A Lei Geral de Proteção de Dados (LGPD) impõe exigências rigorosas sobre a proteção de dados pessoais, e a responsabilidade só aumenta quando se trata de fornecedores e terceiros que processam dados em nome de uma empresa. Para garantir a conformidade e evitar riscos, é essencial adotar uma abordagem estruturada na gestão de fornecedores.
Identificação de Riscos
O primeiro passo é entender o papel do terceiro no processamento de dados pessoais. A empresa precisa mapear quais terceiros têm acesso aos dados e qual a criticidade desses dados. Quanto maior o acesso e a sensibilidade dos dados, maior o risco envolvido. Para fazer isso de forma eficaz, é necessário realizar um assessment de qualidade.
O assessment entra no processo de gestão de terceiros como uma ferramenta essencial para avaliar a conformidade e os riscos envolvidos no tratamento de dados pessoais. Ele permite uma análise mais profunda das práticas de proteção de dados dos fornecedores, identificando possíveis lacunas ou riscos de não conformidade com a LGPD.
Contratos e Acordos de Processamento de Dados
O contrato é a principal ferramenta para formalizar as responsabilidades do terceiro. É essencial incluir cláusulas claras que definam as obrigações do fornecedor, como garantir que os dados não serão utilizados para finalidades diferentes daquelas acordadas, bem como notificações de incidentes de segurança ou qualquer tratamento irregular. Além disso, os papéis de controlador e operador devem ser bem definidos. Lembre-se de que um mesmo fornecedor pode assumir ambos os papéis, dependendo da operação que realizar.
Plano de Resposta a Incidentes
Uma ferramenta muito útil para mitigar riscos na gestão de terceiros é o plano de resposta a incidentes.. Mesmo que os riscos sejam baixos, criar um processo interno e registrar as comunicações com o fornecedor é um passo para fortalecer a segurança e aprimorar a gestão de riscos na relação com terceiros.
Além disso, é necessário ter um plano de resposta bem estruturado. A LGPD exige que a empresa notifique rapidamente a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, caso ocorram falhas no tratamento de dados que possam causar riscos e danos aos titulares de dados.
Garantindo a Conformidade
Avaliar e mitigar os riscos de terceiros na LGPD vai além de uma obrigação legal; é uma ação estratégica que protege a reputação da empresa e a confiança de seus clientes. Ao implementar controles eficazes, como contratos claros, monitoramento contínuo e práticas rigorosas de gestão de fornecedores, as empresas podem minimizar vulnerabilidades, reduzir danos e garantir que a proteção dos dados pessoais seja mantida em toda a cadeia de suprimentos, assegurando a conformidade com a LGPD em todas as etapas do processo.
