A gestão de riscos de privacidade de terceiros tornou-se um tópico crucial no contexto de conformidade com a GDPR da União Europeia e a LGPD no Brasil, por isso queria falar mais abaixo sobre alguns principais aspectos da gestão de riscos de privacidade de terceiros.
A LGPD criou a Autoridade Nacional de Proteção de Dados (ANPD), que ficou como a agência responsável por garantir a conformidade com a lei, e as eventuais violações à GDPR podem ser descobertas de várias maneiras, desde uma auditoria da própria agência, ou uma reclamação feita por um indivíduo contra a empresa.
E uma vez identificada uma potencial violação, a agência de proteção inicia uma investigação para determinar a ocorrência e o impacto da violação, e estas investigações levam em consideração a gravidade da violação, o tipo de dados envolvidos, as medidas tomadas pela organização para mitigar os efeitos e o histórico de conformidade da empresa, para ao final da investigação, pode receber uma advertência e quem sabe até uma multa financeira.
Ainda que aqui as multas têm sido baixas e mais educativas, nesta fase, lá fora onde estão mais maduros e preparados, os valores das multas podem variar significativamente, como evidenciado pelos casos de British Airways e Marriott International, onde as multas propostas foram de £183,39 milhões e £99 milhões, respectivamente, devido a falhas graves na proteção de dados dos consumidores. Pelo valor destas multas aplicadas à British Airways e Marriott mostram bem qual a seriedade e severidade com que as autoridades europeias tratam a proteção de dados pessoais.
Não ficaria parado esperando isto acontecer por aqui, por isso para proteger sua empresa destas altas multas potenciais, e garantir conformidade com a LGPD brasileira, algumas medidas fundamentais podem ser adotadas, como:
- Avaliação da Aplicabilidade da LGPD: É importante determinar como a LGPD se aplica à sua empresa, olhando especialmente se ela lida com dados de indivíduos,
- Estabelecimento de um Programa de Segurança Maduro: Implementar medidas de segurança da informação adequadas ao risco associado aos dados pessoais processados, incluindo a pseudonimização e criptografia dos dados, e a realização de testes regulares para avaliar a eficácia das medidas técnicas e organizacionais.
- Acordos de Proteção de Dados com Terceiros: É necessário firmar acordos que obriguem contratualmente os fornecedores a cumprir totalmente a LGPD e processar dados apenas de acordo com as instruções da organização.
- Avaliações de Segurança e Privacidade em Aquisições: Realizar avaliações completas de segurança e privacidade ao adquirir novas empresas, para garantir que não haja violações contínuas da LGPD.
Adotar estas práticas ajuda a minimizar os riscos de não conformidade e a proteger a empresa de multas significativas.
Mas tem outro ponto que me preocupa mais em relação à LGPD, pois as empresas são responsáveis pelas ações de todos os seus terceiros e podem ser responsabilizadas pelas ações dos terceiros destes (os chamados "quartos").
Por isso que esta gestão de riscos de terceiros envolve entender e cumprir uma série de requisitos, tais como:
Definições Importantes:
- Controlador: Entidade que decide como os dados pessoais serão processados.
- Processador (Terceiro): Entidade que processa dados pessoais de acordo com as instruções do controlador.
- Subprocessador (Quarto): Entidade que realiza atividades de processamento em nome do processador.
- Processamento: Qualquer operação realizada sobre dados pessoais, incluindo coleta, armazenamento, uso, etc.
Requisitos dos "Controladores" dos Dados:
- Garantir que os processadores possam cumprir a LGPD, oferecendo garantias suficientes em termos de conhecimento, confiabilidade e recursos.
- Aprovar por escrito cada subprocessador do processador.
- Firmar contratos de proteção de dados com cada processador.
Requisitos dos "Processadores" dos Dados:
- Processar os dados apenas conforme instruído por escrito pelo controlador.
- Obter aprovação do controlador para todos os subprocessadores.
- Assumir responsabilidade total se um subprocessador não cumprir a LGPD.
- Ajudar o controlador a cumprir a LGPD, realizando avaliações de impacto sobre a proteção de dados, se necessário.
- Retornar ou deletar todos os dados pessoais após a conclusão das atividades de processamento, salvo exigência legal em contrário.
- Firmar contratos de proteção de dados com cada subprocessador.
Requisitos dos "Subprocessadores" dos Dados:
- Entrar em acordos com a empresa que os contratou como processadores e cumprir com os requisitos aplicáveis a processadores e controladores.
Acordos de Proteção de Dados:
- Devem vincular o processador ao controlador.
- Especificar os tipos de dados processados, duração do processamento, motivos do processamento, tarefas e responsabilidades do processador, e riscos para os direitos e liberdades dos titulares dos dados.
- Exigir que o processador tome todas as medidas necessárias, ajude o controlador a cumprir as obrigações para com os direitos dos titulares dos dados e esteja em conformidade.
Adicionalmente, a maioria dos controladores exige que os processadores os informem sobre qualquer violação de dados dentro de 24 horas após a descoberta da violação.
Como podemos ver acima, esta gestão de riscos de privacidade de terceiros para cumprir as exigências da LGPD é um processo complexo que exige uma compreensão detalhada das responsabilidades e obrigações de controladores, processadores e subprocessadores. As empresas devem realizar avaliações regulares de segurança e privacidade, assinar acordos de proteção de dados com todos os terceiros envolvidos no processamento de dados pessoais e manter um programa de segurança da informação robusto e maduro. Dessa forma, é possível mitigar os riscos de violação da privacidade de dados e evitar multas substanciais impostas pelas autoridades de proteção de dados.