Auditoria ESG

LGPD: papéis e responsabilidades na Gestão de Terceiros

Publicado em:

Atualizado em 7 de maio de 2024

A Lei Geral de Proteção de Dados – LGPD (Lei 13.709) foi sancionada no Brasil em 14 de agosto de 2018, com o objetivo principal de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Sendo assim, sua finalidade é garantir maior privacidade, transparência e segurança em qualquer atividade de tratamento (que envolve a coleta, acesso, utilização, eliminação e outras operações) de dados pessoais dos cidadãos brasileiros.

Estes dados pessoais são informações relacionadas a pessoa natural identificada ou identificável, podendo ser ainda um dado pessoal sensível, no qual abrange informações como origem racial ou étnica e dados referente à saúde por exemplo.

 

mãos teclando um notebook que está em cima de uma mesa de madeira. projeções de vetores azuis na tela representando uma cadeia de dados.

 

LGPD e o tratamento de dados pessoais na Gestão de Terceiros

É possível observar na LGPD diversas partes no tratamento de dados pessoais, sendo alguns deles:

  • O titular: pessoa a quem se referem os dados pessoais que são objeto de tratamento;
  • O controlador: é o responsável pelas decisões referentes ao tratamento de dados pessoais; e
  • O operador: quem realiza o tratamento de dados pessoais em nome do controlador.

Neste sentido, no processo de auditoria realizada na gestão de terceiros, o titular dos dados é o funcionário terceirizado, o controlador é a empresa contratante e o operador é a empresa de auditoria.

Diante deste cenário e das novidades trazidas pela lei, se faz necessário destacar os requisitos dispostos na LGPD que autorizam o tratamento desses dados pessoais dos funcionários terceirizados pelas empresas contratantes, sendo eles:

  1. Para o cumprimento de obrigação legal ou regulatória pelo controlador (Artigo 7º, inciso II, LGPD);
  2. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) (Artigo 7º, inciso VI, LGPD);
  3. Para a proteção da vida ou incolumidade física do titular ou de terceiro (Artigo 7º, inciso VII, LGPD).

Sendo assim, a Lei não impede que as empresas terceirizadas apresentem documentos que contenham dados pessoais de seus funcionários para os tomadores de serviços, assim como não impede o tratamento desses dados pessoais pela empresa de auditoria. Na realidade é disposto em seu texto princípios, fundamentos e requisitos que são necessários durante a realização do tratamento dos dados.

Para entender um pouco mais sobre esses aspectos da LGPD, assista ao nosso webinar com o tema: Desmitificando a LGPD na Gestão de Terceiros.⬇️

 

Segurança no tratamento dos dados pessoais

A segurança durante o tratamento desses dados pessoais é uma das necessidades trazidas pela LGPD, sendo um item de extrema importância no qual relaciona-se com à privacidade e à proteção das informações tratadas.

A lei aponta inclusive a importância da “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”, prevendo, portanto, o aprimoramento da segurança dos agentes de tratamento.

Diante desta necessidade, a Autoridade Nacional de Proteção de Dados – ANPD – criou um guia orientativo no qual contém boas práticas entre medidas técnicas e administrativas que devem ser seguidas pelos agentes para gerar mais segurança e consequentemente ficar em maior concordância com a LGPD.

Entre essas medidas, temos:

  • Política de segurança da informação: que é um conjunto de diretrizes e regras que objetivam o gerenciamento da segurança de uma organização;
  • Conscientização e treinamento: orientação aos funcionários acerca de suas obrigações e responsabilidades no tratamento de dados pessoais;
  • Gerenciamento de contratos: realização de termos de confidencialidade com os funcionários da empresa com observância à Segurança da Informação;
  • Medidas técnicas: melhorias na segurança dos sistemas e ambientes da organização.

Todos esses pontos são de extrema importância para um tratamento responsável e seguro. Ainda mais no cenário de Gestão de Terceiros em que é realizado o tratamento de dados pessoais dos funcionários terceirizados durante a análise das documentações. Com isso, conte sempre com uma empresa de Gestão de Terceiros que traga maior segurança quanto a LGPD e outras exigências legais. A Bernhoeft atende aos requisitos da LGPD e pode te apoiar diretamente.

Somos a maior empresa de Gestão de Terceiros do Brasil, pioneira na Prevenção de Riscos Trabalhistas e Gestão de Riscos com Terceiros. Realizamos desde 2003 uma minuciosa avaliação dos riscos envolvidos na relação entre empresas tomadoras e prestadoras de serviços.

Se entender que precisa de apoio nesse sentido, entre em contato conosco.

 

Autoria: Gabriele Rebeca de Sena Costa | Analista de Segurança da Informação