LGPD e terceiros: como tratar dados de fornecedores?
  • 01 de January de 1970

LGPD e terceiros: como tratar dados de fornecedores?

A Lei Geral de Proteção de Dados (LGPD) veio para disciplinar a forma como dados de pessoas e empresas são cuidados. E nesse sentido, é preciso também estar atento à LGPD e terceiros.

Essa preocupação com a proteção de dados deve ser mantida e até mesmo com atenção especial quando a empresa achar necessário contratar um serviço terceirizado. Além do fornecedor ter acesso a dados de clientes, de acordo com sua atividade, o tomador do serviço também é responsável pelas informações dos seus clientes e que são coletadas pelo terceirizado.

O tema é bastante sensível e, para explicar essa relação entre LGPD e terceiros, preparamos o artigo abaixo. Siga a leitura e tire suas dúvidas agora mesmo!

O que é a LGPD?

A Lei Geral de Proteção de Dados (13.709/2018) foi criada com o objetivo de proteger os dados das pessoas. Dessa forma, os responsáveis pela coleta deve criar mecanismos que impeçam o vazamento das informações, e seu uso de forma indevida.

Também visa a criação de um cenário de segurança jurídica. Para isso, segue com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes.

Por fim, a lei ainda determina o que são dados pessoais, além de caracterizá-los de acordo com cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. 

LGPD e terceiros

Uma das obrigações estabelecidas pela Lei Geral de Proteção de Dados (LGPD) é regular o acesso aos dados por terceiros que não o responsável pelo arquivo.

Este tipo de acesso aos dados por terceiros não é considerado como comunicação de dados. Ou seja, como transferência, desde que o referido acesso seja necessário para a prestação de um serviço ao responsável pelo tratamento.

Em primeiro lugar, é necessário saber o que se entende por terceiro com acesso aos dados ou, o que é o mesmo, por “responsável pelo tratamento”, termo utilizado nas referidas normas.

A LGPD define esta figura como: “a pessoa singular ou coletiva, pública ou privada, ou órgão administrativo que, isoladamente ou em conjunto com outros, trate dados pessoais por conta do responsável pelo tratamento ou do responsável pelo tratamento dos dados, em resultado da existência de uma relação jurídica que o vincula a ela e delimita o alcance de sua ação para a prestação de um serviço. Entidades sem personalidade jurídica que atuam no trânsito como sujeitos diferenciados também podem ser responsáveis ​​pelo tratamento.”

Portanto, um processador de dados é qualquer pessoa que nos forneça um serviço e, portanto, tenha ou possa ter acesso a dados pessoais de propriedade de nossa empresa. 

No dia-a-dia, as entidades trabalham com uma multiplicidade de terceiros que, para lhes prestar um serviço, cedem ou podem ter acesso aos seus próprios dados, como o escritório contábil que elabora as folhas de pagamento dos seus trabalhadores. 

Leia também::: Entenda por que a gestão de riscos de terceiros é urgente em sua empresa

Contrato  de regulação

Com todos eles, será necessário assinar um contrato que regule o tratamento que esses terceiros farão com os dados. Este contrato estabelece as seguintes obrigações para o processador de dados:

  • Trate os dados de acordo com as instruções do controlador de dados.
  • Não os utilize para outro fim que não o estipulado no referido contrato, nem os comunique, nem mesmo para a sua conservação, a outras pessoas.
  • Uma vez cumprida a disposição contratual, os dados, bem como qualquer suporte ou documento que os contenha, devem ser devolvidos ao responsável pelo tratamento ou destruídos.
  • Se o responsável utilizar os dados para outra finalidade ou não cumprir o estipulado no contrato, será considerado responsável pelo tratamento, respondendo pelas infrações em que tenha incorrido pessoalmente. No entanto, se o responsável comunicar os dados a um terceiro designado pelo responsável pelo tratamento, comunicação prévia do responsável, não incorrerá em responsabilidade.
  • Você não pode subcontratar terceiros, a menos que tenha obtido autorização do responsável para fazê-lo.

Em relação a este último ponto, é necessário salientar que a subcontratação pode ser realizada sem autorização do responsável desde que sejam cumpridos três requisitos:28

  • Ser especificado no contrato quais são os serviços que podem ser subcontratados.
  • O tratamento efetuado pelo subcontratante deve respeitar as instruções do tomador de serviços.
  • O responsável pelo tratamento da empresa terceirizada e seu subcontratado devem assinar um contrato em que esta será considerada responsável pelo tratamento.

Tipo de prestação de serviços

Por outro lado, é necessário levar em consideração os locais em que o terceirizado pode fornecer seus serviços.

Quando este seja prestado nas instalações do responsável pelos dados, esta circunstância deve ser refletida no documento de segurança do responsável, comprometendo-se o pessoal do responsável a cumprir as medidas refletidas no referido documento.

Quando o acesso é remoto, o responsável deve informar essa circunstância em seu documento de segurança.

Por fim, quando o serviço for prestado nas instalações do responsável pelo tratamento, este deve preparar um documento de segurança identificando o(s) processo(s) e o seu responsável e incorporando as medidas de segurança que devem ser implementadas em relação aos mesmos.

Outro aspecto que devemos destacar e que diz respeito a um responsável pelo tratamento é aquele relacionado ao exercício de direitos. 

Afinal, quando ocorrer uma situação deste tipo, o responsável deve transferir o pedido recebido ao responsável pelo processo para que seja ele quem o resolva, salvo se ambos tiverem previsto que o responsável teria de tomar atendimento dessas solicitações, ou seja, sempre em nome do responsável.

Leia também::: 5 razões para usar uma plataforma de gestão de terceiros na sua empresa

Ferramentas de apoio

Uma forma de facilitar o processo é contar com um sistema de gestão de documentos online, que integra tomador e prestador de serviços em uma mesma base de dados.

Com a ferramenta Tertium Online é possível centralizar as informações e dados em um único sistema, que possui total segurança de acesso, ao mesmo tempo que está hospedado na nuvem. Assim, é possível acessar informações em tempo real.

Dessa forma, é possível seguir a lei geral de proteção de dados, sem imprevistos ou erros que possam resultar em multas ou outras penalidades à sua empresa.

Esperamos que tenham compreendido a relação entre LGPD e terceiros, e como tratar dados de fornecedores. E para conhecer nossa plataforma completa, clique aqui e converse com nossos consultores!

28 maio 2022

Projeto premiado

Apoio

Desenvolvedores