Compartilhe responsabilidades com o fornecedor e evite riscos

Share on linkedin
Share on facebook
Share on twitter
Share on whatsapp

Desde que os dados viraram uma fonte inesgotável de riqueza para o universo empresarial, a cobrança de como manusear, sem ferir os titulares, cresceu nos últimos anos. O reflexo disso foi a criação da Lei Geral de Proteção de Dados Pessoais (LGPD), que até a presente data não entrou em vigor.

Ainda assim, a composição de cada empresa varia muito, e dentro dessas possibilidades, os fornecedores podem ser peças chaves para o andamento do negócio de algumas organizações. Mas quando acontece um problema jurídico sobre dados pessoais envolvendo o fornecedor? Quem assume o problema? A empresa contratante ou o terceiro? Por isso, compartilhe responsabilidades com os fornecedores a fim evitar uma dor de cabeça.

Para que essa jornada seja mais tranquila, é necessário realizar alterações na estrutura, principalmente no investimento em tecnologia. Além da tecnologia, desenvolver um documento, seja um manual ou um manifesto dizendo as responsabilidades do controlador e operador, e como cada decisão impacta na vida do titular.

Só garantir a conformidade perante a legislação não será o suficiente, mas construir uma cultura permanente de proteção de dados. Hoje, a forma mais segura é se basear em um modelo que já existe, por exemplo, a GDPR.

Foi o que a empresa Philp Morris International fez criando o programa Global Privacy Program (GPP) que segue três premissas:

  • Standard Global;
  • Programa contínuo;
  • Parceria TI e Legal.

Rafaella Di Palermo Perez, ex-Legal Manager da companhia, compartilhou à convite da Blueprintt a jornada de dividir as responsabilidades com fornecedores e outros stakeholders referente ao tratamento e cuidado aos dados pessoais.

De acordo com Rafaella, o programa de privacidade são separadas em seis etapas:

  1. Promoção de uma cultura de privacidade;
  2. Inventário de dados pessoais;
  3. Revisão dos contratos dos fornecedores;
  4. Políticas e avisos de privacidade;
  5. Ferramentas de avaliação de compliance;
  6. Requerimentos de titulares dos dados.

Entenda como dividir as responsabilidades com fornecedores

Uma das etapas citadas por Rafaella merece um destaque dentro do nosso assunto principal, a revisão de contratos dos fornecedores. Podem notar que na escala da jornada ele se encaixa logo após os passos gerais, e isso tem uma explicação.

Se o objetivo da empresa é encontrar uma forma de mitigar riscos e enxergar os fornecedores como área de atuação para o negócio, é necessário atuar em conjunto e monitorar quem são essas pessoas jurídicas.

A primeira ação que pode ser feita é um levantamento de todos os fornecedores com que a empresa trabalha, informações como, área de atuação, conformidade perante as leis, tempo de contrato, rede de atendimento, entre outros fatores.

“Basicamente o ponto que a gente acaba seguindo aqui, é o levantamento desses contratos. Então, tenho contrato com esses fornecedores ou não tenho, o que esses contratos dizem, e a partir daí você consegue começar a criar cláusulas padrão. Você começa a entender o que é relevante para empresa do ponto de vista jurídico”, afirma Rafaella.

Além do levantamento, do desenvolvimento de cláusulas, o trabalho em conjunto com a área de vendas é fundamental para criar um engajamento durante as negociações com fornecedores.

Mas, onde aplicar essas informações? É dessa forma que os setores de TI e produtos entram, seja para desenvolver um software ou ir ao mercado para adquirir uma plataforma que supra as necessidades, centralizando todas informações em um único local.

Criar essa base traz uma segurança maior além de se organizar caso algum problema aconteça.

Confira algumas previsões contratuais padrão:

Análise da relação

  • Controlador x Operador;
  • Controlador x Controlador.

Definição de obrigações e responsabilidades

  • Base legal para processamento;
  • Tempo de guarda;
  • Atualização dos dados;
  • Notificação em caso de vazamento;
  • Fins para processamento;
  • Não compartilhamento com terceiros.

Requisitos de estrutura

  • Estrutura adequada para evitar acesso indevido;
  • Mecanismos de segurança ou controle de acesso;
  • Treinamento interno
  • Anexo de proteção de dados pessoais e de segurança da informação;
  • Acordo de confidencialidade.

A partir dos contratos é possível saber o que é mais importante e o que precisa ser mais preservado.

Ainda assim, mesmo se estruturando internamente, os desafios com os fornecedores é a etapa mais morosa do processo.

Se atente às situações como: conhecimento e adequação à legislação, negociação de cláusulas padrão, auditoria e prestação de informações, requisitos de segurança de informação e revisão e adequação do serviço.

Lembre-se que cada fornecedor está em um estágio diferente referente a LGPD, apesar de ter processos, não significa que tem um fim, o trabalho sempre continua. E engaje a liderança e os times, fazendo com que ele entenda a importância dos dados para a empresa e como esse ativo é rico e vulnerável faz parte do processo.

Se interessou e quer saber mais? Se inscreva para o DPO Mastery. Clique aqui para mais informações.

Sobre o autor

Artigos relacionados

Estratégias baseadas em grandes ideias vencem

Cadastre-se para receber mais artigos como este e domine sua função

Ao enviar este formulário você está concordando com nossos termos de uso e política de privacidade

Formulário enviado com sucesso

Clique para fechar

Usamos cookies e outras tecnologias semelhantes para melhorar a sua experiência com nossos serviços, personalizar publicidade e recomendar conteúdos de seu interesse. Ao continuar navegando, você concorda com tal monitoramento. Para mais informações, clique aqui.