No entanto, não basta as companhias aplicarem a LGPD apenas internamente. Nas suas relações comerciais, é necessário ter atenção aos seus fornecedores e prestadores de serviços, principalmente com aqueles cuja contratação envolve o tratamento e compartilhamento de dados pessoais. Sendo assim, a gestão de terceiros é um dos requisitos de adequação à Lei Geral de Proteção de Dados (LGPD), sendo de observância obrigatória para as empresas controladoras de dados pessoais. Além disso, a ISO 27.701 também a traz como melhor prática.
A gestão de terceiros pode ser realizada desde a fase pré-contratual, bem como durante todo o contrato.
Fase pré-contratual: a empresa controladora dos dados (contratante), poderá criar um procedimento de “due diligence de privacidade” de terceiros a ser aplicado antes da contratação do fornecedor. Dessa maneira, o objetivo é avaliar a maturidade do ambiente do seu fornecedor em relação à LGPD e Segurança da Informação. A operacionalização deste procedimento de avaliação, pode ser realizada por meio da aplicação de um questionário direcionado ao seu fornecedor (operador), por exemplo.
Recomenda-se que a avaliação solicite evidências, tais como:
Fase contratual: nesta fase a gestão do terceiro (operador) poderá ser realizada através do próprio contrato, com a inserção de cláusulas que tratem de privacidade de dados e segurança da informação, delimitando obrigações entre controlador e operador, prazos e procedimentos de reporte em caso de incidente de violação de dados pessoais, SLA’s, dentre outras, a depender do escopo contratual.
Durante o período contratual: a empresa controladora também poderá periodicamente aplicar a avaliação de maturidade sob aspectos de privacidade e solicitação de evidências ao seu fornecedor, mantendo assim o monitoramento do ambiente onde seus dados estão sendo tratados pelo terceiro contratado.
É de suma importância que a empresa responsável pelo tratamento dos dados pessoais (controladora) implemente a gestão dos seus fornecedores e tenha todas as evidências documentadas de que monitora os ambientes onde os dados pessoais são tratados, cumprindo assim as boas práticas e governança ditadas pelos Artigos 39 e 50 da LGPD.
Além disso, em caso de incidentes com vazamento de dados pessoais, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) observará, inclusive, para fins de mensuração de penalidade, se a empresa adotou todas os mecanismos e procedimentos internos capazes de minimizar os danos ao titular.
Como estão os processos de gestão de terceiros da sua empresa?Através de metodologia própria e equipe especializada nos processos de Adequação à LGPD, podemos auxiliar a sua empresa a entender qual o nível alcançado em seu Programa de Privacidade e atendimento à Lei Geral de Proteção de Dados para realizar a gestão de terceiros.
Conheça nossas abordagens
