Em vigor desde 2020, a Lei Geral de Proteção de Dados (LGPD) traz inúmeras obrigações e responsabilidades para empresas e órgãos públicos. Essas obrigações também recaem sobre os terceiros que tratam dados em nome dessas entidades, tornando a gestão eficaz desses terceiros essencial para assegurar a conformidade com a LGPD e mitigar riscos associados ao tratamento de dados pessoais.
Passos até a conformidade
A conformidade com a LGPD exige que todos os terceiros que prestam serviços ou recebem dados da empresa estejam alinhados com as regras trazidas na Lei. A gestão eficaz desses terceiros começa com uma avaliação criteriosa e uma seleção baseada na capacidade de cumprir com os requisitos da LGPD. É crucial que este processo de contratação seja robusto e abrangente, garantindo que qualquer terceiro envolvido no tratamento de dados pessoais esteja comprometido com os mais altos padrões de segurança e conformidade.
A verificação das práticas de segurança da informação dos terceiros é um passo essencial. Políticas de segurança bem definidas e implementadas que abordem controle de acesso, criptografia, gestão de vulnerabilidades e resposta a incidentes são fundamentais. Certificações reconhecidas, como a ISO/IEC 27001, podem ser indicadoras da maturidade das práticas de segurança do terceiro. Além disso, revisar o histórico de incidentes de segurança ajuda a compreender a frequência e a gravidade das ocorrências, bem como a eficácia das medidas corretivas adotadas.
As políticas de privacidade de terceiros devem ser claras, transparentes e alinhadas com a LGPD. É necessário verificar se as políticas especificam quais dados são coletados, para que finalidades e como são utilizados. Além disso, os mecanismos para obtenção e gestão do consentimento dos titulares dos dados devem estar em conformidade com as disposições da LGPD, detalhando com quem os dados são compartilhados e sob quais condições, incluindo a transferência de dados para outros países.
Os contratos com terceiros desempenham um papel crítico na formalização das obrigações de proteção de dados e privacidade. Estes documentos devem incluir cláusulas específicas que garantam a conformidade com a LGPD e protejam os dados pessoais tratados. As obrigações de confidencialidade nos contratos devem definir claramente o escopo da confidencialidade e as obrigações do terceiro. Requisitos de segurança devem ser específicos, detalhando medidas como criptografia, controle de acesso e autenticação multifator.
Os contratos devem estabelecer procedimentos claros para a notificação de incidentes de segurança, especificando o tempo máximo permitido para a notificação e as informações que devem ser incluídas. Também é fundamental exigir que o terceiro realize Avaliações de Impacto sobre a Proteção de Dados (DPIAs) quando necessário, para identificar e mitigar riscos associados ao tratamento de dados pessoais.
Contratos e SLAs devem ser revistos e atualizados regularmente para refletir mudanças na legislação, nas práticas de segurança e nas operações da empresa. Isso garante que os requisitos de proteção de dados permaneçam relevantes e eficazes, incorporando mudanças legislativas e feedback de auditorias e avaliações de risco.
A importância das Auditorias
Além das previsões contratuais, é fundamental realizar auditorias e confirmações técnicas periódicas para assegurar a adequação contínua dos terceiros. Estas auditorias permitem identificar possíveis falhas e garantir que as práticas de segurança e conformidade estão sendo seguidas conforme o estipulado. As auditorias devem abranger a revisão de políticas de segurança, testes de vulnerabilidade e análise de incidentes, garantindo uma abordagem proativa na gestão de riscos.
Dada a complexidade e a importância da gestão de terceiros para a conformidade com a LGPD, a contratação de consultores especializados se torna uma estratégia recomendada. Esses profissionais possuem o conhecimento técnico e jurídico necessário para conduzir avaliações criteriosas, elaborar contratos detalhados e assegurar que todas as práticas de segurança e conformidade estejam em vigor. Consultores especializados podem ajudar a fortalecer a segurança dos dados e a confiança nas operações empresariais, mitigando riscos e protegendo os direitos dos titulares de dados.
Os órgãos públicos também são obrigados a cumprir as exigências da LGPD, incluindo a gestão adequada de terceiros que tratam dados em nome do governo. A adequação à LGPD deveria ser um dos requisitos dos editais de licitação, especialmente para empresas que vão tratar dados dos cidadãos, como na área da educação e da saúde.
A inclusão de requisitos específicos sobre conformidade com a LGPD nos editais de licitação é crucial para garantir que fornecedores e prestadores de serviços públicos adotem as melhores práticas de proteção de dados. Empresas que lidam com informações sensíveis, como dados de saúde ou educativos, devem demonstrar claramente suas políticas de privacidade e segurança, assim como sua capacidade de cumprir com os rigorosos requisitos da LGPD.
Os órgãos públicos devem também implementar processos de auditoria e verificação contínua para assegurar que os terceiros contratados mantenham um alto padrão de proteção de dados. Essas medidas são essenciais para proteger a privacidade dos cidadãos e evitar possíveis sanções decorrentes do descumprimento da LGPD.
Em suma, a gestão eficaz de terceiros é vital para a conformidade com a LGPD. A avaliação criteriosa e a seleção de terceiros, juntamente com contratos detalhados, auditorias regulares e SLAs robustos, são componentes essenciais desta gestão. A contratação de consultores especializados pode fazer toda a diferença na proteção dos dados pessoais e na manutenção da conformidade legal.
Leia mais sobre outros temas no nosso blog. Clique aqui e saiba tudo sobre auditorias em privacidade.