Privacidade e gestão de fornecedores

Quando uma empresa contrata um fornecedor que vai ter acesso a dados pessoais de clientes ou colaboradores, as obrigações da LGPD não ficam para trás. Elas acompanham o dado para onde ele for.

A lei distingue controlador e operador: o controlador é quem define a finalidade e a forma do tratamento; o operador é quem realiza o tratamento seguindo as orientações do controlador. O artigo 39 da LGPD obriga o operador a tratar os dados apenas conforme as instruções do controlador. E o artigo 48 torna ambos responsáveis, em determinadas situações, por incidentes que envolvam dados pessoais.

Isso tem implicações contratuais diretas. Todo contrato com fornecedores que processam dados pessoais precisa conter cláusulas específicas: finalidade do tratamento, medidas técnicas e organizacionais de segurança, vedação de uso para outros fins, obrigações em caso de incidente e critérios de auditoria.

Mas formalizar o contrato não é suficiente. É necessário fazer due diligence antes de contratar. Verificar se o fornecedor tem um ambiente de controles adequado, políticas de privacidade e segurança, e se está em conformidade com as regulamentações aplicáveis. Na minha atuação esse processo também passa pelo alinhamento com a área de Segurança da Informação. Não adianta o jurídico aprovar um contrato se a TI não avaliou os controles técnicos do fornecedor.

O inventário de dados pessoais é a ferramenta que permite identificar quais fornecedores têm acesso a quais dados e, portanto, precisam passar por esse processo. Sem o inventário, a gestão de terceiros fica cega e a empresa não sabe nem por onde começar.

A gestão de fornecedores não é só uma exigência legal. É uma decisão estratégica de risco. Pense que um incidente causado por um operador despreparado gera responsabilidade compartilhada, dano reputacional e exposição regulatória direta para o controlador, independentemente de quem falhou.

Quem assina o contrato sem fazer a devida diligência está terceirizando o serviço, mas não o risco.

Comente por e-mail

Postagens mais recentes

{{ posts|limit:5 }}

Privacidade