Sua empresa ainda investe em soluções que não estão adequadas à LGPD?




Por Gabriela Totti - advogada da Biolchi Empresarial


Diante da iminente entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), muitas empresas estão se adequando ao regramento devido às implicações que a não conformidade poderá acarretar – como perda de credibilidade, de negócios e de dificuldades de inserção em uma economia globalizada. Por isso, é importante conhecer as soluções que a organização utiliza em suas atividades, uma vez que não adianta ter um programa de compliance se fornecedores ou parceiros não estiverem seguindo. De acordo com a lei, a responsabilidade pelo tratamento de dados é do controlador.


Mas o que significa isso na prática? Se não todas, quase todas as soluções usadas pelas organizações tratam dados pessoais e devem estar de acordo com a legislação, quando entrar em vigência. Por isso, é fundamental que haja a conscientização dos fornecedores em relação a LGPD.


Tudo o que prevê a lei é estendido aos fornecedores da empresa. Eles devem estar em conformidade com as normas estabelecidas. Cabe ressaltar que a empresa poderá ser penalizada caso algum de seus fornecedores não esteja adequado à lei.

Dessa forma, as organizações deverão buscar no mercado fornecedores que tenham essa preocupação e que adotem as medidas necessárias para atender os critérios estabelecidos na lei. Então, antes da contratação de qualquer fornecedor, a empresa deve se certificar se ele segue a LGPD.


No momento da seleção, a empresa deverá fazer uma avaliação aprofundada da capacidade do fornecedor em cumprir com todas as obrigações legais e se está adequado às melhores práticas de proteção de dados. Além disso, a empresa deve apresentar ao fornecedor as políticas internas de privacidade e proteção de dados, pois esse engajamento da cadeia deve existir para que o programa de compliance seja efetivo.


A gestão dos fornecedores que tratam com dados pessoais torna-se imprescindível para garantir a conformidade com a lei. E, por isso, redigir cláusulas contratuais não será suficiente, embora necessário. A empresa deverá conhecer a operação do fornecedor e monitorar o cumprimento do que foi acordado no momento da contratação.


Mas, e quando já temos um fornecedor, o que deve ser feito? Nesse caso, a empresa deve saber que medidas estão sendo tomadas para a adequação da lei. Também deve ser feita a revisão dos contratos existentes para que sejam incluídas cláusulas de proteção de dados. O que não pode ocorrer é uma empresa manter um fornecedor tendo ciência de que ele não está adequado a LGPD e sequer está buscando esta adequação.


Abaixo listamos algumas sugestões de ações que devem ser tomadas para mitigar os riscos da empresa em relação aos fornecedores:


1. Faça uma lista de todas as soluções de terceiros utilizadas pela empresa que tenham relação com o tratamento de dados pessoais.


É necessário que a empresa saiba quem são seus fornecedores e quais operam de alguma forma dados pessoais


2. Faça uma classificação dos contratos com os terceiros tendo como parâmetro o nível de risco que eles têm em relação à proteção de dados.


Quanto maior o risco do contrato, maiores devem ser as exigências em relação ao fornecedor, pois o impacto de um incidente ou tratamento de dados irregular poderá acarretar graves problemas para a empresa.


3. Inclua cláusulas de proteção de dados nos contratos firmados com fornecedores.


Nelas devem constar requisitos mínimos de segurança e confidencialidade, previsão de um SLA (Service Level Agreement), em casos de violações ou vazamentos de dados, e estabelecimento das responsabilidades de cada parte.


4. Tenha um processo interno de registro de comunicações com o fornecedor.


Isso facilitará o processo de monitoramento do fornecedor em relação ao cumprimento das obrigações estabelecidas em contrato.


A adoção dessas medidas mitigará a ocorrência de violação ou vazamento de dados, demonstrará que a empresa tem preocupação e acompanha o tratamento de dados feito pelos fornecedores. O inverso também é uma verdade. A empresa que continuar investindo em soluções que não estão adequadas à LGPD correrá um grande risco, pois a responsabilidade perante a lei é sua – independentemente se o tratamento de dados é realizado por terceiros.


Portanto, as empresas devem se movimentar desde agora para buscar fornecedores que atendam as melhores práticas de proteção de dados. O processo de adequação exige um trabalho de avaliação de processos internos da organização, além de avaliação e adequação externa dos envolvidos na cadeia produtiva.


VOLTAR
  • Facebook
  • Telegram