Os impactos da proteção de dados pessoais no processo de procurement
A contratação de fornecedores, seja para prestação de serviços, seja para a terceirização ou outsourcing de determinadas atividades dentro da empresa, é atividade comum e corriqueira no dia a dia do time de compras. Nesses processos, é importante que as áreas de compras representem um centro de lucro, não de custo.
Afinal, o objetivo principal de contratar fornecedores para desempenhar certas atividades ou entregar determinados produtos é ganhar eficiência interna, aumentando o valor da companhia, reduzindo custos e permitindo que os empregados estejam totalmente focados nas atividades principais desenvolvidas pelo negócio.
Vale lembrar que, seja em maior ou menor grau, um eventual problema com os fornecedores deste ecossistema pode impactar a qualidade do serviço ou produto contratado, podendo até inviabilizar o seu uso adequado. De acordo com uma pesquisa global de security attitude da CrowdStrike, ataques à cadeia de suprimentos tem se tornado cada vez mais comuns.
Os números de 2021 apontam que 77% dos respondentes passaram por alguma forma de ataque na rede de fornecedores, um aumento de 16% em relação aos dados de 2018. Da mesma forma, cresceu a porcentagem de empresas sofrendo ciberataques em seu ecossistema de fornecimento: de 32% em 2018, para 45% em 2021.
Por conta destes números, inclusive, a expectativa é de que ferramentas digitais contratadas possam se tornar as maiores ameaças de segurança das companhias.
Uma pesquisa da IBM, junto com a agência Ponemon, sobre o custo de vazamentos de dados, chegou a resultados semelhantes: um quinto de todos os vazamentos estudados foram originados no ecossistema de fornecedores, com um custo médio de USD 4.46 milhões.
Neste contexto, a área de compras deve estabelecer um processo cuidadoso para selecionar a composição da cadeia de fornecedores das empresas. Mais do que evitar riscos e contingências atrelados a possíveis ataques e ciberataques que os fornecedores possam vir a sofrer, o objetivo deve ser o de estabelecer relações cooperativas e colaborativas entre fornecedor e companhia contratante, para que ambas as partes sejam beneficiadas. Para tanto, implementar processos sólidos de contratação destes parceiros é fundamental.
O que é procurement?
Procurement é exatamente isso: um processo de diversas etapas visando observar o ciclo de compras como um todo, não apenas restrito às negociações de valor e realização de pagamentos. O processo de procurement, na verdade, começa quando a área de compras da companhia identifica — inclusive de forma proativa — uma necessidade ou vantagem da contratação de um fornecedor para alguma atividade desenvolvida pela empresa.
Entendida esta necessidade, deve ser feito o levantamento de eventuais requisitos técnicos necessários daquele produto ou serviço para realizar a seleção daqueles fornecedores que atendam às necessidades da empresa contratante. Nesta etapa, considerando todos os riscos associados à contratação de ferramentas e eventuais vazamentos de dados, pode ser interessante realizar uma due diligence dos fornecedores, como medida de mitigação de riscos de segurança.
Nesta operação, devem ser analisados o atendimento a requisitos específicos aplicáveis, como, por exemplo, de proteção de dados pessoais, de segurança da informação, fiscais e de integridade.
Homologado o fornecedor, a negociação de orçamentos viáveis é a etapa seguinte deste processo, seguido da contratação. Por fim, chegam as etapas de faturamento, pagamento e de acompanhamento — seja interno (entendo o grau de satisfação alcançado pelo fornecedor) ou externo (verificando se a prestação de serviços ou produtos caminhou conforme o acordado entre as partes).
Esta gestão do processo de procurement pode se valer de ferramentas de suporte para agilizar cada uma destas etapas, como, por exemplo, uma ferramenta de abertura de tickets, de governança de fornecedores e de assinatura eletrônica de documentos.
O impacto da proteção de dados no processo de procurement
Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o procurement e, especificamente, a etapa de due diligence ganharam uma camada adicional de complexidade. Isso porque, a governança sobre os dados exigida pela LGPD impõe que as responsabilidades dos atores envolvidos na cadeia de tratamento de dados pessoais seja determinada e informada ao titular.
Além disso, em certos tipos de relação, um dos agentes pode eventualmente responder por ações cometidas por seus fornecedores. Em outras palavras, há novos riscos associados aos dados pessoais a gerenciar que envolvem a relação com os fornecedores.
Logo, tornou-se fundamental repensar a relação com fornecedores que entregam, recebem e armazenam dados pessoais. Uma vez que estes riscos de privacidade são potenciais custos para a empresa, sua mitigação é também uma forma da área de compras, junta da área de privacidade, entregar valor para a companhia.
Este gerenciamento impõe três etapas ao processo de compras:
- compreender como se darão as operações de tratamento entre as partes, para definir as obrigações aplicáveis ao fornecedor;
- avaliar o grau de maturidade do programa de privacidade dos fornecedores, tendo em vista tais obrigações;
- definir as responsabilidades contratualmente, através de um acordo de tratamento de dados.
As três etapas podem ser alocadas no processo de procurement, durante o levantamento de requisitos técnicos essenciais para os fornecedores e a contratação, respectivamente.
Fluxo de dados pessoais no ecossistema de fornecedores
O pontapé deste processo é compreender, a partir da atividade operacional da qual o fornecedor fará parte, o fluxo dos dados pessoais entre as partes e o papel desempenhado por cada uma. Esta análise permitirá identificar as obrigações aplicáveis às partes e o arranjo jurídico adequado. Ou seja, se a relação estabelecida é entre controlador e operador; operador e suboperador; controladores conjuntos ou independentes.
A empresa começar a avaliação a partir dos critérios para identificar o controlador dos dados, conforme o Guia Orientativo para Definições dos Agentes de Tratamento da Autoridade Nacional de Proteção de Dados Pessoais (ANPD):
- Quem determina a natureza dos dados pessoais tratados?
- Quem definirá as formas e as finalidades das atividades de tratamento com dados pessoais?
- Quem determina a duração do tratamento?
Além disso, é importante entender quão importante é aquela atividade operacional para a empresa. Por exemplo, um fornecedor que trata dados pessoais e participa diretamente dos produtos ofertados por uma companhia pode ser considerado mais crítico, em termos de privacidade, do que uma consultoria jurídica, que trata dados pessoais apenas em operações pontuais.
A due diligence e a homologação de fornecedores
A due diligence de fornecedores possui um papel fundamental no processo de procurement. Os requisitos analisados fornecem à parte contratante um raio x sobre a maturidade dos controles internos do fornecedor e, consequentemente, do nível de risco que este fornecedor pode trazer ao negócio.
Além disso, o processo em si é uma forma da empresa comprovar accountability, ou seja, criar evidências de que buscou identificar quais as possíveis falhas ou lacunas do fornecedor, antes de sua contratação. Caso o fornecedor atenda aos critérios considerados mínimos pelo contratante, poderá ser considerado homologado após a due diligence.
O primeiro passo para estruturar uma due diligence eficaz é definir qual o framework aplicável — ou seja, as normas, legislações e boas práticas às quais a empresa se submete. deve-se determinar quais são as legislações de privacidade aplicáveis ao negócio. Caso a empresa tenha atividades em outros países, poderá ser aplicável, além da LGPD, outra legislação ou normas de proteção de dados.
Definido o framework aplicável e a partir dos outputs da etapa anterior, em que se definiu o arranjo das posições de agentes de tratamento, poderão ser estabelecidas as obrigações de proteção de dados aplicáveis ao fornecedor em questão.
Podem ser feitos modelos predefinidos de obrigações para operadores e suboperadores, para controladores conjuntos e controladores independentes. A partir desta lista de obrigações aplicáveis, é necessário elaborar um mapa de calor e uma matriz de risco, que leve em conta o potencial dano (tanto para a empresa, quanto para clientes e titulares) que o não cumprimento do requisito gera, em termos de probabilidade e impacto.
Por exemplo, verificar na due diligence se o fornecedor realiza transferência internacional de dados e, em caso positivo, qual a hipótese que a autoriza. Caso o fornecedor aponte haver transferência, mas não a fundamente em um dos instrumentos do art. 33 da LGPD, cria-se um dano em potencial para a empresa contratante - qual seja, de descumprimento de uma obrigação legal.
O nível de probabilidade do dano pode ser considerado médio, já que a ANPD ainda não estabeleceu uma regulamentação específica sobre transferência, mas, ainda assim, o impacto do descumprimento legal pode ser alto.
Para cada um dos requisitos analisados, deve ser feito o exercício de refletir sobre os danos potenciais, sua probabilidade de ocorrer e seu impacto, caso ocorra.
Vale dizer que a due diligence não precisa, nem deve, se limitar a questões de privacidade. O questionário pode conter também questões fiscais, de integridade e de segurança da informação, por exemplo. Basta que a matriz de risco de todas as áreas seja homogênea, para que, ao final, o risco global do fornecedor seja identificado e considerado.
A depender da complexidade do processo de homologação de fornecedores — como a quantidade de fornecedores ativos e a diversidade das questões aplicáveis — vale a pena considerar o uso de alguma ferramenta que, de forma automática, calcule o risco do fornecedor a partir do questionário.
Independente da forma que esta due diligence será realizada, as respostas destes questionários devem colaborar, junto do orçamento levantado, para a escolha do melhor fornecedor. Um fornecedor que participa de uma atividade operacional crítica da empresa e que seja um pouco mais caro que os demais pode valer a pena se seu risco for menor.
É recomendável que esta avaliação seja refeita periodicamente, a depender do nível de criticidade daquele fornecedor para a companhia contratante. Isso permite à empresa entender a evolução e atualização dos controles do fornecedor através do tempo, o que pode refletir no preço do serviço (por exemplo, caso o risco aumente, a contratante poderia solicitar um desconto ou renegociar o preço do serviço) ou, até mesmo, na troca da empresa fornecedora.
A contratação do fornecedor e as cláusulas de proteção de dados pessoais
A terceira etapa do processo de procurement impactada pelas legislações de privacidade é a negociação do contrato com o fornecedor. Isso porque as obrigações e responsabilidades do fornecedores em relação aos dados pessoais precisam estar formalmente estabelecidas, tanto como forma de mitigação de eventuais riscos encontrados na due diligence, quanto como forma de accountability e prestação de contas.
Estas cláusulas de privacidade podem ser mais simples ou complexas, a depender da criticidade do fornecedor e do nível de risco encontrado. Além disso, podem estar em um modelo padrão de contrato com fornecedores ou em um contrato autônomo, como um Acordo de Tratamento de Dados Pessoais.
Em geral, um bom contrato de privacidade possui pelo menos os seguintes temas:
- obrigações das partes (cumprir o acordo, a legislação e, eventualmente, alguma política de privacidade de fornecedores)
- posições dos agentes de tratamento (seguindo as diretrizes da própria ANPD);
- se o fornecedor pode ou não compartilhar dados pessoais com terceiros (ou seja, com seu próprio ecossistema de fornecimento) e quais os requisitos para este compartilhamento;
- transferência internacional de dados pessoais e necessidade de se definir a hipótese que legitima esta atividade, conforme art. 33 da LGPD;
- hipóteses em que deve ser feita a exclusão de dados pessoais (como término do contrato ou solicitação de titulares);
- segurança dos dados pessoais;
- incidentes com dados pessoais, determinando um prazo máximo para notificação do contratante;
- direitos dos titulares e qual das partes deverá atendê-los, inclusive definindo um processo para notificação da outra parte, se for o caso;
- responsabilidade e indenização.
A Clicksign pode te ajudar na otimização de processos documentais e na gestão dos contratos. Conheça nossas funcionalidades e planos e teste gratuitamente por 14 dias, sem necessidade de cartão de crédito!