O compartilhamento de dados pessoais com terceiros não adequados à Lei Geral de Proteção de Dados

Após a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), muitas empresas se depararam com um grande desafio – se adaptar à nova legislação, os riscos da morosidade em implementar as mudanças e as principais orientações para começar o processo de adequação.

O que se sabe é que as companhias, independente do porte, vão enfrentar os mais diversos riscos ao compartilharem dados com parceiros ou fornecedores, que utilizam informações de consumidores em suas atividades.

Não é novidade que passar pelo processo de adequação à LGPD no Brasil tem sido um desafio e tanto. Tratar dos dados armazenados pela sua empresa dentro da sua infraestrutura já é complicado, imagina adotar todos os protocolos recomendados pela legislação quando o processo é feito externamente. No entanto, atualmente é muito comum a utilização de parceiros comerciais nas atividades da empresa e isso muitas vezes envolve o tratamento dos dados pessoais.

Nos projetos de implementação, quando as empresas se deparam com a necessidade de exigir e monitorar os seus fornecedores quanto à Proteção de Dados surgem algumas incertezas e a principal delas é: como garantir que o meu parceiro está em conformidade e, se não estiver, como não inviabilizar o negócio?

Frequentemente, tem sido noticiado por todo o mundo empresas sendo punidas e perdendo milhões por causa de incidentes de violação de dados pessoais, sendo alguns originados nos seus parceiros comerciais. Em 2020, o Ponemon Institute publicou uma pesquisa revelando que o impacto dos 25 fatores principais no prejuízo total médio de vazamentos de dados gira em torno de US$ 3,86 milhões. Desse montante, US$ 207.411,00 correspondem a vazamentos por terceiros.

Dessa forma, nota-se que a Avaliação da Proteção de Dados Pessoais com os principais parceiros comerciais faz parte do Programa de Privacidade das empresas e deve ser cumprido com rigor para um programa de excelência. 

É fundamental que a empresa que contrata serviços ou utiliza produtos de terceiros, geralmente denominada como Controladora, para realizar tratamento de dados pessoais, conheça os riscos associados e certifique-se de contratar fornecedores (Operadores) que estejam engajados com a proteção de dados pessoais. Isso porque a LGPD, com objetivo de assegurar a efetiva indenização ao titular dos dados, trouxe como regra geral a responsabilidade solidária entre Controladora e Operadora.

Assim, durante o processo, o terceiro será avaliado considerando as medidas técnicas e organizacionais adotadas para a proteção dos dados pessoais existentes nessa relação comercial e as evidências da implementação dos controles de segurança.

A avaliação será feita através de levantamento das informações, avaliação através de questionários contendo controles de segurança e proteção de dados pessoais, identificação dos riscos e fatores que possam mitigá-los, bem como o monitoramento e implementação do plano de ação do terceiro.

Essa avaliação é necessária para que as empresas conheçam o grau de vulnerabilidade do seu parceiro comercial, para que tome a decisão da contratação ou não. Destacando que, se optar por contratar mesmo que o terceiro aponte um grau alto de vulnerabilidade, assumirá o risco do negócio.

Tal fato nos faz refletir que um parceiro comercial que não está alinhado com as políticas e a cultura de privacidade da empresa pode não ser um terceiro adequado e seguro para o negócio.

Artigo feito por Lais Campagnaro
Sócia Coordenadora de Privacidade e Proteção de Dados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *