Um vazamento de dados em terceiros contratados pode gerar processos também contra minha empresa?

Por Wander F. S. Neto

Gostaria de trazer uma reflexão importante relacionada à LGPD e à gestão de terceiros que possuem acesso às informações da sua empresa, colaboradores, clientes, parceiros ou fornecedores.

Hoje, um dos maiores riscos regulatórios e jurídicos enfrentados pelas empresas está justamente na cadeia de tratamento de dados realizada por prestadores de serviços, fornecedores de tecnologia, software houses, suporte técnico, cloud, marketing, consultorias, outsourcing e demais operadores que possuem acesso direto ou indireto a dados pessoais.

A pergunta é:

Sua empresa possui controles formais e comprovação periódica de aderência desses fornecedores às boas práticas de segurança, privacidade e conformidade regulatória?

Mais do que possuir cláusulas contratuais, a LGPD vem exigindo das organizações governança contínua sobre operadores de dados e terceiros que tratam informações em nome da empresa.

Importante destacar que, nos termos da LGPD:

• Controlador: empresa que decide como e por que os dados serão tratados;
• Operador: fornecedor ou prestador que realiza o tratamento em nome da empresa.

Ou seja, terceirizar operações não elimina a responsabilidade sobre os dados pessoais compartilhados.

Na prática, mesmo quando um incidente ocorre em um fornecedor ou prestador de serviços, a empresa contratante também poderá ser responsabilizada administrativa e judicialmente caso não consiga demonstrar que adotava medidas razoáveis de governança, fiscalização e monitoramento sobre terceiros com acesso às informações.

Em incidentes envolvendo operadores de dados, é cada vez mais comum que empresas enfrentem:

• processos judiciais;
• pedidos de indenização;
• investigação da ANPD;
• danos reputacionais;
• questionamentos sobre negligência na contratação e fiscalização de fornecedores;
• exigência de comprovação documental de diligência e controles aplicados.

E um dos maiores problemas identificados atualmente é justamente a ausência de:

• evidências periódicas de conformidade;
• validação contínua dos controles de segurança;
• gestão formal de acessos;
• rastreabilidade;
• monitoramento de terceiros;
• revisão de permissões;
• comprovação de treinamentos;
• processos formais de gestão de operadores de dados.

Pensando nisso, a DataShield Brasil estruturou o serviço de Gestão de Fornecedores e Operadores LGPD, atuando como apoio estratégico e operacional ao Encarregado de Dados (DPO) e às áreas de Compliance, Jurídico, Tecnologia e Segurança da Informação.

O objetivo do serviço é apoiar as empresas na redução de riscos regulatórios, jurídicos e operacionais relacionados à cadeia de tratamento de dados pessoais.

O serviço pode contemplar:
• assessment de maturidade dos fornecedores;
• avaliação mensal documental; (Importantíssimo)
• validação de controles mínimos de segurança;
• classificação de risco dos operadores;
• gestão de evidências periódicas; (importantíssimo)
• apoio contratual e cláusulas LGPD;
• monitoramento contínuo;
• apoio em incidentes;
• relatórios executivos de exposição regulatória;
• apoio na governança da cadeia de tratamento de dados.

Importante destacar que, quando um incidente de segurança ou vazamento de dados ocorre em um prestador de serviços com acesso às informações da empresa, a responsabilidade jurídica pode alcançar tanto o operador envolvido quanto a própria empresa controladora dos dados.

Isso ocorre porque, nos termos da LGPD, a organização contratante possui o dever de diligência, governança e fiscalização sobre terceiros que realizam tratamento de dados pessoais em seu nome.

Na prática, caso a empresa não consiga comprovar que adotava medidas razoáveis de controle e monitoramento sobre seus fornecedores, ela poderá enfrentar:

• processos judiciais;
• pedidos de indenização;
• investigação regulatória;
• responsabilização administrativa;
• questionamentos sobre negligência na gestão da cadeia de tratamento de dados.

Por outro lado, manter um programa estruturado de gestão de operadores e conformidade de fornecedores fortalece significativamente a proteção jurídica da organização, pois permite demonstrar:

• diligência na contratação;
• monitoramento contínuo;
• validação periódica de controles;
• gestão de riscos;
• adoção de boas práticas de segurança e privacidade;
• atuação preventiva na mitigação de incidentes.

Além de reduzir riscos operacionais e regulatórios, a comprovação contínua da aderência dos fornecedores às boas práticas de privacidade e segurança pode representar um elemento extremamente relevante para a defesa jurídica da empresa em eventuais processos, auditorias ou investigações relacionadas à LGPD.

A gestão de fornecedores deixou de ser apenas uma atividade operacional ou contratual e passou a representar um dos pilares mais críticos da governança em privacidade e proteção de dados.

Em um cenário onde terceiros possuem acesso direto a informações estratégicas, pessoais e sensíveis, a capacidade da organização de demonstrar diligência, monitoramento contínuo e governança sobre operadores de dados pode ser determinante não apenas para redução de riscos operacionais, mas também para a proteção jurídica e regulatória da empresa diante de incidentes, auditorias e processos relacionados à LGPD.

Mais do que transferir responsabilidades, empresas maduras estão compreendendo que a segurança da informação e a conformidade regulatória precisam abranger toda a cadeia de tratamento de dados.

A ausência dessa governança pode transformar um incidente isolado de um fornecedor em um problema jurídico, financeiro e reputacional para toda a operação.

A DataShield Brasil (https://datashieldbrasil.com.br) permanece à disposição das organizações que desejam fortalecer seus processos de governança, privacidade e gestão de terceiros, apoiando áreas como Compliance, Jurídico, Segurança da Informação, Tecnologia e Encarregado de Dados (DPO) na implementação de controles contínuos de conformidade sobre fornecedores e operadores com acesso a informações aderentes à LGPD.

Em um cenário onde incidentes envolvendo terceiros vêm aumentando significativamente, estruturar mecanismos de diligência, monitoramento e comprovação periódica de aderência às boas práticas de privacidade e segurança tornou-se um fator estratégico de proteção jurídica, regulatória, operacional e reputacional para as empresas.

Abraços e uma excelente semana.

Wander Neto

Sobre: Wander F. Neto é executivo do setor de tecnologia e privacidade, com mais de 30 anos de experiência em gestão estratégica, desenvolvimento de sistemas, governança digital e conformidade regulatória. Atua na liderança da OT3N Brasil e da DataShield Brasil, apoiando empresas em projetos relacionados à transformação digital, LGPD, segurança da informação, inteligência artificial e gestão de riscos corporativos.

Relacionado

You May Have Missed

OT3N inicia programa de parcerias regionais em todo o Brasil

Vaga: Gestor(a) de Contas – Tecnologia (Hunter / Closer) – Atuação Regional Estratégica – Remoto

ECA Digital, LGPD e o novo dever das empresas: por que o RH precisa redobrar a atenção com dados de crianças e dependentes de colaboradores

ANPD realiza primeira intimação eletrônica a Encarregado de Dados e sinaliza nova fase da fiscalização da LGPD no Brasil

DataShield lança curso especializado em LGPD e ECA Digital voltado ao setor público de ensino

ECA Digital nas escolas: responsabilidades jurídicas, riscos invisíveis e como adequar processos, sistemas e comunicação com pais e alunos

Compartilhe isso:

Relacionado

OT3N inicia programa de parcerias regionais em todo o Brasil

You May Have Missed