Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), as empresas passaram a ter a responsabilidade de assegurar que os dados pessoais sob sua gestão sejam tratados em conformidade com os princípios da legislação. Este cuidado não se limita às operações internas, mas também às interações com terceiros, incluindo fornecedores.
Saber o que cobrar de seus fornecedores nesse contexto é essencial para garantir a segurança jurídica e evitar sanções. Abaixo, detalhamos os principais pontos a serem exigidos dos seus parceiros comerciais quanto à adequação LGPD de fornecedores.
Verifique se o fornecedor possui conformidade com a LGPD
O primeiro passo é confirmar se o fornecedor implementou um programa de conformidade com a LGPD. Este programa deve contemplar a identificação de riscos associados ao tratamento de dados pessoais, a elaboração de uma política de privacidade adequada e a definição de processos claros para responder a solicitações de titulares de dados. Solicite evidências documentais de que o fornecedor está em conformidade, como relatórios de auditorias internas ou certificações obtidas.
Certifique-se de que existe um contrato com cláusulas específicas de proteção de dados
A relação contratual com seus fornecedores deve incluir cláusulas específicas relacionadas à proteção de dados pessoais. Essas cláusulas precisam estabelecer as responsabilidades de cada parte no tratamento dos dados, os procedimentos para comunicação de incidentes de segurança, o prazo de retenção de dados e as obrigações em caso de fiscalização por órgãos reguladores. Também é importante que o contrato preveja penalidades em caso de descumprimento da LGPD.
Avalie a capacidade técnica do fornecedor para garantir a segurança dos dados
A LGPD exige a adoção de medidas técnicas e administrativas para proteger os dados pessoais. Portanto, solicite evidências de que o fornecedor adota medidas técnicas e organizacionais para proteger os dados. É fundamental avaliar se o fornecedor utiliza tecnologias e práticas adequadas, como criptografia, controle de acesso, monitoramento de sistemas e realização de backups.
Solicitar o cumprimento de normas, como a ISO 27001, também é altamente recomendável, especialmente quando o fornecedor lida com dados sensíveis ou atua em áreas críticas para o seu negócio. Além disso, é relevante saber se o fornecedor realiza treinamentos periódicos com sua equipe sobre boas práticas de segurança da informação.
Adequação LGPD de fornecedores: Confirme a existência de um encarregado de proteção de dados (DPO)
A nomeação do DPO é um requisito obrigatório da Lei Geral de Proteção de Dados e está prevista no artigo 41 da LGPD. Assim, todas as empresas, exceto aquelas consideradas pela Lei como Agentes de Pequeno Porte, que não tiverem designado um encarregado de proteção de dados estarão sujeitas a multas e sanções.
Este profissional é responsável por atuar como ponto de contato entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Por isso, verifique se o fornecedor possui um DPO nomeado e acessível, capaz de responder às suas demandas e esclarecer questões relacionadas ao tratamento de dados pessoais.
Exija transparência na cadeia de subcontratação
Em muitos casos, fornecedores contratam terceiros para executar parte de suas atividades. É crucial que a sua empresa saiba quem são esses subcontratados e como eles lidam com dados pessoais. Solicite informações detalhadas sobre a cadeia de subcontratação e certifique-se de que os mesmos padrões de conformidade aplicados ao fornecedor principal também sejam seguidos pelos subcontratados.
Solicite relatórios periódicos de conformidade
Manter um acompanhamento contínuo é fundamental para garantir que os fornecedores permaneçam em conformidade. Peça relatórios regulares que incluam informações sobre incidentes de segurança, atualizações em políticas de privacidade e as ações implementadas para mitigar riscos. Isso demonstra o compromisso do fornecedor com a LGPD e proporciona maior segurança para a sua empresa.
Realize auditorias e monitore o desempenho
Por fim, além de confiar nas informações fornecidas, é recomendável realizar auditorias periódicas para verificar se os fornecedores cumprem com as suas obrigações. Essas auditorias podem incluir visitas presenciais, análise de documentos e verificação de sistemas.
Conte com uma Assessoria Jurídica especializada
Cobrar de seus fornecedores um nível elevado de conformidade é uma medida essencial para garantir que os dados pessoais sob sua responsabilidade sejam tratados com o devido cuidado. Adotando essas práticas, você estará promovendo uma cultura de segurança e transparência em toda a sua cadeia de fornecimento.
Oferecemos suporte especializado para adequar sua empresa e avaliar a adequação à LGPD de fornecedores. Marque uma reunião com nossos advogados e entenda como iniciar a conformidade e a segurança jurídica do seu negócio.
