Quando me propus a falar sobre “LGPD na Prática”, não podia imaginar quão complexo seria o tema.
Muito se fala sobre a nova regulamentação, principalmente sob o aspecto legal, mas a dificuldade para transportar os direitos dos usuários e as obrigações das empresas para o dia a dia das organizações é grande. É necessário sair do campo do dever ser, da norma em si, para entender quais são os impactos da lei nos negócios.
Já identifiquei, em capítulos anteriores, quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como implementar e preservar uma estrutura de governança de dados, como fazer um inventário de dados pessoais e mecanismos de transferência, o que é e como adotar uma política de privacidade, a relação entre a nova regulamentação e as rotinas de várias áreas de uma organização, como treinar e comunicar e de que maneira deve-se gerenciar os riscos relacionados à segurança da informação.
Neste capítulo, o objetivo é apresentar a melhor maneira de administrar riscos de terceiro, ou seja, como atestar que os parceiros de negócio de determinada organização estejam alinhados com a nova regulamentação e com as normas internas de privacidade de dados, dentro dos limites de tolerância ao risco. Para tanto, são sugeridas algumas ações:
1. Fazer uma lista de todas as soluções de terceiro atualmente usadas pela empresa relacionadas ao tratamento e processamento de dados, fase que deve ser completada quando do inventário de dados, quando do mapeamento do ciclo de vida destes e dos caminhos a serem percorridos entre servidores
2. Manter requisitos de privacidade e segurança de dados em contratos firmados com terceiros (clientes, fornecedores, processadores de dados, empresas afiliadas). Recomenda-se que sejam adotadas cláusulas-padrão que discorram sobre as responsabilidades na coleta, tratamento, trânsito e eliminação de dados, além de dispor sobre requisitos mínimos de segurança e confidencialidade e prever obrigações de resposta, possivelmente em um SLA (Service Level Agreement), no caso de eventuais violações ou vazamentos, além de especificar internamente procedimentos para executar os contratos com as partes que processam informações pessoais. Neste caso, recomenda-se, inclusive que sejam revisados contratos já firmados e em vigência. Além disso, é fundamental que existam procedimentos bem definidos para notificação de fornecedores e um prazo razoável para remediar falhas e responder a eventuais demandas.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários