Um simples cadastro e homologação não são suficientes para garantir a confiança das relações. Com a LGPD, os aspectos de risco, segurança da informação, proteção e privacidade de dados precisam ser considerados e avaliados.
A adequação a LGPD abrange não somente a relação da empresa com seus clientes ou consumidores, mas também com toda a estrutura do seu negócio, como colaboradores, processos, tecnologias e fornecedores (terceiros).
Antes de explorarmos este tema é importante esclarecer os papéis dos agentes de tratamento de dados pessoais: quando sua empresa terceiriza as atividades de tratamento de dados para outra organização, ela é o controlador de dados e o terceiro ou prestador de serviço é um operador de dados. Um controlador de dados decide quais informações são tratadas e a base legal para justificar o tratamento enquanto um operador de dados realiza este tratamento em nome do controlador.
Ambos os agentes de tratamento possuem responsabilidades e a LGPD deixa clara a possibilidade de reparação dos danos patrimonial, moral, individual ou coletivo, sempre que tais danos decorrerem de violação a legislação de proteção de dados pessoais.
O operador de dados será responsabilizado quando não seguir as orientações do controlador ou quando descumprir com as exigências da LGPD, como por exemplo, deixar de aplicar medidas de segurança aptas a prevenir incidentes com dados pessoais. Mesmo assim, nenhuma empresa, controladora ou operadora gostaria de ser envolvida em algum escândalo de dados que possa causar impactos negativos em suas operações e em sua reputação.
Desta forma, para mitigar possíveis riscos e evitar incidentes de vazamento de dados é de suma importância que as empresas estabeleçam um processo para a Gestão de Riscos de Terceiros, visto que grande parte das violações de dados ocorre por meio do relacionamento com seus prestadores de serviços.
Gestão de Riscos de Terceiros
Um simples cadastro e homologação não são suficientes para garantir a confiança das relações. Com a LGPD, os aspectos de risco, segurança da informação, proteção e privacidade de dados precisam ser considerados e avaliados.
Os riscos que uma organização se expõe ao contratar um terceiro depende de vários fatores incluindo, mas não se limitando a:
- O segmento de atuação;
- A relevância e porte da organização;
- A sensibilidade dos dados pessoais;
- O volume de dados tratado;
- O motivo pelo qual os dados pessoais são tratados;
- Os meios de tratamento dos dados.
Para avaliar a conformidade de terceiros recomenda-se realizar as seguintes ações:
- Identificar todos os prestadores de serviços que realizam atividade de tratamento de dados pessoais e dados pessoais sensíveis (se possível, relacionando com os processos e serviços oferecidos por sua empresa);
- Definir como será a avaliação (envio de questionário, avaliação presencial, consultoria especializada…);
- Determinar quais serão os controles avaliados;
- Definir uma matriz de riscos e critérios para a avaliação;
- Revisar os contratos ativos para adequá-los às diretrizes da LGPD;
- Aplicar a avaliação nos controles dos terceiros;
- Compartilhar o resultado da avaliação com o terceiro. Se necessário, dar a oportunidade para o prestador de serviço elaborar planos de ação visando o aumento no seu nível de maturidade e continuidade na prestação de serviços;
- Acompanhar a execução dos planos de ação elaborados e definir prazos para adequação;
- Pesquisar se o terceiro tem histórico de incidente de segurança relevante ou casos de indisponibilidade de sistemas e serviços.
Recomenda-se que a avaliação ocorra periodicamente para que sempre sejam identificados novos riscos (melhoria contínua) e exista um controle atualizado sobre o nível de maturidade de cada fornecedor.
Considerações Finais
Infelizmente tornou-se muito comum recebermos notícias de vazamento de dados em empresas de todos os setores e, certamente, estas notícias impactam rapidamente na imagem e reputação das companhias mesmo que em diversos casos foi constatado que o problema se originou em uma falha ocasionada por um parceiro terceirizado. Desta forma, avaliar preventivamente os controles de proteção e privacidade de dados de seus fornecedores é uma atividade primordial para empresas que desejam preservar sua imagem e reputação, estar em conformidade com legislações e regulamentações, prestar serviços de qualidade e garantir a segurança de suas informações e de seus clientes.
Além do mais, recomenda-se a execução periódica de um processo de avaliação, tornando possível determinar se os fornecedores estão engajados e são cuidadosos o suficiente para continuarem na prestação do serviço. Este é um processo em que ambas as partes são beneficiadas, pois o controlador minimiza riscos como indisponibilidade na prestação de serviços ou vazamento de suas informações, enquanto o operador tem a oportunidade de aprimorar seus controles de proteção de dados, se destacar no mercado de atuação e até ter um diferencial competitivo para conquistar novos clientes.
— Ramon Ito é Especialista em GRC e privacidade com atuação em projetos de segurança da informação em diferentes indústrias: Agrícola, Mineração, Alimentos, Instituições Financeiras, Varejo, Comércio, Cosméticos,
Farmacêuticas, Serviços, Energia (geração e transmissão), Usinagem, Siderurgia, Aeroespacial e Aviação.
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
