A LGPD EM CONTRATOS E PROCUREMENT (o exemplo Europeu)

Desde a sua criação e depois na prática há aproximadamente 18 meses, a LGPD ou GDPR (em inglês), na Europa - o regime de proteção de dados da UE - alterou inevitavelmente o paradigma no tratamento de dados pessoais relativos a contratos públicos e também privados. Os organismos públicos e as Empresas em suas interações e com os fornecedores têm agora responsabilidades acrescidas para proteger verdadeiramente os dados pessoais de um indivíduo, dada a importância do cumprimento da LGPD ou GDPR em matéria de contratos e relacionamento com os Fornecedores que não deve ser subestimada.

Começando pelo começo, muitos contratos exigem que o fornecedor processe dados pessoais para a entidade adquirente. Durante todo o processo de adjudicação, a Entidade de adjudicação será considerado como o "controlador" no âmbito da LGPD. De acordo com a LGPD, o responsável pelo tratamento determina a finalidade e os meios de processamento dos dados pessoais. Como tal, o fornecedor atuará como o "processador" da Entidade adquirente, o que requer o esclarecimento de cada caso individual com base no objeto de aquisição e que tipo de dados pessoais requer processamento. Será dizer que uma aquisição de serviços de armazenamento em nuvem por exemplo, colocará maiores exigências à exatidão quando comparada com um contrato que só pode armazenar dados do contato. Entretanto, uma vez que a LGPD abrangendo todo o processamento de dados pessoais, isto significa que a proteção de dados pessoais será uma questão independentemente da complexidade do Procurement.

A LGPD exige que os documentos estabeleçam claramente a relação entre a Entidade adquirente e o fornecedor. É também necessária uma clara distribuição de responsabilidades para estabelecer qual a parte que executa o quê em relação aos dados pessoais - como numa matriz RASCI validada pelas partes onde o Comprador e o fornecedor são ambos controladores. Isto deve ser identificado e avaliado no pré-estudo e antes da realização de um Sourcing

Se o fornecedor for considerado como o processador, o fornecedor tem a responsabilidade de assegurar que, por exemplo, que sejam tomadas as medidas técnicas e operacionais adequadas para manter o nível de segurança dos dados pessoais processados.

A cadeia de fornecedores do fornecedor.

Se o fornecedor utilizar dados de terceiros para executar o contrato, será necessário realizar a devida diligência a estes e a todos os fornecedores terceirizados. É da responsabilidade do responsável pelo tratamento assegurar que quaisquer dos terceiros que processem dados pessoais tenham implementado os processos adequados e a segurança para assegurar a proteção adequada. Se o organismo adquirente suspeitar que um fornecedor não pode cumprir os requisitos da LGPD, torna-se então necessário encontrar fornecedores alternativos que possam assegurar o cumprimento da mesma.

Então, quais são os riscos?

Multas e Multas podem ser aplicadas entre outras Sanções.

Na Europa pode se chegar a 20 milhões de euros ou quatro por cento do volume de negócios anual global da empresa. Para infracções menos graves, aplica-se um montante máximo de 10 milhões de euros ou dois por cento das vendas anuais globais de uma empresa. O montante da penalidade depende da infracção e das circunstâncias de cada caso individual, especificamente

(1) A gravidade da infração,

(2) O montante dos danos,

(3) Se os dados pessoais são sensíveis, e

(4) se a infracção é intencional.

Apenas na Suécia existem 200 relatórios atualmente. E mais recentemente, uma escola foi sancionada e recebeu uma penalização de aproximadamente 20.000 euros devido à manutenção de um sistema de reconhecimento facial que regista a frequência diária dos estudantes. A escola está recorrendo na justiça quanto a este Processo.

Procure saber mais sobre a LGPD - Veja a Lei Brasileira - A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.

Fontes = Lexology e Procurement Garage