LGPD

Gestão de terceiros e LGPD: como realizar mantendo a conformidade dos negócios?

03 nov. 20224 min leitura
insight featured image
A Lei Geral de Proteção de Dados (LGPD) define regras para todas as empresas que coletam, armazenam e tratam dados pessoais de pessoas físicas no Brasil. No entanto, não basta as companhias aplicarem a LGPD apenas internamente. Nas suas relações comerciais, é necessário ter atenção aos seus fornecedores e prestadores de serviços, principalmente com aqueles cuja contratação envolve o tratamento e compartilhamento de dados pessoais.
Contents

Sendo assim, a gestão de terceiros é um dos requisitos de adequação à Lei Geral de Proteção de Dados (LGPD), sendo de observância obrigatória para as empresas controladoras de dados pessoais. Além disso, a ISO 27.701 também a traz como melhor prática.

Como realizar a gestão de terceiros de maneira eficaz?

A gestão de terceiros pode ser realizada desde a fase pré-contratual, bem como durante todo o contrato.

Fase pré-contratual: a empresa controladora dos dados (contratante), poderá criar um procedimento de “due diligence de privacidade” de terceiros a ser aplicado antes da contratação do fornecedor. Dessa maneira, o objetivo é avaliar a maturidade do ambiente do seu fornecedor em relação à LGPD e Segurança da Informação. A operacionalização deste procedimento de avaliação, pode ser realizada por meio da aplicação de um questionário direcionado ao seu fornecedor (operador), por exemplo.

Recomenda-se que a avaliação solicite evidências, tais como:

  • existência de Política de Privacidade e de Segurança da Informação;
  • nomeação do Encarregado de Dados;
  • canal onde o titular possa exercer seus direitos;
  • procedimentos de backup, de gestão de incidentes e incidentes de privacidade;
  • comprovação de análise de vulnerabilidades;
  • existência de Políticas de Gestão de Acessos;
  • existência de Código de Conduta que mencione a privacidade dos dados como uma conduta a ser esperada dos seus colaboradores;
  • evidências de treinamentos dos colaboradores, nos temos de privacidade e segurança da informação;
  • entre outros.

Fase contratual: nesta fase a gestão do terceiro (operador) poderá ser realizada através do próprio contrato, com a inserção de cláusulas que tratem de privacidade de dados e segurança da informação, delimitando obrigações entre controlador e operador, prazos e procedimentos de reporte em caso de incidente de violação de dados pessoais, SLA’s, dentre outras, a depender do escopo contratual.

Durante o período contratual: a empresa controladora também poderá periodicamente aplicar a avaliação de maturidade sob aspectos de privacidade e solicitação de evidências ao seu fornecedor, mantendo assim o monitoramento do ambiente onde seus dados estão sendo tratados pelo terceiro contratado.

Ações de boas práticas e governança

É de suma importância que a empresa responsável pelo tratamento dos dados pessoais (controladora) implemente a gestão dos seus fornecedores e tenha todas as evidências documentadas de que monitora os ambientes onde os dados pessoais são tratados, cumprindo assim as boas práticas e governança ditadas pelos Artigos 39 e 50 da LGPD.

Além disso, em caso de incidentes com vazamento de dados pessoais, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) observará, inclusive, para fins de mensuração de penalidade, se a empresa adotou todas os mecanismos e procedimentos internos capazes de minimizar os danos ao titular.

 

Como estão os processos de gestão de terceiros da sua empresa?

Através de metodologia própria e equipe especializada nos processos de Adequação à LGPD, podemos auxiliar a sua empresa a entender qual o nível alcançado em seu Programa de Privacidade e atendimento à Lei Geral de Proteção de Dados para realizar a gestão de terceiros.

Conheça nossas abordagens

TAGS

RECEBA NOSSOS INSIGHTS E NOVIDADES POR E-MAIL

Confira também:

View more
Imagem holográfica de símbolo de segurança
LGPD 7 motivos para contar com um DPO terceirizado
Caminhando para o 6º ano de promulgação da Lei Geral de Proteção de Dados (LGPD - Lei nº 13.708/18) no Brasil, algumas práticas vão se estabelecendo nas atividades de governança sobre a privacidade e tratamento de dados pessoais, dentre elas a terceirização do DPO (Data Protection Officer ou Encarregado de Proteção de Dados).
Alessandro Gratão
Alessandro Gratão
| 24 abr. 2024
Direitos Humanos, o risco de imagem e as ações de integridade no âmbito corporativo
INSIGHTS Direitos Humanos, o risco de imagem e as ações de integridade no âmbito corporativo
Após os acontecimentos dos anos 40, como o fim da Segunda Guerra Mundial, em 1948, o mundo entendeu a necessidade de olhar e reconhecer os direitos dos seres humanos. Neste ano, através da Assembleia Geral das Nações Unidas, foi elaborado o primeiro documento internacional chamado “Declaração Universal dos Direitos Humanos”, que contém 30 artigos com a ideia de que todos os seres humanos nascem livres e iguais em dignidade e direitos, e que devem ser respeitados e tratados com justiça.
09 abr. 2024
O que muda com as novas Normas Globais de Auditoria Interna?
Auditoria Interna O que muda com as novas Normas Globais de Auditoria Interna?
No dia 8 de janeiro deste ano, o “The Institute of Internal Auditors” (The IIA) publicou as novas Normas Globais de Auditoria Interna. As mudanças passam a valer a partir de 9 de janeiro de 2025 e vieram para substituir o IPPF (International Professional Practices Framework) de 2017 – que ainda podem ser utilizados durante este ano de transição.
12 mar. 2024
    View more