in Artigos

O papel da avaliação de terceiros como forma de aculturação de privacidade

2k Visualizações

Mariana Sbaite Gonçalves*

Já se tornou usual, na vida de quem atua na área de privacidade e proteção de dados pessoais, enviar e receber questionários de terceiros, a fim de verificar o nível de privacidade das organizações. É cansativo respondê-los? Sim. É trabalhoso? Também. No entanto, eles são fundamentais para o fortalecimento da cultura de privacidade tal como das relações comerciais.

A LGPD não menciona, expressamente, a obrigatoriedade da avaliação de terceiros. Contudo, em seu artigo 50, ela estabelece: “Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos…”.

Boas práticas, de forma simplificada, nada mais são do que realizar as tarefas das melhores maneiras possíveis, mais organizadas e seguras, e avaliar as empresas com quem você pretende fazer negócios é uma medida preventiva. 

Como analisar a cultura de privacidade do terceiro

Com o intuito de avaliar a maturidade de privacidade, são feitas algumas perguntas, como por exemplo:

  • Se a empresa iniciou adequação à LGPD;
  • Se a empresa pertence a algum grupo;
  • Se a empresa nomeou DPO;
  • Se a empresa trata dados sensíveis;
  • Se a empresa trata dados de menores;
  • Se há política de privacidade;
  • Se há política de segurança da informação;
  • Se há procedimento para atendimento aos titulares;
  • Se já ocorreu incidente de segurança na empresa;
  • Se a empresa conscientiza seus colaboradores;
  • Quais são as medidas de segurança adotadas etc.

Tal avaliação é realizada com o intuito de verificar se há vulnerabilidades e riscos, o que interferirá na tomada de decisão sobre a contratação do terceiro. É essencial que essa gestão de terceiros seja feita por área específica, antes da contratação do terceiro e com apoio do Encarregado pelo Tratamento de Dados Pessoais (DPO – Data Protection Officer). 

Após a realização da avaliação, optando por contratar o terceiro, o contrato deve ser claro, descrevendo de forma detalhada papéis e responsabilidades. O contrato é um instrumento poderoso, que definirá o tamanho da responsabilidade, e até do prejuízo de cada parte.

Aplicar boas práticas, adotar medidas de segurança e conscientizar os colaboradores cooperam para que a aculturação cresça dentro das organizações. Não basta elaborar documentos e guardá-los: estes precisam fazer sentido na prática!

Dicas importantes: 

  • Desenhe uma matriz de riscos;
  • Aplique treinamento aos terceiros;
  • Monitore os terceiros;
  • Estabeleça, no contrato, qual será o destino dos dados compartilhados em função da relação contratual.

E por que tanta preocupação com relação a essas contratações? Fundamentalmente, porque caso ocorra um incidente que envolva dados pessoais, as responsabilidades precisarão ser assumidas por cada uma das partes. Dispõe a LGPD, em seu artigo 42: “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

Por fim, mas sem esgotar o assunto, é importante lembrar que, além de cumprir o que dispõe a LGPD, avaliar terceiros e formalizar contratos responsáveis minimiza riscos, auxilia na cultura de privacidade, fortalece as relações de confiança com clientes e parceiros de negócios, e protege a reputação da organização.

Leia outros artigos da autora:

O efeito positivo (e necessário) da organização das atividades do DPO 

Como apoiar a adesão ao programa de privacidade?

O mal compreendido consentimento

A utilização de war room nos incidentes com dados pessoais

O auxílio das métricas para o melhor funcionamento do programa de privacidade

O contrato entre Controlador e Operador como forma de boa prática na preservação da privacidade

Mariana Sbaite Gonçalves: Líder do Núcleo de DPO do PG Advogados. Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS).

Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Coautora do livro: “Mulheres na Tecnologia”. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).

Reportar

direito ao esquecimento

Existe ou não o “direito ao esquecimento” no Brasil?
profissional da proteção de dados e privacidade

O desafio de se tornar um profissional da proteção de dados e privacidade