Após a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), muitas empresas se depararam com um grande desafio – se adaptar à nova legislação, os riscos da morosidade em implementar as mudanças e as principais orientações para começar o processo de adequação.

O que se sabe é que as companhias, independente do porte, vão enfrentar os mais diversos riscos ao compartilharem dados com parceiros ou fornecedores, que utilizam informações de consumidores em suas atividades.

Não é novidade que passar pelo processo de adequação à LGPD no Brasil tem sido um desafio e tanto.

Tratar dos dados armazenados pela sua empresa dentro da sua infraestrutura já é complicado, imagina adotar todos os protocolos recomendados pela legislação quando o processo é feito externamente. No entanto, atualmente é muito comum a utilização de parceiros comerciais nas atividades da empresa e isso muitas vezes envolve o tratamento dos dados pessoais.

Nos projetos de implementação, quando as empresas se deparam com a necessidade de exigir e monitorar os seus fornecedores quanto à Proteção de Dados surgem algumas incertezas e a principal delas é: como garantir que o meu parceiro está em conformidade e, se não estiver, como não inviabilizar o negócio?

Frequentemente, tem sido noticiado por todo o mundo empresas sendo punidas e perdendo milhões por causa de incidentes de violação de dados pessoais, sendo alguns originados nos seus parceiros comerciais.

Dessa forma, nota-se que a Avaliação da Proteção de Dados Pessoais com os principais parceiros comerciais faz parte do Programa de Privacidade das empresas e deve ser cumprido com rigor para um programa de excelência.

É fundamental que a empresa que contrata serviços ou utiliza produtos de terceiros, geralmente denominada como Controladora, para realizar tratamento de dados pessoais, conheça os riscos associados e certifique-se de contratar fornecedores (Operadores) que estejam engajados com a proteção de dados pessoais.

Assim, durante o processo, o terceiro será avaliado considerando as medidas técnicas e organizacionais adotadas para a proteção dos dados pessoais existentes nessa relação comercial e as evidências da implementação dos controles de segurança.

A avaliação será feita através de levantamento das informações, de questionários contendo controles de segurança e proteção de dados pessoais, identificação dos riscos e fatores que possam mitigá-los, bem como o monitoramento e implementação do plano de ação do terceiro.

Essa avaliação é necessária para que as empresas conheçam o grau de vulnerabilidade do seu parceiro comercial, para que tome a decisão da contratação ou não. Destacando que, se optar por contratar mesmo que o terceiro aponte um grau alto de vulnerabilidade, assumirá o risco do negócio.

Tal fato nos faz refletir que um parceiro comercial que não está alinhado com as políticas e a cultura de privacidade da empresa pode não ser um terceiro adequado e seguro para o negócio.

LAÍS CAMPAGNARO é advogada, especialista em proteção de dados.