Índice do artigo
A LGPD em Contratos e Procurement
Desde a sua criação e depois na prática há aproximadamente 18 meses, a LGPD ou GDPR (em inglês), na Europa – o regime de proteção de dados da UE – alterou inevitavelmente o paradigma no tratamento de dados pessoais relativos a contratos públicos e também privados.
Os organismos públicos e as Empresas em suas interações e com os fornecedores têm agora responsabilidades acrescidas para proteger verdadeiramente os dados pessoais de um indivíduo, dada a importância do cumprimento da LGPD ou GDPR em matéria de contratos e relacionamento com os Fornecedores que não deve ser subestimada.
Começando pelo começo, muitos contratos exigem que o fornecedor processe dados pessoais para a entidade adquirente.
Durante todo o processo de adjudicação, a Entidade de adjudicação será considerado como o “controlador” no âmbito da LGPD. De acordo com a LGPD, o responsável pelo tratamento determina a finalidade e os meios de processamento dos dados pessoais.
Como tal, o fornecedor atuará como o “processador” da Entidade adquirente, o que requer o esclarecimento de cada caso individual com base no objeto de aquisição e que tipo de dados pessoais requer processamento.
Será dizer que uma aquisição de serviços de armazenamento em nuvem por exemplo, colocará maiores exigências à exatidão quando comparada com um contrato que só pode armazenar dados do contato.
Entretanto, uma vez que a LGPD abrangendo todo o processamento de dados pessoais, isto significa que a proteção de dados pessoais será uma questão independentemente da complexidade do Procurement.
A LGPD exige que os documentos estabeleçam claramente a relação entre a Entidade adquirente e o fornecedor.
É também necessária uma clara distribuição de responsabilidades para estabelecer qual a parte que executa o quê em relação aos dados pessoais – como numa matriz RASCI validada pelas partes onde o Comprador e o fornecedor são ambos controladores.
Isto deve ser identificado e avaliado no pré-estudo e antes da realização de um Sourcing.
Se o fornecedor for considerado como o processador, o fornecedor tem a responsabilidade de assegurar que, por exemplo, que sejam tomadas as medidas técnicas e operacionais adequadas para manter o nível de segurança dos dados pessoais processados.
A cadeia de fornecedores do fornecedor.
Se o fornecedor utilizar dados de terceiros para executar o contrato, será necessário realizar a devida diligência a estes e a todos os fornecedores terceirizados.
É da responsabilidade do responsável pelo tratamento assegurar que quaisquer dos terceiros que processem dados pessoais tenham implementado os processos adequados e a segurança para assegurar a proteção adequada.
Se o organismo adquirente suspeitar que um fornecedor não pode cumprir os requisitos da LGPD, torna-se então necessário encontrar fornecedores alternativos que possam assegurar o cumprimento da mesma.
Então, quais são os riscos?
Multas e Multas podem ser aplicadas entre outras Sanções.
Na Europa pode se chegar a 20 milhões de euros ou quatro por cento do volume de negócios anual global da empresa.
Para infrações menos graves, aplica-se um montante máximo de 10 milhões de euros ou dois por cento das vendas anuais globais de uma empresa.
O montante da penalidade depende da infracção e das circunstâncias de cada caso individual, especificamente:
- A gravidade da infração;
- O montante dos danos;
- Se os dados pessoais são sensíveis, e;
- Se a infracção é intencional.
Apenas na Suécia existem 200 relatórios atualmente.
E mais recentemente, uma escola foi sancionada e recebeu uma penalização de aproximadamente 20.000 euros devido à manutenção de um sistema de reconhecimento facial que regista a frequência diária dos estudantes.
A escola está recorrendo na justiça quanto a este Processo.
Procure saber mais sobre a LGPD – Veja a Lei Brasileira – A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.
Fontes = Lexology e Procurement Garage
Mais de 30 anos de experiência sendo Head de Suprimentos na AmBev/AB-InBev, P&G (Consumer Goods), B. Braun (Farma) e LATAM Head of Supply Chain Planning & Performance na BP (British Petroleum).
Graduado em comércio exterior, extensão pela Columbia University e MIT ACE Program.