Quando me propus a falar sobre “LGPD na Prática”, não podia imaginar quão complexo seria o tema.

Muito se fala sobre a nova regulamentação, principalmente sob o aspecto legal, mas a dificuldade para transportar os direitos dos usuários e as obrigações das empresas para o dia a dia das organizações é grande. É necessário sair do campo do dever ser, da norma em si, para entender quais são os impactos da lei nos negócios.

Já identifiquei, em capítulos anteriores, quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como implementar e preservar uma estrutura de governança de dados, como fazer um inventário de dados pessoais e mecanismos de transferência, o que é e como adotar uma política de privacidade, a relação entre a nova regulamentação e as rotinas de várias áreas de uma organização, como treinar e comunicar e de que maneira deve-se gerenciar os riscos relacionados à segurança da informação.

Neste capítulo, o objetivo é apresentar a melhor maneira de administrar riscos de terceiro, ou seja, como atestar que os parceiros de negócio de determinada organização estejam alinhados com a nova regulamentação e com as normas internas de privacidade de dados, dentro dos limites de tolerância ao risco. Para tanto, são sugeridas algumas ações:

1. Fazer uma lista de todas as soluções de terceiro atualmente usadas pela empresa relacionadas ao tratamento e processamento de dados, fase que deve ser completada quando do inventário de dados, quando do mapeamento do ciclo de vida destes e dos caminhos a serem percorridos entre servidores

2. Manter requisitos de privacidade e segurança de dados em contratos firmados com terceiros (clientes, fornecedores, processadores de dados, empresas afiliadas). Recomenda-se que sejam adotadas cláusulas-padrão que discorram sobre as responsabilidades na coleta, tratamento, trânsito e eliminação de dados, além de dispor sobre requisitos mínimos de segurança e confidencialidade e prever obrigações de resposta, possivelmente em um SLA (Service Level Agreement), no caso de eventuais violações ou vazamentos, além de especificar internamente procedimentos para executar os contratos com as partes que processam informações pessoais. Neste caso, recomenda-se, inclusive que sejam revisados contratos já firmados e em vigência. Além disso, é fundamental que existam procedimentos bem definidos para notificação de fornecedores e um prazo razoável para remediar falhas e responder a eventuais demandas.

3. Realizar due diligence e análise de riscos em torno da privacidade de dados e postura de segurança de fornecedores. Ao selecionar fornecedores, deve-se realizar uma avaliação aprofundada da capacidade destes terceiros em cumprir com todas as obrigações legais, em especial nos casos em que há transferência de dados para servidores localizados em outras jurisdições. Sugere-se ainda, verificar se os processos destes terceiros estão em consonância com as melhores práticas de proteção de dados. As normas internas relacionadas à privacidade de dados e segurança da informação devem ser apresentadas a estes fornecedores e os controles internos também devem compreender os riscos de privacidade de dados advindos destas relações entre as partes.
4. Manter uma política para reger o uso de provedores em nuvem, de modo a garantir a regularidade e legitimidade das transferências transfronteiriças de dados e para evitar que sejam contratados ou utilizados tais serviços para armazenamento, manipulação ou troca de comunicações relacionadas à empresa sem o conhecimento e formal aprovação do Encarregado de Proteção de Dados (DPO), que deverá certificar a segurança a privacidade e outros requisitos de tratamento. Para qualquer serviço em nuvem que exija que os usuários concordem com os termos de serviço, orienta-se que as cláusulas sejam revisadas pelo Departamento Jurídico e pelo DPO. Também deve restar esclarecido na política que contas de serviços pessoais na nuvem não podem ser utilizadas para armazenamento ou transferência de dados de propriedade da empresa.
No próximo capítulo, irei discorrer sobre como prover avisos legais.

Para acessar o primeiro capítulo da Série, clique aqui.

Para acessar o próximo capítulo, clique aqui.

× Fale Conosco