A LGPD traz a necessidade de todas as áreas da empresa saberem de onde vem os dados, para que são usados, com quem são compartilhados, onde são guardados ou quando são descartados.
O trabalho de adequação não é um trabalho do jurídico ou da TI, mas todas as áreas da empresa precisam trabalhar para a adequação da lei.
A área de Compras precisa tomar cuidados especiais, pois é a área que faz as contratações e a partir da LGPD, mais do que ter o melhor preço é fundamental que o novo fornecedor (operador), que trata dados pessoais, esteja adequado à LGPD.
Se a área contrata um fornecer inadequado, está comprometendo todo o trabalho de adequação e investimentos que a empresa fez ou está fazendo.
O simples fato de contratar empresas inadequadas para tratar os dados pessoais, que sua empresa (Controlador) é responsável, já é uma infração, pois o controlador tem o dever de garantir, ao compartilhar, que o mesmo nível de segurança e proteção será mantido e, se houver um incidente nesse fornecedor, a empresa pode responder solidariamente à ANPD – Autoridade nacional de proteção de dados, por não ter verificado esse requisito.
Portanto, a partir de agora o Compras precisa avaliar a adequação do fornecedor que trata dados pessoais, antes mesmo de falar de preço.
É importante que o Compras, só avance as tratativas com fornecedores avaliados e adequados, ou que, quando não houver possibilidade de contratar outro, o risco seja baixo e a empresa tome providencias para reduzir os riscos.
Observando as práticas de mercado e trabalhos de adequação, é bem comum no mercado, simplesmente fazer um contrato/aditivo com o fornecedor, com cláusulas declarando o cumprimento da LGPD e todos seguem em frente. É verdade que quem afirma e assina uma declaração falsa, provavelmente será responsabilizado em caso de incidente ou fiscalização, todavia, até que isso ocorra, se a empresa é o controlador, o nome dela já foi divulgado e maculado, podendo causar danos irreparáveis.
O nome do operador geralmente não é citado quando relatam o incidente – “um dos nossos prestadores de serviços ….”. O incidente é do controlador, mesmo que em alguns casos nem tenha sido no ambiente dele e sim no ambiente do operador. Vide notícias de incidentes da “Arcos Dourados” e “Audi e Volkswagen”.
Nesse sentido, que reforço a necessidade de aprofundar a avaliação em alguns casos, pois, na minha opinião, não é razoável que a ANPD aceite, que, por exemplo, dados sensíveis foram entregues a um operador que você apenas cobrou um contrato com “cláusulas LGPD”, mas que ele sequer tem um e-mail corporativo com governança, por exemplo, ou tem procedimentos claramente sem segurança.
Esse texto é parte da introdução do treinamento “LGPD para Compras”, que estará na plataforma EAD mais completa do Brasil, de conteúdo LGPD para treinamento interno dos funcionários – www.legaledu.com.br (LEGAL).
Lá você encontra o conteúdo geral da LGPD e conteúdos adicionais focados para RH, Marketing, Tecnologia e agora Compras. Em breve haverá um conteúdo para E-commerce que já está sendo desenvolvido.
Esse conteúdo todo é meu primeiro passo das adequações que conduzo. Equipe bem treinada evita incidentes e contribui para um processo de adequação mais eficiente. Estão prontos para contribuir e questionar.
Se sua empresa não tem recursos para investir na adequação da LGPD, faça no mínimo a capacitação da equipe.
Até a próxima #dosedelgpd
Advogada, DPO por assinatura, Membro da Comissão Especial de Privacidade e Proteção de Dados – OAB/SP, contratos e negociações de TI, Diretora na W&S Central IT – Joinville e São Paulo