K

kompar.ti

A avaliação e a gestão de terceiros que tratam Dados Pessoais (LGPD)

A preocupação com os Dados Pessoais não ficam somente dentro do ambiente da empresa ou organização, quando esses dados são compartilhados com terceiros, Operadores ou outros parceiros de negócios existe uma preocupação que todo Controlador de Dados Pessoais deve ter. Abaixo explico um pouco sobre esse tema.

compartilhamento de troca de dados pessoais de forma segura entre dois sistemas

A avaliação e a gestão de terceiros (fornecedores, parceiros e operadores) que realizam o tratamento de dados pessoais em nome do Controlador são essenciais para mitigar riscos, visto que a LGPD estabelece a responsabilidade solidária entre os agentes de tratamento em caso de danos causados por descumprimento da lei.

O Encarregado de Dados (DPO) deve auxiliar na contratação e fiscalização desses terceiros, verificando a adequação das medidas de segurança. Abaixo estão os procedimentos estruturados para a avaliação e gestão, divididos nas fases do ciclo de relacionamento com o terceiro:

Fase 1: Avaliação Prévia à Contratação (Due Diligence)

Antes de firmar o contrato, a organização deve aplicar um questionário de avaliação (Checklist de Fornecedores) para aferir o nível de maturidade do terceiro em relação à privacidade. Esta avaliação deve abranger:

1. Informações Gerais e Conformidade Legal:

  • Identificar o fornecedor, os serviços prestados, os tipos de dados que serão tratados e o contato do responsável pela proteção de dados (DPO ou equivalente) do terceiro.

  • Verificar se o fornecedor possui Políticas de Privacidade e Proteção de Dados atualizadas e se está em conformidade com a LGPD, incluindo a documentação das bases legais utilizadas.

  • Analisar a necessidade e a proporcionalidade: a coleta e o compartilhamento devem ser restritos ao mínimo necessário para atingir a finalidade pretendida.

2. Segurança da Informação:

  • Avaliar as medidas técnicas de proteção implementadas pelo terceiro (ex: criptografia, backups, firewalls, controles de acesso e autenticação).

  • Verificar se o terceiro possui certificações de segurança da informação (como ISO/IEC 27001).

  • Analisar se o parceiro possui planos de resposta a incidentes de segurança e qual é o seu histórico de incidentes e medidas corretivas.

3. Gestão, Governança e Subcontratação:

  • Averiguar se o terceiro promove treinamentos e capacitação de sua equipe sobre LGPD e segurança.

  • Mapear se o fornecedor utiliza sub operadores (quarteirização) e se divulga o uso desses subcontratados, revisando a localização dos dados (para prever transferências internacionais) e os propósitos adicionais de processamento.

  • Verificar se o terceiro elaborou o Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA) para as operações que realizará.

4. Avaliação Final de Risco:

  • Com base nas respostas, classificar o grau de risco do fornecedor (baixo, médio ou alto).

  • Aprovar o fornecedor, rejeitá-lo ou exigir recomendações/ações corretivas antes da assinatura do contrato.

Fase 2: Formalização Contratual (Data Processing Agreement – DPA)

Após a aprovação na avaliação de risco, a contratação deve ser formalizada por meio de um contrato ou termo aditivo de tratamento de dados (DPA). Esse instrumento é parecido com o Acordo de Nível de Serviço (SLA), mas com regras específicas relacionadas à Proteção de Dados Pessoais. O instrumento deve conter obrigações claras, tais como:

  • Limites de atuação: O operador deve tratar os dados estritamente de acordo com as orientações lícitas do controlador, com vedação a tratamentos incompatíveis com a finalidade informada.

  • Sigilo e Segurança: Inclusão de Termos de Confidencialidade (NDA) para os funcionários do terceiro e a exigência de manutenção de medidas técnicas e organizacionais de segurança.

  • Gestão de Sub Operadores: Regras estipulando que a contratação de sub operadores pelo terceiro requer autorização prévia e formal do controlador.

  • Cooperação: Estabelecimento de prazos e fluxos para que o fornecedor coopere com a empresa no atendimento aos direitos dos titulares (acesso, exclusão, correção).

  • Notificação de Incidentes: Previsão contratual de um prazo rigoroso para que o operador comunique à organização contratante qualquer vazamento, perda ou incidente de segurança.

Fase 3: Monitoramento Contínuo

A gestão do fornecedor não se encerra na assinatura do contrato. É necessário monitorar a execução das atividades ao longo do tempo:

  • Auditorias e Relatórios: A organização deve ter o direito de realizar inspeções ou exigir que o fornecedor apresente anualmente relatórios de auditoria de segurança (auditorias de terceiros) e relatórios de conformidade

  • Reavaliação: Estabelecer a avaliação periódica da conformidade do fornecedor, verificando indicadores de desempenho em proteção de dados e planos de melhoria contínua.

Fase 4: Encerramento do Contrato (Descarte)

Os procedimentos devem prever as ações obrigatórias no fim da relação contratual:

  • A organização deve exigir do fornecedor a exclusão ou a devolução segura de todos os dados pessoais transferidos e armazenados.

  • O fornecedor deve fornecer evidências, como um certificado ou registro de destruição de dados, garantindo que as informações foram eliminadas de forma irrecuperável.

Uma preocupação que não está aqui descrita e devo trabalhar em novo artigo é quando temos a necessidade de trocar o Operador ou outro parceiro que trate Dados Pessoais. Mas isso vai estar no próximo artigo.

Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: