Artigo
04/07/2024
Atualizado em 22/04/2026

Gestão de Riscos de Privacidade de Terceiros X LGPD

A gestão de riscos de privacidade de terceiros é essencial para a conformidade com a LGPD, exigindo avaliações, acordos contratuais e programas de segurança para evitar multas e proteger dados pessoais.

Imagem de capa do artigo

A gestão de riscos de privacidade de terceiros tornou-se um tópico crucial no contexto de conformidade com a GDPR da União Europeia e a LGPD no Brasil, por isso queria falar mais abaixo sobre alguns principais aspectos da gestão de riscos de privacidade de terceiros.

A LGPD criou a Autoridade Nacional de Proteção de Dados (ANPD), que ficou como a agência responsável por garantir a conformidade com a lei, e as eventuais violações à GDPR podem ser descobertas de várias maneiras, desde uma auditoria da própria agência, ou uma reclamação feita por um indivíduo contra a empresa.

E uma vez identificada uma potencial violação, a agência de proteção inicia uma investigação para determinar a ocorrência e o impacto da violação, e estas investigações levam em consideração a gravidade da violação, o tipo de dados envolvidos, as medidas tomadas pela organização para mitigar os efeitos e o histórico de conformidade da empresa, para ao final da investigação, pode receber uma advertência e quem sabe até uma multa financeira.

Ainda que aqui as multas têm sido baixas e mais educativas, nesta fase, lá fora onde estão mais maduros e preparados, os valores das multas podem variar significativamente, como evidenciado pelos casos de British Airways e Marriott International, onde as multas propostas foram de £183,39 milhões e £99 milhões, respectivamente, devido a falhas graves na proteção de dados dos consumidores. Pelo valor destas multas aplicadas à British Airways e Marriott mostram bem qual a seriedade e severidade com que as autoridades europeias tratam a proteção de dados pessoais.

Não ficaria parado esperando isto acontecer por aqui, por isso para proteger sua empresa destas altas multas potenciais, e garantir conformidade com a LGPD brasileira, algumas medidas fundamentais podem ser adotadas, como:

  • Avaliação da Aplicabilidade da LGPD: É importante determinar como a LGPD se aplica à sua empresa, olhando especialmente se ela lida com dados de indivíduos,
  • Estabelecimento de um Programa de Segurança Maduro: Implementar medidas de segurança da informação adequadas ao risco associado aos dados pessoais processados, incluindo a pseudonimização e criptografia dos dados, e a realização de testes regulares para avaliar a eficácia das medidas técnicas e organizacionais.
  • Acordos de Proteção de Dados com Terceiros: É necessário firmar acordos que obriguem contratualmente os fornecedores a cumprir totalmente a LGPD e processar dados apenas de acordo com as instruções da organização.
  • Avaliações de Segurança e Privacidade em Aquisições: Realizar avaliações completas de segurança e privacidade ao adquirir novas empresas, para garantir que não haja violações contínuas da LGPD.

Adotar estas práticas ajuda a minimizar os riscos de não conformidade e a proteger a empresa de multas significativas.

Conteúdo do artigo

Mas tem outro ponto que me preocupa mais em relação à LGPD, pois as empresas são responsáveis pelas ações de todos os seus terceiros e podem ser responsabilizadas pelas ações dos terceiros destes (os chamados "quartos").

Por isso que esta gestão de riscos de terceiros envolve entender e cumprir uma série de requisitos, tais como:

Definições Importantes:

  • Controlador: Entidade que decide como os dados pessoais serão processados.
  • Processador (Terceiro): Entidade que processa dados pessoais de acordo com as instruções do controlador.
  • Subprocessador (Quarto): Entidade que realiza atividades de processamento em nome do processador.
  • Processamento: Qualquer operação realizada sobre dados pessoais, incluindo coleta, armazenamento, uso, etc.

Requisitos dos "Controladores" dos Dados:

  • Garantir que os processadores possam cumprir a LGPD, oferecendo garantias suficientes em termos de conhecimento, confiabilidade e recursos.
  • Aprovar por escrito cada subprocessador do processador.
  • Firmar contratos de proteção de dados com cada processador.

Requisitos dos "Processadores" dos Dados:

  • Processar os dados apenas conforme instruído por escrito pelo controlador.
  • Obter aprovação do controlador para todos os subprocessadores.
  • Assumir responsabilidade total se um subprocessador não cumprir a LGPD.
  • Ajudar o controlador a cumprir a LGPD, realizando avaliações de impacto sobre a proteção de dados, se necessário.
  • Retornar ou deletar todos os dados pessoais após a conclusão das atividades de processamento, salvo exigência legal em contrário.
  • Firmar contratos de proteção de dados com cada subprocessador.

Requisitos dos "Subprocessadores" dos Dados:

  • Entrar em acordos com a empresa que os contratou como processadores e cumprir com os requisitos aplicáveis a processadores e controladores.

Acordos de Proteção de Dados:

  • Devem vincular o processador ao controlador.
  • Especificar os tipos de dados processados, duração do processamento, motivos do processamento, tarefas e responsabilidades do processador, e riscos para os direitos e liberdades dos titulares dos dados.
  • Exigir que o processador tome todas as medidas necessárias, ajude o controlador a cumprir as obrigações para com os direitos dos titulares dos dados e esteja em conformidade.

Adicionalmente, a maioria dos controladores exige que os processadores os informem sobre qualquer violação de dados dentro de 24 horas após a descoberta da violação.

Como podemos ver acima, esta gestão de riscos de privacidade de terceiros para cumprir as exigências da LGPD é um processo complexo que exige uma compreensão detalhada das responsabilidades e obrigações de controladores, processadores e subprocessadores. As empresas devem realizar avaliações regulares de segurança e privacidade, assinar acordos de proteção de dados com todos os terceiros envolvidos no processamento de dados pessoais e manter um programa de segurança da informação robusto e maduro. Dessa forma, é possível mitigar os riscos de violação da privacidade de dados e evitar multas substanciais impostas pelas autoridades de proteção de dados.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante