São Paulo Webinar • Comissões
Desafios e estratégias na implementação da LGPD na gestão de fornecedores
Webinar organizado pela Comissão Legal da CCIFB-SP aborda estratégias cruciais para segurança de dados e sustentabilidade nos negócios
Gerir os riscos relacionados à legislação de proteção de dados pessoais com fornecedores requer uma abordagem abrangente e contínua. A Comissão Legal da CCIFB de São Paulo realizou, no dia 28 de junho, o webinar "LGPD e Gestão de Fornecedores". O evento destacou os desafios enfrentados na implementação da Lei Geral de Proteção de Dados (LGPD) na gestão de dados pessoais de fornecedores. Os palestrantes foram Denise Lima, Head de Proteção de Dados do Grupo CPFL, e os advogados Iara Peixoto Melo (responsável também pela mediação) e Fernando Antônio Santiago Junior, do Chenut Advogados. O líder da Comissão é Philippe Boutaud-Sanz.
Conhecer a capacidade dos fornecedores em proteger dados pessoais, bem como seu histórico de conformidade e práticas de segurança, pode fazer a diferença para qualquer negócio. Atualmente, uma das maiores preocupações é a proteção de dados de clientes e fornecedores, porque são, afinal, a essência do negócio. Ao firmar contratos, portanto, a empresa deve cuidar para que sejam incorporadas cláusulas específicas que delineiem responsabilidades e obrigações de conformidade com a legislação, como a LGPD. Monitorar regularmente o cumprimento contratual e legal dos fornecedores através de auditorias e avaliações de conformidade é fundamental para mitigar riscos. Além disso, promover programas de treinamento em proteção de dados, estabelecer planos de resposta a incidentes e implementar tecnologias de segurança robustas são medidas adicionais cruciais para proteger não apenas dados pessoais, mas todos os dados corporativos, garantindo assim a sustentabilidade e o sucesso dos negócios.
A evolução das leis de privacidade globalmente está cada vez mais centrada não apenas na proteção de dados pessoais, mas também na organização e na segurança de todos os dados geridos pelas empresas. Este novo foco é percebido como uma oportunidade para transformar a maneira como os dados são percebidos e utilizados nas empresas. Santiago Junior destacou a importância da qualidade dos dados, revelando que uma parte substancial dos dados em circulação é redundante, obsoleta ou trivial (ROT), o que limita seu valor para tomada de decisões empresariais. “A gestão adequada dos dados não se restringe apenas às empresas que os coletam, mas também aos seus fornecedores e parceiros, todos responsáveis pela segurança e conformidade legal dos dados que manuseiam. Encontrar um equilíbrio que assegure tanto a proteção dos dados quanto a viabilidade operacional é essencial, especialmente na busca por conformidade com padrões de segurança como a ISO 27001”, afirma. Uma abordagem integrada e abrangente para gerenciamento de dados e conformidade legal é, portanto, crucial para assegurar a segurança dos dados ao longo de toda a cadeia de fornecedores com os quais a empresa lida.
O palestrante destacou, ainda, a complexidade da responsabilização solidária do operador segundo a LGPD, destacando desafios práticos na implementação de normas e na gestão de incidentes de vazamento de dados. Ele também abordou a variabilidade das cláusulas contratuais de proteção de dados e os desafios enfrentados em incidentes envolvendo fornecedores, o que pode ser atenuado com cláusulas contratuais claras.
Iara Peixoto Melo enfatizou as complicações e os custos muitas vezes subestimados associados aos incidentes cibernéticos: "Nunca é barato um incidente, mesmo que inicialmente não envolva um impacto financeiro direto significativo. A simples comunicação com os titulares de dados afetados já implica custos substanciais, desde o envio de e-mails até consultas forenses e jurídicas.” A especialista ressalta que muitos contratos, apesar de terem valores aparentemente baixos, podem ocultar riscos enormes, especialmente em termos de proteção de dados. É essencial, portanto, focar não apenas na cláusula contratual, mas na sua eficácia e adequação. Uma abordagem colaborativa com fornecedores pode ser mais eficiente do que uma postura de confronto, ajudando a mitigar riscos e garantir segurança nas relações comerciais. “Devemos encarar a gestão de riscos cibernéticos com a mesma seriedade que dedicamos aos processos internos, mantendo vigilância contínua e evitando complacência”, acrescenta.
Denise Lima, reconhecida por seu trabalho como GPO no Brasil, compartilhou impressões sobre os desafios que a conformidade impõe aos fornecedores. Segundo ela, a falta de maturidade em proteção de dados entre fornecedores médios e pequenos contrasta com empresas maiores que já adotaram práticas robustas de segurança da informação. “Nesses casos, é importante orientar e educar fornecedores sobre privacidade de dados para mitigar riscos e garantir uma colaboração eficaz”, afirma. “Em determinados lugares, o fornecedor é pequeno e não tem capital para investir em privacidade de segurança. E aí vem toda a importância de conhecer o fornecedor, de ter diálogo, de trabalhar em conjunto e auxiliar no que for preciso”, acrescenta. , acrescenta.
Para Santiago Junior, "entender o contexto de negócio e a importância dos dados para a operação é essencial para ajustes que evitem exposições no mercado". O convidado exemplificou casos em que a colaboração resultou na adequação de empresas às regulamentações como LGPD e GDPR, enfatizando a necessidade de auxiliar os fornecedores a elevarem seus padrões de conformidade para evitar riscos e promover o desenvolvimento dos negócios envolvidos. O advogado comentou também sobre o ciclo de vida dos dados, cujos desafios, que iniciam na fase de coleta, vão se intensificando à medida que os dados são replicados sem medidas de segurança adequadas. O problema se agrava quando há compartilhamento sem os devidos cuidados, seguido pelo armazenamento em locais diversos e muitas vezes não seguros. Para garantir um ambiente seguro para compartilhamento e trabalho com dados, afirma, “é fundamental que o mercado promova a educação e o desenvolvimento dos fornecedores para que adotem tecnologias adequadas, incentivando assim uma cultura de segurança e conformidade desde o início do ciclo de vida dos dados”.
Ao discutir sobre a importância do seguro cibernético para empresas, Denise destaca que ele não deve ser visto apenas como um custo elevado, mas sim como um investimento necessário diante dos riscos cada vez maiores associados à segurança da informação. "O seguro cibernético é crucial para proteger o negócio contra possíveis danos de segurança, sendo um diferencial competitivo importante no mercado atual", resume a convidada.
Assista o webinar na íntegra: