização e otimização do processo de compras
-
Auditoria interna hospitalar
Solução de data analytics para execução de auditoria interna focada no setor da saúde, garantindo maior agilidade e precisão na tomada de decisões
-
RN 443 – Implantação geral e emissão de PPA
Maiores controles internos e gestão de riscos para fins de solvência das operadoras de planos de assistência à saúde
-
RN 452 – Apoio da estruturação da auditoria interna de compliance
Avaliação de resultados das operadoras de saúde para assegurar conformidade legal em seus processos
-
Relatório SOC 2
Com Relatório SOC, certificação e parecer independente é possível agregar credibilidade aos beneficiários do setor de saúde sobre os processos internos e controles
-
Energia e tecnologia limpa
Soluções para para geradores, investidores ou concessionárias prestadoras de serviços públicos que desejam investir no mercado de energia sustentável.
-
Petróleo e Gás
Auxiliamos sua empresa na procura de opções de financiamento, gerenciamento de risco e na criação de legitimidade local para operar.
-
Mineração
Construção de força de trabalho com mais mobilidade, entendimento das alterações da legislação e elaboração de processos para gerenciar riscos de corrupção.
No entanto, não basta as companhias aplicarem a LGPD apenas internamente. Nas suas relações comerciais, é necessário ter atenção aos seus fornecedores e prestadores de serviços, principalmente com aqueles cuja contratação envolve o tratamento e compartilhamento de dados pessoais. Sendo assim, a gestão de terceiros é um dos requisitos de adequação à Lei Geral de Proteção de Dados (LGPD), sendo de observância obrigatória para as empresas controladoras de dados pessoais. Além disso, a ISO 27.701 também a traz como melhor prática.
Como realizar a gestão de terceiros de maneira eficaz?
A gestão de terceiros pode ser realizada desde a fase pré-contratual, bem como durante todo o contrato.
Fase pré-contratual: a empresa controladora dos dados (contratante), poderá criar um procedimento de “due diligence de privacidade” de terceiros a ser aplicado antes da contratação do fornecedor. Dessa maneira, o objetivo é avaliar a maturidade do ambiente do seu fornecedor em relação à LGPD e Segurança da Informação. A operacionalização deste procedimento de avaliação, pode ser realizada por meio da aplicação de um questionário direcionado ao seu fornecedor (operador), por exemplo.
Recomenda-se que a avaliação solicite evidências, tais como:
- existência de Política de Privacidade e de Segurança da Informação;
- nomeação do Encarregado de Dados;
- canal onde o titular possa exercer seus direitos;
- procedimentos de backup, de gestão de incidentes e incidentes de privacidade;
- comprovação de análise de vulnerabilidades;
- existência de Políticas de Gestão de Acessos;
- existência de Código de Conduta que mencione a privacidade dos dados como uma conduta a ser esperada dos seus colaboradores;
- evidências de treinamentos dos colaboradores, nos temos de privacidade e segurança da informação;
- entre outros.
Fase contratual: nesta fase a gestão do terceiro (operador) poderá ser realizada através do próprio contrato, com a inserção de cláusulas que tratem de privacidade de dados e segurança da informação, delimitando obrigações entre controlador e operador, prazos e procedimentos de reporte em caso de incidente de violação de dados pessoais, SLA’s, dentre outras, a depender do escopo contratual.
Durante o período contratual: a empresa controladora também poderá periodicamente aplicar a avaliação de maturidade sob aspectos de privacidade e solicitação de evidências ao seu fornecedor, mantendo assim o monitoramento do ambiente onde seus dados estão sendo tratados pelo terceiro contratado.
Ações de boas práticas e governança
É de suma importância que a empresa responsável pelo tratamento dos dados pessoais (controladora) implemente a gestão dos seus fornecedores e tenha todas as evidências documentadas de que monitora os ambientes onde os dados pessoais são tratados, cumprindo assim as boas práticas e governança ditadas pelos Artigos 39 e 50 da LGPD.
Além disso, em caso de incidentes com vazamento de dados pessoais, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) observará, inclusive, para fins de mensuração de penalidade, se a empresa adotou todas os mecanismos e procedimentos internos capazes de minimizar os danos ao titular.
Como estão os processos de gestão de terceiros da sua empresa?Através de metodologia própria e equipe especializada nos processos de Adequação à LGPD, podemos auxiliar a sua empresa a entender qual o nível alcançado em seu Programa de Privacidade e atendimento à Lei Geral de Proteção de Dados para realizar a gestão de terceiros.
Conheça nossas abordagens