A contratação de fornecedores de serviços sempre foi considerada arriscada em certos aspectos, como os relacionados às questões trabalhistas, responsabilizações de ordem tributária e reputacional.
Com a chegada da Lei Geral de Proteção de Dados (LGPD), os desafios envolvidos na contratação de terceiros ampliaram-se e surgiram outras incertezas que afligem até mesmo gestores das empresas mais preparadas para a nova era da proteção de dados pessoais.
Para mais, levando em consideração a construção de uma cultura de proteção de dados pessoais no país e o potencial crescimento da atuação da ANPD, é nítido que as empresas brasileiras terão um novo indicador a considerar dentre os outros pontos abrangidos pelo arcabouço do compliance, quando da contratação de terceiros para a realização de serviços que envolvam o tratamento de dados pessoais.
Diante desse cenário, vale destacar a sensibilidade e a quantidade de informações que ficam à disposição de terceiros, incluindo seus colaboradores. O impacto negativo com relação à reputação de uma empresa em casos de não conformidade com a LGPD pode ser enorme.
Alguns dos conceitos básicos trazidos pela LGPD são:
- Titulares de dados: pessoas naturais, identificadas ou identificáveis, proprietárias dos dados pessoais em tratamento;
- Agentes de tratamento: controladores e operadores envolvidos no tratamento de dados; e
- Tratamento de dados: qualquer processo que possa ser realizado com os dados pessoais, da coleta à exclusão.
Além de representar um grande risco de incidentes de segurança e exposição de dados pessoais, o levantamento realizado pela empresa de consultoria de riscos ICTS Protiviti, que aponta que somente 16% das empresas em atividade do Brasil estão em conformidade com a LGPD, também traz um alerta quanto ao processo de contratação de serviços, uma vez que a adequação total à LGPD se torna mais um dos inúmeros aspectos necessários para a seleção de um parceiro comercial.
Assim, é fundamental que as empresas adotem medidas técnicas e organizacionais de segurança da informação para estar de acordo com a Lei, sejam físicas ou digitais, como por exemplo o controle de acesso, bloqueio de contas e checagem de registros de fluxo de dados dentro dos sistemas utilizados pela companhia, entre outros.
As empresas também devem estabelecer uma estrutura de reporte de incidentes de segurança com dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD) quando identificado que o incidente possa gerar alto risco aos direitos fundamentais dos titulares envolvidos, através da elaboração do Relatório de Impacto à Proteção de Dados Pessoais.
O foco principal no momento de contratação de terceiros que tratem de dados pessoais ou tenham acesso é a verificação mínima de certidões e antecedentes, inclusive de reputação e capacidade econômica, para casos de responsabilização, assim como a imposição de cláusulas contratuais que garantam que o fornecedor, como operador ou controlador, esteja ciente de suas responsabilidades legais.
O terceiro também deve declarar a conformidade com a LGPD, vinculando juridicamente ao cumprimento de requisitos mínimos de segurança da informação que comprovem a existência de uma estrutura interna adequada à LGPD.
Ainda, durante o processo de negociação do contrato, é essencial determinar disposições que assegurem que os funcionários do contratado estão juridicamente vinculados com as obrigações de confidencialidade e de proteção dos dados, bem como a inclusão de cláusulas de:
- limitação da finalidade do tratamento;
- mecanismos de responsabilização no caso de incidentes de dados que o contratado venha a dar causa;
- adoção de medidas técnicas e organizacionais de segurança da informação;
- estabelecimento de canal de comunicação para os titulares de dados;
- dados do Encarregado (DPO), se aplicável.
Por fim, a realização de auditoria nos locais e meios em que o fornecedor realiza o tratamento de dados pessoais também se mostra uma ação importante no processo de composição do contrato.
- Fonte: LGPDBrasil.com.br
- Imagem: Freepik
- 12 de agosto de 2022