No atual contexto dos ambientes de negócios, apenas implementarmos a adequação preliminar de conformidade à LGPD não é mais suficiente, aliás creio em verdade nunca ter sido. É preciso gerenciar e governar os riscos relativos não apenas, mas principalmente à proteção e privacidade de dados relativos às todas as partes envolvidas e interessadas. É o que podemos chamar de SRM ou Stakeholders Risk Management ou gerenciamento de riscos sobre todas as partes. Lidar com riscos de terceiros hoje, tornou-se um grande e primordial desafio à toda classe empresarial.

O que também conhecemos como First and Third Parties Management como componente fundamental de um Programa de Governança de Privacidade, mas aqui queremos abordar o Third Party Risk, ou seja, os riscos dos terceiros e/ou fornecedores componentes de nossa cadeia produtiva, classificados pela Lei como agentes de tratamentos de dados categorizados como operadores.

Na Lei Geral de Proteção de Dados, e agora como cláusula da Constituição Federal, temos a proteção e a privacidade de dados como direito fundamental de nossa sociedade, o que cestamente infere e impacta direta e dramaticamente as relações de consumo dos ambientes de negócios, sja B2C, seja B2B, etc…

A Lei também classifica os Agentes de Tratamentos de dados como, controladores e operadores, em uma abordagem simples, os controladores são os decisores sobre como será e deverá ser feito o tratamento de dados e seu compartilhamento,  e operadores os que tratarão os dados conforme os desígnios dos controladores.

E é exatamente nesta relação, geralmente comercial, de cliente-fornecedor onde residem grandes riscos à privacidade e cumprimento legal, uma vez que, geralmente, controladores tem ingerência sobre a prontidão de segurança e privacidade de seus operadores . E muito disso se deve as relações de negócios, muitas vezes distorcidas e de grande apetite de riscos por ambas as partes, comandada por interesses econômicos.

Mas agora temos em Lei a chamada responsabilidade solidária, seja subjetiva ou objetiva com ou sem direito de regresso, onde os controladores de alguma forma respondem por seus operadores em caso de um incidente de tratamento de dados materializado, podendo trazer  consequências bem mais amargas à ambos.

Portanto estabelecermos um Programa de Gerenciamento de Riscos de Terceiros, vai bem mais além do que apenas o cumprimento regulamentar e legal de uma ou mais regulações e legislações. É uma questão de sustentabilidade e de preservação e criação de valor

 

No atual ambiente de negócios, seja local ou global, nenhuma organização é uma ilha, pelo simples fato de podermos por condição de negócios, atender em nossa cadeia de negócio, direta ou indiretamente uma empresa de capacidade global.

Para competir nesse ambiente de negócios interconectado, necessitamos de um real processo gerenciamento de riscos internos e de terceiros que possibilite uma real condição de competitividade para a continuidade do negócio.

Especificamente para a proteção e privacidade de dados, cujo a ausência de um programa de gerenciamento de riscos eficaz, que possa trazer consequências muito indesejáveis, é condição primordial e imperativa dos controladores avaliarem e auditarem os riscos de seus operadores e em caso de descumprimento legal por parte destes, também avaliarem a possibilidade de cancelar os contratos de prestação de serviços sob justificativa de riscos persistentes à proteção e privacidade de dados. Mas somos sabedores do quão delicado é esta relação, que pode tornar-se muito danosa de uma hora para outra.

Portanto busquemos entender melhor este contexto para obtermos melhores e devidas condições, afinal não gerenciarmos riscos diretos e indiretos, sistêmicos e transversais, onde inserem-se os riscos cibernéticos e da informação,  pode se tornar a vida empresarial muito danosa.

Foi um enorme prazer encerramos o ano trazendo esta importante temática que envolve aspectos diversos e mais abrangentes. E se desejo for, poderemos ampliar mais os direcionamentos e demais questões envolvidas nesta especial disciplina.

Um abraços a todos e boas festas!

   

Vladimir B. Bidniuk
Consultor ESGRC – Cyber & Information Risks
Proteção e Privacidade de Dados – DPO – DPA