A contratação de fornecedores de serviços sempre foi considerada arriscada em certos aspectos, como os relacionados às questões trabalhistas, responsabilizações de ordem tributária e reputacional.
Com a chegada da Lei Geral de Proteção de Dados (LGPD), os desafios envolvidos na contratação de terceiros ampliaram-se e surgiram outras incertezas que afligem até mesmo gestores das empresas mais preparadas para a nova era da proteção de dados pessoais.
Para mais, levando em consideração a construção de uma cultura de proteção de dados pessoais no país e o potencial crescimento da atuação da ANPD, é nítido que as empresas brasileiras terão um novo indicador a considerar dentre os outros pontos abrangidos pelo arcabouço do compliance, quando da contratação de terceiros para a realização de serviços que envolvam o tratamento de dados pessoais.
Diante desse cenário, vale destacar a sensibilidade e a quantidade de informações que ficam à disposição de terceiros, incluindo seus colaboradores. O impacto negativo com relação à reputação de uma empresa em casos de não conformidade com a LGPD pode ser enorme.
Alguns dos conceitos básicos trazidos pela LGPD são:
- Titulares de dados: pessoas naturais, identificadas ou identificáveis, proprietárias dos dados pessoais em tratamento;
- Agentes de tratamento: controladores e operadores envolvidos no tratamento de dados; e
- Tratamento de dados: qualquer processo que possa ser realizado com os dados pessoais, da coleta à exclusão.
Além de representar um grande risco de incidentes de segurança e exposição de dados pessoais, o levantamento realizado pela empresa de consultoria de riscos ICTS Protiviti, que aponta que somente 16% das empresas em atividade do Brasil estão em conformidade com a LGPD, também traz um alerta quanto ao processo de contratação de serviços, uma vez que a adequação total à LGPD se torna mais um dos inúmeros aspectos necessários para a seleção de um parceiro comercial.
Assim, é fundamental que as empresas adotem medidas técnicas e organizacionais de segurança da informação para estar de acordo com a Lei, sejam físicas ou digitais, como por exemplo o controle de acesso, bloqueio de contas e checagem de registros de fluxo de dados dentro dos sistemas utilizados pela companhia, entre outros.
- Leia também:
2 anos de LGPD: desafios e conquistas das pequenas empresas
A necessidade da adequação das empresas à LGPD
As empresas também devem estabelecer uma estrutura de reporte de incidentes de segurança com dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD) quando identificado que o incidente possa gerar alto risco aos direitos fundamentais dos titulares envolvidos, através da elaboração do Relatório de Impacto à Proteção de Dados Pessoais.
O foco principal no momento de contratação de terceiros que tratem de dados pessoais ou tenham acesso é a verificação mínima de certidões e antecedentes, inclusive de reputação e capacidade econômica, para casos de responsabilização, assim como a imposição de cláusulas contratuais que garantam que o fornecedor, como operador ou controlador, esteja ciente de suas responsabilidades legais.
O terceiro também deve declarar a conformidade com a LGPD, vinculando juridicamente ao cumprimento de requisitos mínimos de segurança da informação que comprovem a existência de uma estrutura interna adequada à LGPD.
Ainda, durante o processo de negociação do contrato, é essencial determinar disposições que assegurem que os funcionários do contratado estão juridicamente vinculados com as obrigações de confidencialidade e de proteção dos dados, bem como a inclusão de cláusulas de:
- limitação da finalidade do tratamento;
- mecanismos de responsabilização no caso de incidentes de dados que o contratado venha a dar causa;
- adoção de medidas técnicas e organizacionais de segurança da informação;
- estabelecimento de canal de comunicação para os titulares de dados;
- dados do Encarregado (DPO), se aplicável.
Por fim, a realização de auditoria nos locais e meios em que o fornecedor realiza o tratamento de dados pessoais também se mostra uma ação importante no processo de composição do contrato.
Fonte: Crypto ID
