Sendo assim, a gestão de terceiros é um dos requisitos de adequação à Lei Geral de Proteção de Dados (LGPD), sendo de observância obrigatória para as empresas controladoras de dados pessoais. Além disso, a ISO 27.701 também a traz como melhor prática.
Como realizar a gestão de terceiros de maneira eficaz?
A gestão de terceiros pode ser realizada desde a fase pré-contratual, bem como durante todo o contrato.
Fase pré-contratual: a empresa controladora dos dados (contratante), poderá criar um procedimento de “due diligence de privacidade” de terceiros a ser aplicado antes da contratação do fornecedor. Dessa maneira, o objetivo é avaliar a maturidade do ambiente do seu fornecedor em relação à LGPD e Segurança da Informação. A operacionalização deste procedimento de avaliação, pode ser realizada por meio da aplicação de um questionário direcionado ao seu fornecedor (operador), por exemplo.
Recomenda-se que a avaliação solicite evidências, tais como:
- existência de Política de Privacidade e de Segurança da Informação;
- nomeação do Encarregado de Dados;
- canal onde o titular possa exercer seus direitos;
- procedimentos de backup, de gestão de incidentes e incidentes de privacidade;
- comprovação de análise de vulnerabilidades;
- existência de Políticas de Gestão de Acessos;
- existência de Código de Conduta que mencione a privacidade dos dados como uma conduta a ser esperada dos seus colaboradores;
- evidências de treinamentos dos colaboradores, nos temos de privacidade e segurança da informação;
- entre outros.
Fase contratual: nesta fase a gestão do terceiro (operador) poderá ser realizada através do próprio contrato, com a inserção de cláusulas que tratem de privacidade de dados e segurança da informação, delimitando obrigações entre controlador e operador, prazos e procedimentos de reporte em caso de incidente de violação de dados pessoais, SLA’s, dentre outras, a depender do escopo contratual.
Durante o período contratual: a empresa controladora também poderá periodicamente aplicar a avaliação de maturidade sob aspectos de privacidade e solicitação de evidências ao seu fornecedor, mantendo assim o monitoramento do ambiente onde seus dados estão sendo tratados pelo terceiro contratado.
Ações de boas práticas e governança
É de suma importância que a empresa responsável pelo tratamento dos dados pessoais (controladora) implemente a gestão dos seus fornecedores e tenha todas as evidências documentadas de que monitora os ambientes onde os dados pessoais são tratados, cumprindo assim as boas práticas e governança ditadas pelos Artigos 39 e 50 da LGPD.
Além disso, em caso de incidentes com vazamento de dados pessoais, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) observará, inclusive, para fins de mensuração de penalidade, se a empresa adotou todas os mecanismos e procedimentos internos capazes de minimizar os danos ao titular.
Como estão os processos de gestão de terceiros da sua empresa?
Através de metodologia própria e equipe especializada nos processos de Adequação à LGPD, podemos auxiliar a sua empresa a entender qual o nível alcançado em seu Programa de Privacidade e atendimento à Lei Geral de Proteção de Dados para realizar a gestão de terceiros.
Conheça nossas abordagens
