3268094934
top of page

A LGPD pede um novo olhar nas relações com Prestadores de Serviços





A notícia de ontem (16/12/21) a respeito da multa de R$ 1,5mi que o Procon-RJ aplicou no iFood por não dar uma resposta ao incidente ocorrido em novembro/2021, me inspirou a escrever esse insight. Mas apenas relembrando rapidamente o ocorrido, houve um “defacement” no app do iFood, onde alteraram nomes de clientes (restaurantes) por dizeres políticos e foi dito ao mercado, que esse incidente foi causado por um prestador de serviços, que tinha acesso ao sistema e também permissão para a alteração dos nomes.


A imagem fala por si a respeito do novo olhar junto aos prestadores, mas vamos direto ao ponto. A Lei Geral de Proteção de Dados, n.º 13.709/2018, define como Agentes de Tratamento de Dados o Controlador, a quem compete as decisões sobre o tratamento de dados) e o Operador, quem realiza o tratamento de dados, com base nas regras que o Controlador estabelecer.


De forma simples, se sua empresa coleta dados de titulares, ou seja, colaboradores, clientes ou usuários de um serviço, seja para uma obrigação legal ou para a execução de um contrato, ela será considerada o Controlador. Se sua empresa contrata, um escritório contábil para processar a folha de pagamento de seus colaboradores, ele será considerado o Operador e se esse escritório contábil contratar um software para processar a folha, a empresa do software será considerada Sub-Operador.


Entendido esse contexto, o Artigo 44, Parágrafo Único da Lei é bem transparente: responde pelos danos decorrentes da violação da segurança dos dados o Controlador ou o Operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.


O Artigo 46, está dentro do Capítulo VII e por sua vez, dá o direcionamento para se criar medidas de segurança e de boas práticas de governança e vamos degustá-lo na íntegra: os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.


Como a Lei responsabiliza todo o ‘elo’ de tratamento de dados, principalmente se a organização compartilhar esses dados com outras empresas (operadores), será preciso estabelecer controles que vão desde o mapeamento de dados, desenho dos seus fluxos de tratamento, criar e revisar processos, estabelecer políticas e aplicar as medidas previstas no artigo citado anteriormente, tudo isso para terem uma visão macro e organizada (a conhecida governança de dados), além de atenderem outros artigos que este artigo citará mais adiante.


No caso da terceirização de serviços para o tratamento de dados pessoais, será necessário rever contratos e estabelecer cláusulas específicas de proteção de dados, para garantir que o Operador, ao tratar os dados, ofereça a segurança e proteção adequada e que também esteja em conformidade com a Lei.


Caso ocorra um vazamento de dados nesse Operador, a Lei estabelece que o Controlador será o responsável por avisar a Agência Nacional de Proteção de Dados e para realizar esse processo, a empresa terá até dois dias úteis (contados da data do conhecimento do incidente). Quando se trata de Serventias Extrajudiciais, o tempo de comunicação com a CGJ cai para 24 horas. Aqui já dá para observar a importância de se ter cláusulas específicas no contrato de prestação de serviços.


Ainda nesse caso, mesmo a comunicação sendo de responsabilidade do Controlador, o Operador não estará isento referente aos danos/vazamentos. O Artigo 42 I, diz: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei. Sendo assim, ocorrendo vazamentos de dados em seu prestador de serviços, a sua empresa será responsável, pois a prestação foi confiada perante contrato.


Com essa nova realidade, será preciso desenvolver uma nova cultura no relacionamento com fornecedores e prestadores, incluindo visitas periódicas para possíveis auditorias, bem como um checklist de itens, para que antes da formalização de um novo contrato de fornecimento, esse relacionamento já nasça em conformidade com a Lei e não ofereça problemas futuros.


É claro que para muitas organizações que já possuam certificações, tais como ISO 9001, 27001, 27701, 15906 ou outras, essa cultura de realizar auditorias em fornecedores e ter garantias já é rotineira, mas para a maioria das organizações brasileiras, será necessário desenvolver essa nova postura.


FATOR CONFIANÇA E TRANSPARÊNCIA COMO DIFERENCIAL DE MERCADO


A transparência é um dos 10 princípios citados na Lei e que precisam ser seguidos pelas organizações e neste contexto, as empresas e/ou serventias devem informar de forma clara e acessível aos titulares de dados, seja por meios de comunicação físicos ou virtuais, quais são as garantias de segurança que oferecem em todo o 'elo' de tratamento dos dados e quais são os meios, para que os titulares exerçam seus diretos (Artigo 18) e se assim o fizerem, o Controlador tem o prazo de até 15 dias para dar uma resposta final às solicitações.


As organizações que conseguirem se adequar até os pontos citados aqui, estarão à frente de sua concorrência e conquistarão maiores resultados, já que os titulares - clientes e/ou usuários ativos do serviço, estarão mais confortáveis e confiantes em entregar seus dados pessoais à empresa/serventia, que por sua vez, mostrará ao mercado que está em conformidade com a Lei. Isso também reflete até para os leads (os futuros clientes), durante a etapa de prospecção, pois através de Avisos de Privacidade, a organização já transmite essa transparência e eles estarão mais propensos a fazer negócios com quem oferecer mais proteção no tratamento de seus dados.


Isso não é ‘blá-blá-blá”, pois pergunto a você, que está lendo esse insight: você forneceria seus dados para uma empresa que não comunica o mínimo de proteção que oferece durante o tratamento dos dados? Ou, você forneceria seus dados ao ler nas mídias a respeito de vazamentos de dados de determinada empresa e ainda, mesmo após o fato de vazamento, a mesma não tomou as devidas providências? É claro que você não forneceria e eu também faria o mesmo!


A OneTrust, empresa que desenvolve software voltado à compliance e governança de dados, publicou uma pesquisa em 2020, que mostra que a Confiança e a Transparência, são tão importantes nos dias atuais, como foi a Experiência do Cliente no início de 2010 e também como foi a preocupação com a Qualidade de Produtos e Preços no início dos anos 2000.




Além da diferenciação e destaque no mercado, ao estar em conformidade, as organizações se distanciarão, ou seja, minimizarão os impactos do Artigo 44 citado anteriormente e também do Artigo 52, que trata das sanções em decorrência de vazamentos e estarão preparadas a atender o Artigo 18 (Atender as Solicitações dos Titulares), que não é um processo fácil e precisará de controles e governança dos dados.


Ah, é claro que tanto o Controlador, quanto o Operador, precisarão nomear um Encarregado de Proteção de Dados ou DPO para realizar todas essas tarefas e comunicações, conforme estabelece o Artigo 41 da Lei.


Um Programa de Proteção de Dados e Privacidade é o caminho para a adequação da Lei.

Se quiser conhecer em detalhes os passos do programa, acesse nosso site no link: https://www.confio.com.br/adequacao-lgpd


Grato pela atenção.


Forte abraço.


Sobre o autor.


Commentaires


Posts Em Destaque
Posts Recentes
Arquivo
Procurar por tags
Siga
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page
3268094934