LGPD: cuidados na contratação de terceiros
A Lei Geral de Proteção de Dados (LGPD) afeta diretamente a relação das empresas com seus parceiros e fornecedores, especialmente quando há compartilhamento de dados pessoais de colaboradores ou clientes. Com as mudanças trazidas pela lei, a contratação de terceiros deve passar a ser feita sob uma nova ótica, considerando o comprometimento da empresa com a proteção de dados.
Isso porque todos os envolvidos no tratamento de dados (ou seja, na sua coleta, uso, compartilhamento etc.) respondem solidariamente em caso de danos causados por violações à LGPD.
Ou seja, quando uma empresa contrata um escritório de contabilidade, por exemplo, ambos são responsáveis por garantir que o tratamento de dados seja feito de acordo com a lei. Uma violação cometida por uma das partes afeta diretamente a outra.
Para ajudar a sua empresa nesse novo panorama, nós separamos cinco cuidados relacionados à contratação de terceiros.
Confira neste artigo!
Contrate uma consultoria de adequação à LGPD
A Get Privacy é especializada em projetos de adequação à LGPD e proteção de dados para empresas de todos os portes.
1. Mapeie e avalie todos os contratos já existentes
Nós sempre destacamos que o primeiro passo para um programa de adequação à LGPD consistente é um mapeamento de dados. Ele permite identificar todo o ciclo de vida do dado pessoal dentro da organização – incluindo com quem eles são compartilhados.
Isso já ajuda a identificar o padrão do compartilhamento de dados com terceiros. No entanto, é igualmente importante mapear e avaliar também todos os contratos já firmados com parceiros e fornecedores.
O ideal é classificá-los considerando o grau de risco em relação ao compartilhamento de dados, destacando os que precisam de atenção redobrada ou alterações urgentes. É o caso, por exemplo, de parcerias que envolvam o compartilhamento de dados sensíveis.
Depois que os contratos forem analisados e classificados, fica mais fácil fazer as adequações necessárias em termos de LGPD.
2. Estabeleça cláusulas e regras específicas para LGPD
Tanto para contratos novos quanto para a adequação de contratos antigos, é fundamental ter cláusulas e regras específicas relacionadas à LGPD.
A ideia é que o contrato deixe claro as responsabilidades de cada um, destacando o comprometimento das partes com a legislação e a proteção de dados. Todas as partes devem se comprometer com práticas de compliance e adequação à LGPD.
O contrato pode, inclusive, prever a possibilidade de auditorias para avaliar a situação do parceiro em relação ao tema.
A relação específica com cada parceiro ou fornecedor também deve ser levada em consideração para caso seja necessário incluir cláusulas mais personalizadas, como a possibilidade de transferência internacional de dados.
Além disso, é importante incluir regras e prazos para a comunicação a respeito de eventuais incidentes de segurança.
3. Garanta o enquadramento legal para o compartilhamento de dados
O compartilhamento de dados com terceiros e fornecedores é, em muitas áreas, inevitável. O importante é garantir que ele seja feito de acordo com as regras da LGPD.
O primeiro passo é entender claramente com quem é feito o compartilhamento e por qual motivo. Como mencionamos no primeiro item, um mapeamento de dados já ajuda a identificar esse contexto.
Depois, é preciso verificar se o compartilhamento se enquadra no que está previsto na LGPD. A lei determina que o compartilhamento de dados deve ser feito sempre com o consentimento do titular.
A exigência de consentimento é dispensada apenas nas seguintes hipóteses:
- Para cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, para a execução de políticas públicas;
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- Para a tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
- Para a proteção do crédito.
Além disso, o titular tem o direito de solicitar informação das entidades públicas e privadas com as quais o controlador compartilhou seus dados.
Um ponto importante a se destacar é em relação ao compartilhamento de dados de saúde com objetivo de obter vantagem econômica – a prática é proibida, exceto em situações muito restritas.
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
4. Escolha parceiros e fornecedores tendo como base a LGPD
Contratos bem definidos e cláusulas específicas relacionadas à proteção de dados são fundamentais. Porém, em termos práticos, o ponto mais importante quando se fala de LGPD é escolher com cuidado o parceiro ou fornecedor.
Além dos critérios de negócio, é preciso incorporar na análise também o grau de comprometimento do parceiro com a proteção de dados.
Alguns pontos a serem levados em consideração são:
- O parceiro em potencial está aderente à LGPD? Já implementou um programa de adequação?
- A empresa adota boas práticas de proteção de dados, como treinamento de funcionários, medidas de governança e políticas de privacidade?
- Quais medidas práticas de Segurança da Informação a empresa implementa?
- A organização já esteve envolvida em algum caso de vazamento de dados ou incidente de segurança? Se esteve, como lidou com a situação? O que fez desde então para evitar novos incidentes?
Lembre-se que uma escolha consciente e embasada pode evitar riscos jurídicos, de imagem e de segurança.
5. Priorize a Segurança da Informação
Uma das exigências da LGPD é que todos os envolvidos no tratamento garantam a segurança dos dados pessoais. E, no entanto, é comum que a Segurança da Informação seja deixada de lado, tanto pelo controlador quanto pelo operador.
As consequências dessa negligência podem ser altamente custosas. Uma falha de segurança no sistema de um parceiro pode levar ao vazamento de dados de clientes e funcionários da empresa contratante, por exemplo.
Aliás, vale destacar os dados de um relatório da IBM, que analisou casos de vazamentos de dados em 524 organizações entre 2019 e 2020. O estudo aponta que 52% dos vazamentos foram causados por ataques maliciosos, e 80% envolveram dados pessoais de clientes.
Portanto, antes de contratar terceiros, seja para prestação de serviços, softwares de gestão, terceirização de atividades etc., é preciso avaliar com cuidado o quanto a empresa investe em Segurança da Informação.
- O potencial parceiro adota ferramentas básicas de segurança?
- Caso seja alvo de um ataque hacker ou sofra um incidente de segurança, possui um plano de resposta estabelecido e testado?
- A empresa investe em backup e planos de recuperação de desastres?
- Como é feito o controle e gestão de acesso a dados e sistemas?
- Os funcionários são treinados para reconhecerem as principais ameaças de segurança?
Adotar critérios como esses pode parecer trabalhoso, mas ajuda a evitar prejuízos ainda maiores causados por incidentes de segurança e vazamentos de dados.
Quer adequar seus contratos com terceiros? Fale com a Get Privacy
Devido à complexidade do processo, o ideal é que as organizações contem com ajuda especializada para adequar seus contratos com parceiros e, de maneira geral, se adequar à Lei Geral de Proteção de Dados.
Na Get Privacy, nós contamos com uma equipe multidisciplinar especializada em proteção de dados para atender às suas demandas.
CONFIRA
OUTROS POSTS