3268094934
 

A LGPD pede um novo olhar nas relações com Prestadores de Serviços




A notícia de ontem (16/12/21) a respeito da multa de R$ 1,5mi que o Procon-RJ aplicou no iFood por não dar uma resposta ao incidente ocorrido em novembro/2021, me inspirou a escrever esse insight. Mas apenas relembrando rapidamente o ocorrido, houve um “defacement” no app do iFood, onde alteraram nomes de clientes (restaurantes) por dizeres políticos e foi dito ao mercado, que esse incidente foi causado por um prestador de serviços, que tinha acesso ao sistema e também permissão para a alteração dos nomes.


A imagem fala por si a respeito do novo olhar junto aos prestadores, mas vamos direto ao ponto. A Lei Geral de Proteção de Dados, n.º 13.709/2018, define como Agentes de Tratamento de Dados o Controlador, a quem compete as decisões sobre o tratamento de dados) e o Operador, quem realiza o tratamento de dados.


De forma simples, se sua empresa coleta dados de colaboradores e/ou clientes, seja para uma obrigação legal ou para a execução de um contrato, ela será considerada o Controlador. Se sua empresa contrata, um escritório contábil para processar a folha de pagamento, ele será considerado o Operador. Se o escritório contábil contrata um software para processar a folha, a empresa do software será considerada Sub-Operador.


Entendido esse contexto, o Artigo 44, Parágrafo Único da Lei é bem transparente: responde pelos danos decorrentes da violação da segurança dos dados o Controlador ou o Operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.


O Artigo 46, está dentro do Capítulo VII e por sua vez, dá o direcionamento para se criar medidas de segurança e de boas práticas de governança, degustá-lo na íntegra: os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.


Como a Lei responsabiliza todo o ‘elo’ de tratamento de dados, principalmente se a empresa compartilhar esses dados com outras empresas, é preciso estabelecer controles que vão desde o mapeamento de dados e desenho dos seus fluxos de tratamento, criar e revisar processos, estabelecer políticas e aplicar as medidas previstas no artigo citado anteriormente, tudo isso para terem uma visão macro e organizada (governança), além de atenderem outros artigos que este artigo citará mais adiante.


No caso da terceirização de serviços para o tratamento de dados de titulares, será necessário rever contratos e estabelecer cláusulas contratuais e específicas de proteção de dados, para garantir que o Operador, ao tratar os dados, ofereça a segurança e proteção adequada, também em conformidade com a Lei.


Caso ocorra um vazamento de dados nesse Operador, a Lei estabelece que o Controlador será o responsável por avisar a Agência Nacional de Proteção de Dados e para realizar esse processo, a empresa terá até dois dias úteis (contados da data do conhecimento do incidente). Aqui já dá para observar a importância de se ter cláusulas específicas no contrato de prestação de serviços.


Ainda nesse caso, mesmo a comunicação sendo de responsabilidade do Controlador, o Operador não estará isento referente aos danos/vazamentos. O Artigo 42 I, diz: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei. Sendo assim, ocorrendo vazamentos de dados em seu prestador de serviços, a sua empresa será responsável, pois a prestação foi confiada perante contrato.


Com essa nova realidade, será preciso desenvolver uma nova cultura no relacionamento com fornecedores e prestadores, incluindo visitas periódicas para possíveis auditorias, bem como um checklist de itens, para que antes da formalização de um novo contrato de fornecimento, esse relacionamento já nasça em conformidade com a Lei e não ofereça problemas futuros.


É claro que para muitas empresas que possuem certificações, como ISO 9001, 27001 e outras, essa cultura de realizar auditorias em fornecedores e ter garantias já é rotineira, mas para a maioria das empresas brasileiras será necessário desenvolver essa nova postura.


FATOR CONFIANÇA E TRANSPARÊNCIA COMO DIFERENCIAL DE MERCADO


A transparência é um dos 10 princípios citados na Lei e que precisam ser seguidos pelas empresas e neste contexto, as empresas devem informar de forma clara e acessível aos titulares de dados, seja por meios de comunicação físicos ou virtuais, quais são as garantias de segurança que a empresa oferece em todo o 'elo' de tratamento e quais são os meios, para que os titulares exerçam seus diretos (Artigo 18) e se assim o fizerem, o Controlador tem o prazo de até 15 dias para dar uma resposta final às solicitações.


As empresas que conseguirem se adequar até os pontos citados aqui, estarão à frente de sua concorrência e conquistarão mais clientes, já que os titulares - clientes ativos e também leads, estarão mais confortáveis e confiantes em entregar seus dados pessoais à empresa, que por sua vez, mostrará ao mercado que está em conformidade com a Lei.


Isso não é ‘blá-blá-blá”, pois pergunto a você, que está lendo esse insight: você forneceria seus dados para uma empresa que não comunica o mínimo de proteção que oferece e realiza durante o tratamento? Ou, você forneceria seus dados ao ler nas mídias a respeito de vazamentos de dados de determinada empresa e ainda, mesmo após o fato de vazamento, a mesma não tomou as devidas providências? É claro que você não daria e eu faria o mesmo!


A OneTrust, empresa que desenvolve software voltado a governança de dados, publicou uma pesquisa em 2020, que mostra que a Confiança e a Transparência, são tão importantes nos dias atuais, como foi a Experiência do Cliente no início de 2010 e também como foi a preocupação com a Qualidade de Produtos e Preços no início dos anos 2000.




Além da diferenciação e destaque no mercado, ao estar em conformidade, as empresas se distanciarão, ou seja, minimizarão os impactos do Artigo 44 citado anteriormente e também do Artigo 52, que trata das sanções em decorrência de vazamentos e estarão preparadas a atender o Artigo 18 (Atender as Solicitações dos Titulares), que não é um processo fácil e precisará de controles e governança dos dados.


Ah, é claro que tanto o Controlador, quanto o Operador, precisarão nomear um Encarregado de Dados ou DPO para realizar todas essas tarefas e comunicações, conforme estabelece o Artigo 41 da Lei.


Um Programa de Proteção de Dados e Privacidade é o caminho para a adequação da Lei.

Se quiser conhecer em detalhes os passos do programa, acesse nosso site no link: https://www.confio.com.br/adequacao-lgpd


Grato pela atenção.


Forte abraço.


Sobre o autor.


Ricardo Oliveira

Posts Em Destaque
Posts Recentes
Arquivo
Procurar por tags
Siga
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
 
3268094934