top of page
Foto do escritorFabíola Grimaldi

Em uma época onde os dados se tornaram o novo "ouro", a adequação às normas de proteção de dados é mais do que uma formalidade; é uma questão de sobrevivência empresarial. O rigor do compliance se entrelaça de forma cada vez mais complexa com a gestão estratégica de fornecedores, principalmente no cenário pós-LGPD (Lei Geral de Proteção de Dados).

Este artigo aborda como os princípios da Due Diligence proporcional, quando aplicados ao mapeamento e à classificação de fornecedores, podem ser um divisor de águas na cultura de conformidade e gestão de riscos de uma empresa. Além disso, lançamos luz sobre o papel indispensável de uma abordagem jurídica especializada para navegar neste cenário multifacetado.

Embora a transformação digital tenha trazido inúmeras oportunidades para as empresas se tornarem mais eficientes e competitivas, ela também desencadeou uma série de desafios complexos na gestão de fornecedores. O gerenciamento eficiente desses parceiros de negócios requer uma visão holística que vá além do simples cumprimento de regulamentos.
Com isso em mente, exploraremos os seguintes pilares: o que constitui o mapeamento de fornecedores, por que a classificação e a avaliação de riscos são vitais, como implementar uma Due Diligence proporcional e, por último, mas não menos importante, por que um olhar jurídico especializado é crucial nesse ecossistema.

Espero que este artigo ofereça insights valiosos para quem busca alinhar suas estratégias de gestão de fornecedores com as exigências da LGPD e outras regulamentações pertinentes.

Mapeamento na Era da LGPD: Gestão de Fornecedores

- O que é Mapeamento LGPD?
O mapeamento LGPD não é apenas um requisito legal, mas também um imperativo estratégico para organizações que tratam dados pessoais. O objetivo é identificar e documentar como os dados pessoais fluem dentro da organização, desde a coleta até o armazenamento, processamento e eventual exclusão ou transferência para terceiros. Isso abrange não apenas dados de clientes, mas também informações de empregados, parceiros e outras partes interessadas. O mapeamento auxilia na compreensão das lacunas de conformidade e na definição de políticas de governança de dados eficazes.

- O que é Mapeamento dos Fornecedores que Tratam Dados Pessoais?
Esse mapeamento é uma extensão do mapeamento LGPD interno e foca nos terceiros ou fornecedores que têm acesso a dados pessoais sob a custódia da organização. Este mapeamento envolve listar todos os fornecedores que tocam em algum ponto do ciclo de vida dos dados, especificando o tipo de dados que eles tratam, o propósito do tratamento, e os mecanismos de segurança e conformidade em vigor. Além de identificar os fornecedores, é crucial avaliar o nível de risco associado a cada um, que pode variar dependendo da natureza dos dados tratados e da complexidade das operações envolvidas.

Mapeamento é o processo de criação de um diagrama visual ou lista relacional que detalha todas as partes de um sistema e como elas interagem. No contexto empresarial, mapeamento de fornecedores envolve identificar e listar todas as entidades que fornecem bens ou serviços para uma empresa, bem como detalhar o tipo e a natureza da relação com cada um desses fornecedores.

- Por que a Conformidade com a LGPD é Fundamental para Incluir Mapeamento dos Fornecedores?
Incluir fornecedores no seu mapeamento LGPD é vital por várias razões. Primeiramente, a LGPD atribui responsabilidade não apenas ao controlador dos dados, mas também ao operador, ou seja, qualquer fornecedor que trate dados em nome do controlador. Isso significa que qualquer falha de conformidade por parte do fornecedor pode resultar em penalidades para a empresa contratante.

Segundo, a complexidade e a natureza interconectada dos ecossistemas empresariais modernos tornam quase inevitável que dados pessoais sejam compartilhados com fornecedores para várias finalidades, como processamento de pagamentos, serviços de nuvem, marketing, entre outros. Sem um mapeamento de fornecedores robusto, é quase impossível ter uma visão clara dos riscos e vulnerabilidades associadas a essas transferências de dados.

Terceiro, o mapeamento de fornecedores que tratam dados pessoais ajuda na realização de Due Diligence eficaz e na gestão de contratos. Com este conhecimento em mãos, as organizações podem implementar cláusulas contratuais específicas relacionadas à proteção de dados, realizar auditorias regulares e garantir que os fornecedores estejam alinhados com as práticas de conformidade da empresa.

Em suma, para estar verdadeiramente em conformidade com a LGPD, é fundamental que o mapeamento de fornecedores seja parte integrante da estratégia global de governança de dados. Isso não apenas mitiga riscos, mas também serve como um facilitador para uma gestão de dados mais eficiente e estratégica.

A Importância da Classificação e Avaliação de Fornecedores
A classificação e avaliação dos fornecedores constituem a fase posterior ao mapeamento. Classificar fornecedores por categorias de risco ou importância estratégica permite às empresas alocar recursos e atenção de maneira mais eficaz. Avaliar os fornecedores em termos de conformidade regulatória, saúde financeira, e outros fatores, oferece uma base para decisões mais informadas e minimiza os riscos associados à terceirização.

O que é Due Diligence e a Necessidade de Proporcionalidade
Due Diligence é um termo jurídico que se refere ao nível de julgamento, cuidado, prudência, determinação e atividade que uma pessoa esperaria exercer em circunstâncias específicas. Aplicada ao contexto de fornecedores, trata-se de um processo sistemático para avaliar a capacidade e conformidade do fornecedor em cumprir com as obrigações contratuais, legais e regulamentares.

A aplicação do princípio da proporcionalidade neste cenário significa que o nível de Due Diligence deve ser correlato ao nível de risco ou impacto que o fornecedor tem sobre a empresa. Isso otimiza o uso de recursos e direciona esforços para as áreas de maior impacto ou vulnerabilidade.

Que tal um exemplo prático:
Em um hospital, por exemplo, o fornecedor do software de prontuários eletrônicos tem um impacto direto na privacidade dos pacientes e deve ser submetido a uma Due Diligence rigorosa. Já o fornecedor que provê materiais de escritório pode não exigir o mesmo nível de investigação.

A Diferença que Faz a Diferença
A complexidade das leis de proteção de dados, somada às constantes atualizações e à intersecção com outras legislações, torna imprescindível a inclusão de um olhar jurídico especializado na avaliação dos fornecedores. Este não é apenas um exercício de conformidade, mas também um de mitigação de riscos legais que podem afetar a saúde financeira e reputacional da empresa.

Documentos contratuais, cláusulas de conformidade e termos legais são apenas a ponta do iceberg. Um olhar jurídico especializado vai além da mera conformidade com a LGPD, analisando também como outras legislações relacionadas à atividade empresarial podem afetar a relação com o fornecedor.

O apoio jurídico especializado pode identificar nuances que vão além da LGPD, abrangendo outras legislações e normativas que podem ser relevantes, dependendo da natureza da atividade empresarial.

Conclusão e Recomendações
O mapeamento de fornecedores, seguido de uma classificação e avaliação criteriosa, cria uma base sólida para o processo de Due Diligence.

A Due Diligence de fornecedores na era da LGPD é um processo multifacetado que vai muito além de uma mera "lista de verificação". Requer um mapeamento estratégico, uma avaliação proporcional de riscos e, crucialmente, um olhar jurídico afinado e atualizado.

A Due Diligence de fornecedores sob a LGPD é uma questão delicada que exige um equilíbrio entre rigor e pragmatismo. O princípio da proporcionalidade serve como um guia eficaz neste cenário, permitindo que as empresas ajustem seu escopo de investigação de acordo com os riscos específicos associados a cada fornecedor. Por fim, para garantir uma abordagem verdadeiramente robusta e sustentável, a contratação de uma empresa jurídica terceirizada para essa avaliação é altamente recomendável.

A inclusão de um olhar jurídico especializado neste processo eleva a estratégia de gerenciamento de fornecedores a um novo patamar, assegurando não apenas a conformidade, mas também a resiliência e sustentabilidade da empresa no cenário atual de complexidade regulatória e riscos empresariais.

Neste contexto, a recomendação mais forte seria a contratação de uma empresa jurídica terceirizada especializada na área de proteção de dados e conformidade. Tal parceiro não apenas trará uma profundidade de conhecimento na LGPD, mas também proporcionará um diálogo informado com outras legislações aplicáveis, gerando assim uma abordagem de conformidade mais holística e robusta.

Em última análise, o objetivo não é apenas estar em conformidade com a LGPD, mas criar um ambiente de negócios que seja sustentável, ético e preparado para os desafios de um mundo cada vez mais digital e interconectado.

Assista Vídeo:




コメント


bottom of page