Atualmente é muito comum a utilização de terceiros nas atividades das empresas e, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020, essa questão passa a ser um processo desafiador para as empresas por envolver o tratamento de dados pessoais fora de sua infraestrutura tecnológica. Empresas ao redor do mundo estão perdendo milhões por causa de incidentes de violação de dados, sendo alguns, inclusive, originados nos seus terceiros.
O Ponemon Institute, responsável pela promoção de pesquisa e educação direcionadas ao uso responsável de informações e gestão de privacidade das empresas, publicou no ano passado uma pesquisa que revela o impacto dos 25 fatores principais no prejuízo total médio de vazamentos de dados que giram em torno de US $ 3,86 milhões.
A Secretaria Especial de Desburocratização, Gestão e Governo Digital, sob o comando do Ministério da Economia, publicou em agosto de 2020 o Guia Específico para Avaliação de Riscos de Segurança e Privacidade nos Contratos, Sistemas e Processos das Instituições Públicas, que abarca medidas de segurança e privacidade, controles por risco, matriz de risco e processo de avaliação que deve ser implementado.
Segundo a advogada Caroline Teófilo da Silva, especialista em Proteção de Dados, Segurança da Informação e Direito Digital, de Pires & Gonçalves Advogados Associados, durante o projeto de implementação da lei algumas incertezas surgem como, por exemplo, exigir e acompanhar os terceiros no tocante à conformidade com a LGPD e não inviabilizar negócios com esses terceiros que não estão em parte ou totalmente em conformidade com a lei.
“A Avaliação da Proteção de Dados Pessoais e Segurança da Informação nos terceiros, apesar de desafiador, faz parte dos processos que suportam o Programa de Privacidade das empresas e deve ser observado com rigor para refletir nas relações externas e fazer com que o Programa atinja sua excelência. Isto porque a LGPD dispõe que o Controlador ou o Operador que, no exercício de atividade de tratamento de dados pessoais causar dano patrimonial, moral, individual ou coletivo, violando a lei de Proteção de Dados Pessoais, é obrigado a repará-lo”, diz Caroline.
É essencial, de acordo com a advogada, que o procedimento avalie se o terceiro conta com medidas técnicas e organizacionais para proteção de dados pessoais e que apresente as evidências da implementação dos controles de segurança e proteção de dados pessoais, a partir dos seguintes passos:
- Levantamento das informações sobre o escopo do contrato, como por exemplo o tratamento associado e os tipos de dados pessoais envolvidos;
- Resposta de questionário contendo controles de segurança e proteção de dados pessoais sob o aspecto de governança, processos, cultura e tecnologia;
- Avaliação do questionário e identificação dos riscos apresentados e fatores que possam mitigá-los;
- Análise do plano de ação do terceiro, se necessário;
- Monitoramento e implementação do plano de ação do terceiro.
Esse processo é essencial para que as empresas tenham conhecimento sobre as vulnerabilidades do terceiro, o que, por sua vez, possibilita mais visibilidade para a tomada de decisão no seguimento ou não da contratação. Caso a empresa decida seguir com a contratação, mesmo que o terceiro não esteja em conformidade com a legislação, assumirá os riscos da operação.
Comentarios
0 comentarios