Risco de Data Privacy na Gestão de Terceiros

Por Wilson Costa, Enterprise Cyber Risk Management [ERM] | Morphus

Quem são nossos terceiros críticos? A pergunta é proposital e mostra um dos grandes desafios que as organizações enfrentam para gerenciar os riscos relacionados a serviços terceirizados. Soma-se a esse desafio, o de gerir, também, o tema de Data Privacy em tempos de Lei de Proteção dos Dados Pessoais (LGPD) no Brasil e do Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, em um cenário comum a todos e ainda mais desafiador com as novas ameaças cibernéticas e pandêmicas.

Nesse ambiente crescente de novas ameaças e pressão dos reguladores para a conformidade das organizações, o gerenciamento de riscos de privacidade de dados em terceiros, ganha uma dimensão crítica e as empresas devem estar atentas a seu programa de segurança cibernética para integrar esses novos riscos e assegurar que sua avaliação geral esteja contemplando-os.

As organizações/controladores e os terceiros/operadores por elas contratados, vide inciso VI e VII, respectivamente, do Art50 da LGPD , devem realizar tratamento de dados pessoais mediante boa fé e outros princípios, dos quais destaco o inciso ”VII -Segurança” do Art60 da LGPD, que prevê utilização de medidas técnicas e administrativas para proteger dados pessoais.

Para buscar identificar se o terceirizado será um parceiro crítico no tema de privacidade de dados, as organizações podem incluir em seus questionários de avaliação, algumas perguntas-chave relacionadas à segurança e tratamento dos dados, conforme exemplo:

• O terceirizado processará ou transmitirá dados pessoais como parte do serviço?
• O terceirazado apresenta práticas consonantes à LGPD, como processo de consentimento, privacidade e cibersegurança; demonstradas formalmente, como por exemplo, através de relatório de auditoria ou consultoria?

Essas e outras perguntas devem ser inseridas dentro da ferramenta de gestão de riscos de terceiros (TPRM) da organização. Ferramentas do tipo TPRM se baseiam em um processo de risco, onde são atribuídas pontuações às perguntas, de forma a permitir a classificação do terceirizado quanto à sua criticidade para o negócio. Com base no nível de criticidade, as organizações podem estabelecer o nível adequado de intensidade de diligência devida (due diligence) necessária e evitar a aplicação do mesmo nível de intensidade para todos os terceiros, algo que seria inviável e/ou ineficaz do ponto de vista do gerenciamento de riscos e do esforço a ser desprendido por parte das empresas.

Uma vez classificados, os terceirizados devem ser monitorados e auditados regularmente e os resultados avaliados para checar se houve mudanças que levem a alteração de suas classificações atuais.

O nível de maturidade em Data Privacy dos processos organizacionais das empresas também é um fator crítico para o sucesso do gerenciamento de risco de privacidade de terceiros, pois lhes possibilitará identificar controles existentes em seus processos internos e por sua vez, estes controles poderão apoiar na mitigação dos riscos sobre as informações que serão compartilhadas com eles.

Quando o risco do terceirizado for alto e, ainda assim, a contratação ou manutenção deste for vital para o sucesso da organização, ela poderá desenvolver um pacote padrão de controles de privacidade, bem como incrementar esse pacote com outros controles, como de cibersegurança e seguro sobre incidentes envolvendo privacidade de dados.

Com a entrada da LGPD, proteger dados pessoais no âmbito de terceiros, além de em seu próprio ambiente, passará a ser, não só um risco de segurança, mas também um risco legal relacionado a privacidade de dados. As organizações devem assegurar a existência desse tema em seu processo de gestão de riscos de terceiros como parte do processo global de risco corporativo.

Fonte: LEI Nº 13.709, DE 14 DE AGOSTO DE 2018