Privacy by Design: como mitigar riscos na terceirização
Privacy by Design: como mitigar riscos na terceirização de processos da LGPD?
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Privacy by Design: como mitigar riscos na terceirização de processos da LGPD?

    Publicado em: 27 de novembro de 2023

    Por André Cilurzo

    Com a LGPD (Lei Geral de Proteção de Dados), muitas ações passaram a ser necessárias para que empresas pudessem cumprir com essa nova regulamentação. Ferramentas como o framework “privacy by design” ganham espaço nesse contexto.

    Dentro de um programa complexo para atender tanto a titulares de dados, demonstrar conformidade à ANPD (Autoridade Nacional de Proteção de Dados) e assegurar um “sono tranquilo” de acionista e executivos, as empresas adotaram práticas e realizaram investimentos substanciais para que a LGPD fosse cumprida dentro de seu ambiente de trabalho.

    Entretanto, dada a necessidade de redução de custos e despesas, bem como a necessidade de priorização de atividades que gerassem receita para seus negócios, empresas optaram pela terceirização de muitas tarefas (em alguns casos quarteirização), o que limitou o controle sobre o que é feito com os dados pessoais de seus titulares e colocou em xeque os esforços e os investimentos para atender à Lei.

    Essa limitação de controle, por vezes, aumenta consideravelmente os riscos relacionados à LGPD, obrigando as organizações a monitorar e avaliar possíveis impactos, tais como vazamento ou tratamento indevido de dados pessoais por seus terceiros contratados. Também é necessário implementar mecanismos de proteção e mitigação de riscos decorrentes dessa nova regulação.

    Um dos controles mais eficazes na gestão de riscos relacionados à LGPD é o “Privacy by Design”, um framework que permite que a privacidade seja implementada desde o início do desenvolvimento de produtos, serviços, sistemas, aplicações ou processos envolvendo terceiros.

    Um “Privacy by Design” bem implementado pode assegurar que a finalidade, a adequação e a necessidade, que são os princípios estabelecidos no artigo 6º da Lei, sejam cumpridos e reduzam o risco de tratamento indevido do dado de uma pessoa, bem como minimize impactos relacionados a vazamento.

    Para que esse controle seja bem implementado é fundamental que a empresa coloque em prática as oito ações demonstradas abaixo.

    1. Levantamento de terceiros que coletem, tratem e armazenem dados pessoais em nome da empresa contratante.
    2. Avaliação de riscos de terceiros, entendendo possíveis ameaças à privacidade e à segurança dos dados, bem como fatores de compartilhamento, acesso a dados pessoais e controles de segurança existentes na empresa contratada.
    3. Processo de seleção e homologação de terceiros considerando que os riscos de privacidade e de segurança dos dados estejam mitigados por meio de certificações, normativas de segurança, controles e políticas de privacidades e processo de armazenamento de logs e trilhas de auditorias em sistemas que armazenam e transacionam dados pessoais.
    4. Cláusulas contratuais específicas de privacidade e segurança em contratos com terceiros, visando estabelecer requisitos de coleta, tratamento e armazenamento de dados pessoais mínimos necessários, bem como estabelecimento de responsabilidades das partes envolvidas e medidas a serem tomadas em caso de violação de dados.
    5. Acesso mínimo e limitado de dados dos terceiros, bem como, um programa contínuo de redução de dados não essenciais para as finalidades existentes, sendo que apenas informações estritamente necessárias para realizar suas atividades serão tratados no período de vigência do contrato. Além disso, após a vigência ou extinção do contrato, medidas de anonimização devem ser tomadas pelo terceiro em relação aos dados da contratante.
    6. Monitoramento contínuo e auditorias regulares para verificar se os terceiros estão cumprindo os requisitos contratuais e tratando exclusivamente o que é essencial e necessário para atingimento da finalidade contratada.
    7. Treinamento e conscientização para os profissionais de terceiros que terão acesso aos dados pessoais da empresa entendam os riscos, as responsabilidades e os impactos relacionadas ao tratamento de dados.
    8. Revisão e avaliação contínua dos elementos de dados coletados sempre que houver alteração no processo de tratamento pelo terceiro contratado, objetivando sempre a coleta do mínimo necessário.

    Ao adotar práticas de Privacy by Design na contratação e relação com terceiros, as empresas podem reduzir significativamente os riscos associados ao compartilhamento de dados com entidades externas, assegurando a privacidade e a segurança dos dados de seus clientes e profissionais. Além disso, isso contribuirá para a construção de uma reputação sólida e responsável em relação aos direitos exigidos pela LGPD.

    André Cilurzo

    André Bottecchia Cilurzo é formado em Administração pela EAESP-FGV, com pós-graduação em Business Economics pela EESP-FGV. Desde 2002 na Protiviti, atualmente lidera as soluções de Data Privacy e atendimento à LGPD. Anteriormente, também na ICTS, trabalhou no desenvolvimento de soluções para segurança de informações e prevenção a riscos, perdas e fraudes.

    Compartilhe:

    Publicações relacionadas

    Uso de IA nas organizações: riscos e impactos

    20 de agosto de 2024

    A adoção da Inteligência Artificial (IA) nas organizações está em franco crescimento, impulsionada pelas promessas de aumento de eficiência, melhoria na tomada de decisão e inovação nos serviços oferecidos. No entanto, essa tecnologia também traz consigo uma série de riscos que precisam ser identificados e gerenciados adequadamente para garantir que os benefícios sejam plenamente aproveitados […]

    Leia mais

    DREX e Tokenização: além dos bancos e instituições financeiras

    19 de agosto de 2024

    Como as empresas brasileiras estão se preparando para a chegada do DREX? A moeda digital está prestes a transformar o cenário econômico brasileiro, oferecendo novas possibilidades e desafios. Compreender como as empresas estão se preparando para essa mudança é, portanto, crucial para antecipar os impactos, identificar oportunidades e garantir uma transição bem-sucedida para essa nova […]

    Baixe aqui

    Gestão estratégica no setor de saúde: necessidades e transformações

    2 de agosto de 2024

    O setor de saúde, essencial para o bem-estar e a qualidade de vida da população, enfrenta desafios complexos e multifacetados. Diante de um cenário de constante evolução tecnológica, envelhecimento populacional e crescentes demandas por serviços de saúde de alta qualidade, a gestão estratégica emerge como um componente vital para a sustentabilidade e eficiência das instituições […]

    Leia mais

    ANPD publica Regulamento sobre a atuação do Encarregado de Dados (Resolução CD/ANPD n°18)

    24 de julho de 2024

    A ANPD publicou no dia 17/07/2024 a Resolução CD/ANPD n°18 que dispõe sobre a atuação do encarregado sobre o tratamento de dados pessoais. Confira os principais pontos da resolução: Da indicação do Encarregado Forma da indicação: ato formal, ou seja, documento escrito, datado e assinado, demonstrando a indicação. Agente de pequeno porte: nos casos em […]

    Leia mais