A importância da gestão de fornecedores para o cumprimento da LGPD

Data:

A importância da gestão de fornecedores para o cumprimento da LGPD | Juristas
Juliana Costa Martins e Gustavo Carvalho Machad – DMS Advogados

De acordo com o relatório Global Cybersecurity Outlook 2024, publicado em janeiro pelo World Economic Forum [1] 41% das organizações que sofreram um incidente de segurança nos últimos 12 meses afirmam que foi causado por terceiros. A pesquisa “Close encounters of the third (and fouth) party kind”, publicada em janeiro de 2023 pela Security Scorecard, por sua vez, aponta entre os seus achados que 98% das organizações têm relacionamento com pelo menos um terceiro que sofreu uma violação de segurança nos últimos dois anos; e que para cada fornecedor terceirizado em sua cadeia de suprimentos, as organizações normalmente têm relacionamentos indiretos com 60 a 90 vezes esse número de terceiros [2].

Os números apresentados são alarmantes e apontam para a necessidade de uma maior preocupação das organizações em relação aos seus fornecedores e parceiros. Sob a perspectiva da Lei Geral de Proteção de Dados (LGPD), os fornecedores com os quais a empresa se relaciona também atuam como agentes de tratamento dos dados pessoais, e caso, no exercício das atividades de tratamento, violem a legislação e/ou causem danos a titulares, a contratante pode vir a ser responsabilizada.

Por exemplo, caso a empresa A contrate uma empresa B para armazenar os dados pessoais de seus clientes, e a empresa B divulgue indevidamente os dados pessoais desses titulares e/ou não tome as medidas de segurança da informação necessárias para garantir a proteção dessas informações, a empresa A poderá ser sancionada pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) – a depender da sanção, pode, inclusive, inviabilizar a atividade-fim da empresa –, ou, por exemplo, ser condenada em âmbito judicial a indenizar os titulares envolvidos. Muito importante fazer uso de VPNs seguras como a SurfShark.

Fato é que os incidentes de segurança têm sido cada vez mais comuns, principalmente no que concerne a ataques cibernéticos – como, por exemplo, o ataque de ransomware, que tem a capacidade de paralisar a operação da empresa e de seus parceiros por dias. A propósito, segundo relatório da Trend Micro, empresa multinacional de cibersegurança, divulgado em 2023, o Brasil é o segundo país mais vulnerável a ataques cibernéticos. Foram 85,6 bilhões de ameaças bloqueadas, somente no primeiro semestre daquele ano. [3]
Este cenário reflete os riscos relacionados à segurança dos dados e reforça a responsabilidade dos agentes envolvidos no tratamento de dados pessoais, que são legalmente responsáveis por garantir a
privacidade e o correto tratamento dos dados pessoais.

Nesse contexto, as empresas devem buscar a conformidade com a LGPD em todos os seus processos de tratamento de dados pessoais, bem como manter todas as suas documentações internas e contratos adequados. Porém, não basta olhar somente para dentro da empresa; é igualmente essencial assegurar que os seus parceiros e fornecedores também estejam em bom nível de maturidade em relação às medidas de proteção de dados. Desse modo, a gestão eficaz dos riscos associados aos terceiros na cadeia de suprimentos torna-se uma prioridade incontestável para garantir a proteção dos dados e a segurança das operações empresariais.

A governança no processo de contratação de fornecedores deve perpassar por todas as etapas do relacionamento, desde o primeiro contato – que envolve a avaliação dos canais e sistemas utilizados, dos tipos de dados coletados e das atividades exercidas pela empresa –, passando pela análise apurada dos sistemas e medidas de segurança adotados durante a vigência do contrato, até a avaliação de condutas tomadas em caso de incidentes de segurança, em casos mais críticos.

Então como fazer uma gestão eficaz dos fornecedores? É preciso que a organização estabeleça um processo de relacionamento com seus fornecedores que obedeça a três principais etapas:

  1. Inicialmente, é necessário apurar e compreender os riscos que precisarão ser gerenciados nas atividades envolvidas na relação com o fornecedor. Compreendido isso, é essencial realizar uma diligência prévia (due dilligence) com o fornecedor em potencial, oportunidade em que será avaliado o nível de maturidade no que diz respeito à segurança da informação e proteção de dados pessoais. A título de exemplo, pode ser solicitado ao fornecedor que:

a. Apresente políticas de segurança e de tratamento de dados pessoais implementadas;

b. Indique os sistemas utilizados e se estes contam com as medidas de segurança necessárias para garantir a proteção dos dados pessoais tratados;
c. Indique as medidas de segurança da informação utilizadas pelo fornecedor para verificar se são satisfatórias.

  1. Selecionado o fornecedor, é preciso estabelecer contratualmente as suas responsabilidades e obrigações, considerando o contexto da relação.
    Já durante a vigência do contrato, é importante monitorar a execução das atividades, acompanhar periodicamente as atualizações das documentações e das medidas de segurança do fornecedor, além do cumprimento das novas exigências legais e regulatórias.

  2. Por fim, ao final do contrato, é necessário garantir que a devolução ou o descarte dos dados pessoais tratados pelo fornecedor seja realizado de forma adequada e segura, bem como a remoção de acessos, se for o caso.

É importante destacar que para que todas as etapas mencionadas sejam devidamente implementadas é necessária a correta preparação da equipe, que, além de se conscientizar e se submeter a treinamentos sobre tratamento de dados pessoais, deve estar familiarizada com a gestão de contratos sob a ótica da proteção de dados e segurança da informação.

Em suma, a gestão do processo de contratação de fornecedores, o monitoramento e acompanhamento durante a vigência dos contratos contribuem significativamente para a mitigação de riscos de segurança da informação, para o cumprimento da legislação e para a preservação dos dados pessoais dos titulares, além de proporcionarem segurança jurídica a todos os envolvidos e, consequentemente, contribuírem para o sucesso empresarial.

Juliana Costa Martins, Advogada no DMS Advogados. Graduada em Direito pela UFJF. Pós-graduada em Direito Digital pela Fundação Escola Superior do Ministério Público com formação em Compliance de Dados e Data Protection Officer (DPO) pela PUC-Rio. Especialista em Advocacia Consultiva e e Membro da Comissão de Direito, Inovação, Tecnologia e Empreendedorismo da OAB Subseção Juiz de Fora/MG.

Gustavo Carvalho Machado, Advogado e Sócio-fundador do DMS Advogados. Mestre em Direito e Inovação (UFJF). Pós-graduado em Compliance e Integridade Corporativa (PUC Minas) e em Direito do Trabalho (PUC Minas). Bacharel em Direito pela UFV.

Notas:
[1] Disponível em: https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_202
4.pdf
[2] Disponível em: https://securityscorecard.com/wp-content/uploads/2024/01/Research-Close-Encounters-Of-The-Third-And-Fourth-Party-Kind.pdf
[3] Disponível em: https://abes.com.br/brasil-e-o-segundo-pais-mais-vulneravel-a-ataques-ciberneticos-segundo-relatorio-da-trend-micro

Juliana Costa Martins
Juliana Costa Martins
Advogada no DMS Advogados. Graduada em Direito pela UFJF. Pós-graduada em Direito Digital pela Fundação Escola Superior do Ministério Público com formação em Compliance de Dados e Data Protection Officer (DPO) pela PUC-Rio. Especialista em Advocacia Consultiva e e Membro da Comissão de Direito, Inovação, Tecnologia e Empreendedorismo da OAB Subseção Juiz de Fora/MG.

Deixe um comentário

Compartilhe

Inscreva-se

Últimas

Recentes
Veja Mais

Concessionária de energia é condenada a indenizar usuária por interrupção no fornecimento

A 33ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo manteve a condenação de uma concessionária de energia ao pagamento de R$ 10 mil por danos morais a uma usuária que ficou sem fornecimento de energia elétrica por quatro dias, após fortes chuvas na capital paulista em 2023. A decisão foi proferida pelo juiz Otávio Augusto de Oliveira Franco, da 2ª Vara Cível do Foro Regional de Vila Prudente.

Homem é condenado por incêndio que causou a morte do pai idoso

A 3ª Câmara de Direito Criminal do Tribunal de Justiça de São Paulo confirmou a condenação de um homem pelo crime de incêndio que resultou na morte de seu pai idoso. A decisão, proferida pela Vara Única de Conchal, reduziu a pena para oito anos de reclusão, a ser cumprida em regime fechado.

Remuneração por combate a incêndio no Porto de Santos deve se limitar ao valor do bem salvo

A 9ª Vara Cível de Santos condenou uma empresa a pagar R$ 2,8 milhões a outra companhia pelos serviços de assistência prestados no combate a um incêndio em terminal localizado no Porto de Santos. O valor foi determinado com base no limite do bem efetivamente salvo durante a operação.

Casal é condenado por expor adolescente a perigo e mantê-lo em cárcere privado após cerimônia com chá de ayahuasca

A 13ª Câmara de Direito Criminal do Tribunal de Justiça de São Paulo (TJSP) confirmou a condenação de um casal pelos crimes de sequestro, cárcere privado e exposição ao perigo à saúde ou vida, cometidos contra um adolescente de 16 anos. A decisão, proferida pela juíza Naira Blanco Machado, da 4ª Vara Criminal de São José dos Campos, fixou as penas em dois anos e quatro meses de reclusão e três meses de detenção, substituídas por prestação de serviços à comunidade e pagamento de um salário mínimo.