Pontos de atenção da LGPD para o Supply Chain

A cada dia que passa, as empresas estão mais perto de serem submetidas à nova Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto deste ano. E, quando se trata dela, todos os setores devem ficar atentos, inclusive o Supply Chain. O ditado popular ‘cada macaco no seu galho’ deve ser deixado de lado quando se trata dessa norma na cadeia de fornecedores. Pelo contrário: estão todos no mesmo barco. Empresas com fornecedores que não seguirem a lei também poderão ser punidas. Isso porque quando a informação é solicitada, quem solicita se torna controlador daquele dado.

 

Assim, existem diferentes cuidados a serem tomados para fugir de imprevistos com fornecedores quando se trata da LGPD:

1)Questionamento, de maneira objetiva, das práticas para proteção de dados pessoais;

2)Aplicação de questionários para saber quais controles os fornecedores possuem;

3)Realizar verificações para saber se o que foi prometido em contrato é expresso no questionário e se realmente está sendo feito;

4)Realizar testes de invasão ou auditorias para auxiliar a empresa e saber se os controles são efetivos.

 

Além dos cuidados com a cadeia de fornecedores, um protocolo a ser seguido pela empresa inteira é a cyber segurança. Não existem barreiras na internet, e isso pode ser interpretado tanto para o bem quanto para o mal. É possível que se inicie a prática da “extorsão de LGPD”, que constitui na ameaça da divulgação de dados de empresas obtidos por hackers antes da lei passar a valer e que, a partir do momento que ela entra em vigor, os criminosos solicitariam uma quantia de dinheiro (normalmente em moedas virtuais, como o bitcoin) em troca da não divulgação ou venda de informações pessoais para terceiros.

Segundo um estudo da consultoria de tecnologia Juniper Research, haverá um aumento de mais de 170% em ataques cibernéticos nos próximos cinco anos.

É preciso olhar sob dois aspectos: a verificação dos controles internos e de controle de proteção de fora para dentro. Então, de dentro, as áreas de TI e as áreas de segurança devem proteger de maneira adequada os perímetros da empresa e seus servidores, evitando que ameaças externas tenham acesso ao ambiente. Essa proteção nem sempre é total, até porque todos os dias surgem novas ameaças e essas áreas precisam reagir de maneira rápida.

Portanto, uma constante verificação da presença de vulnerabilidades é uma das técnicas utilizadas para atestar que o ambiente está protegido. Isso do ponto de vista da empresa. Entretanto, é bastante comum hackers e pessoas mal intencionadas tentarem utilizar um funcionário distraído para ganhar acesso a empresa através de dispositivos pessoais de colaboradores, usando meios como e-mails maliciosos ou acesso a sites. Por isso, o treinamento e a conscientização dos colaboradores são fundamentais.

Se as empresas seguirem todos esses protocolos e, ainda assim, acontecer um vazamento de dados ou algum descumprimento da lei é possível a verificação, por parte da Agência Reguladora da LGPD, da infração. Segundo a Dra. Andréa Mariano, da BRG Advogados, “ainda não se sabe como a ANPD vai tratar os casos de infração à LGPD e como dosará a penas previstas na lei, o que torna tudo muito incerto para os agentes de tratamento”.

Na Europa, se há um vazamento ou uma manipulação indevida de dados, a agência europeia vai analisar se a empresa tinha bons controles de segurança, capacitação e monitoramento e esses pontos podem ser atenuantes para multa ou até ser convertido apenas em uma advertência. Se a agência descobre que a empresa não tem bons controles, falta de treinamento e outros fatores, isso se torna um agravante que pode até aumentar o valor da multa.

A LGPD chegou e é muito importante que todos estejam preparados e adequados aos seus termos. Prevenir ainda é o melhor remédio!

FONTE: AMCHAM

Open chat
Precisa de ajuda?