LGPD e fornecedores: qual a relação e como cumprir a lei?

LGPD e fornecedores estão diretamente ligados quando o objetivo é garantir a proteção de dados e a conformidade legal na relação entre quem contrata e quem fornece abastecimento em uma supply chain.

A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes para o tratamento de informações pessoais que impactam não apenas as empresas que coletam e utilizam esses dados, mas também seus fornecedores.

Significa que todo o negócio precisa garantir que seus parceiros de abastecimento adotem práticas adequadas para proteger informações sensíveis, a fim de evitar diversos riscos, como vazamento de dados e penalidades legais que os órgãos reguladores podem aplicar, conforme o caso.

Para saber como proteger a sua empresa e a sua rede de abastecimento, siga a leitura deste artigo. Explicaremos a relação entre LGPD e fornecedores, como garantir o atendimento dessa lei e os impactos do não cumprimento no seu negócio.

O que é a LGPD?

A Lei Geral de Proteção de Dados (Lei 13.709, de 2018), que está em vigor desde setembro de 2020, é um marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil.

Bastante inspirada no General Data Protection Regulation (GDPR), legislação aprovada em 2018 na Europa, a lei brasileira exige o consentimento explícito para coleta e uso dos dados e obriga a oferta de opções para o usuário visualizar, corrigir e excluir essas informações a qualquer tempo.

Além de olhar para o consentimento dos dados, a LGPD proíbe o uso dos dados pessoais para a prática de discriminação ilícita ou abusiva.

No que se refere à relação entre LGPD e fornecedores, é crucial garantir que seus parceiros comerciais também estejam em conformidade com a legislação.

Para tal é preciso, por exemplo, inserir nos contratos cláusulas específicas sobre o tratamento de dados, além da implementação de medidas de segurança adequadas e a realização de auditorias para verificar o cumprimento das normas.

Como fornecedores muitas vezes acessam, armazenam e processam informações pessoais em nome da empresa que os contratou, qualquer falha na proteção desses dados pode resultar em sanções e comprometer a reputação de todos os envolvidos.

Dica! Assista a este webinar do Sebrae Santa Catarina que aborda em detalhes a LGPD e entenda melhor:

As consequências de descumprir a LGPD

Descumprir o determinado da LGPD pode gerar diversas consequências para as empresas, inclusive impactos financeiros, jurídicos e reputacionais. Estas são algumas das principais:

• multas e penalidades:

  • multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração;

  • advertências e exigências de adequação com prazos específicos;

  • proibição do tratamento de dados, o que tende a inviabilizar diversas operações;

• danos à reputação:

  • há a possibilidade de exposição pública da empresa infratora pela Autoridade Nacional de Proteção de Dados (ANPD);

  • perda de credibilidade perante clientes, parceiros de negócios, fornecedores e investidores;

  • diminuição da confiança do mercado;

  • queda no valor da marca;

• processos judiciais e indenizações:

  • as pessoas lesadas (tanto físicas quanto jurídicas) têm o direito de processar a empresa por danos morais e materiais caso tenham os dados expostos ou usados indevidamente;

  • possibilidade de ações coletivas movidas por consumidores ou entidades de defesa do consumidor;

• impedimento para novos negócios:

  • companhias que não estão em conformidade podem ser excluídas de contratos, principalmente multinacionais e órgãos públicos, que exigem parceiros pontualmente alinhados à LGPD;

  • dificuldades em expandir as atividades ou firmar parcerias internacionais devido às exigências de proteção de dados.

Significa, portanto, ignorar a LGPD compromete não só a parte financeira de uma companhia, mas também a imagem e a continuidade das operações.

Por esse motivo é essencial adotar medidas preventivas e garantir que todos que se relacionam com a empresa também estejam adequados à legislação. É justamente neste ponto que surge a relação entre LGPD e fornecedores.

Aproveite e leia também: “Proteção de dados de empresas: boas práticas para seguir”

O que a LGPD exige das empresas na relação com fornecedores?

Quanto ao relacionamento com os fornecedores, a LGPD exige diretrizes claras sobre como as empresas devem tratar dados pessoais umas às outras, e regras relacionadas a acesso, processamento e armazenamento de informações.

Estes são os princípios da Lei Geral de Proteção de Dados aplicáveis à gestão de fornecedores:

• finalidade e transparência: é obrigatório justificar o uso de dados pessoais compartilhados com fornecedores e garantir que os donos das informações saibam como é o tratamento. Essa prática inclui, por exemplo:

  • incluir cláusulas contratuais com detalhamento sobre o uso dos dados;

  • criar políticas de privacidade claras e direcionadas;

• segurança e prevenção: o contratante precisa garantir que os fornecedores protejam os dados pessoais contra acessos indevidos, fraudes e vazamentos, com medidas de proteção, como:

  • criptografia e controle de usuários de sistemas;

  • auditorias e due diligence;

• responsabilidade e prestação de contas: empresas podem ser responsabilizadas por falhas dos fornecedores que estão em sua rede de abastecimento. A fim de evitar esse tipo de transtorno, o indicado é, por exemplo:

  • inserir nos contratos penalidades em casos comprovados de descumprimento da lei;

  • exigir a apresentação periódica de relatórios com informações de proteção de dados.

Quais são os dados protegidos pela LGPD na gestão de fornecedores?

Estes são exemplos de dados protegidos pela LGPD na gestão de fornecedores:

• nome, CPF, RG, endereço residencial, telefone pessoal e e-mail dos representantes legais e funcionários de fornecedores;

• dados bancários vinculados a pessoas físicas;

• informações sensíveis relacionadas a contratos e negociações, como filiação a sindicatos.

Aqui, vale destacarmos a diferença entre dados pessoais e dados corporativos na LGPD. O primeiro grupo se refere a informações que identificam ou permitem identificar uma pessoa física, como nome, CPF, e-mail, telefone e endereço.

Já o segundo abrange informações sobre uma empresa, como CNPJ, razão social e endereço comercial, e não têm proteção pela LGPD, pois a lei abrange apenas dados de indivíduos.

No entanto, se um dado corporativo estiver associado a uma pessoa física — como um e-mail que leva o seu nome e sobrenome — pode ser considerado um dado pessoal e, neste caso, sujeito às regras da LGPD.

Erros comuns no tratamento dos dados de fornecedores

Apesar dessa diferenciação, na hora de relacionar LGPD e fornecedores é comum o cometimento de alguns erros gerenciais e de aplicação da lei, por exemplo:

• compartilhar dados pessoais sem justificativa ou consentimento;

• armazenar informações sem medidas de segurança adequadas;

• utilizar dados pessoais dos fornecedores para finalidades não autorizadas;

• não treinar colaboradores sobre a LGPD e boas práticas de proteção de dados;

• não ter um plano de resposta a incidentes de vazamento de dados.

Quanto a essas falhas, temos um artigo com dicas de como evitá-las. Confira: “Proteção de dados na homologação de fornecedores: 7 práticas”

O impacto da LGPD na gestão de compras e fornecedores

Nota-se o impacto da LGPD na gestão de compras e fornecedores no aumento dos riscos jurídicos, financeiros e reputacionais derivados do descumprimento da lei.

Ao não atender à Lei Geral de Proteção de Dados (LGPD) em processos de homologação e aquisição de produtos e serviços, por exemplo, a empresa está sujeita ao recebimento de sanções e penalidades, como multas e processos.

Além disso, não relacionar LGPD e fornecedores expõe o contratante a diversos problemas, como vazamentos de dados, uso indevido de informações e perda de credibilidade junto aos stakeholders.

A falta de medidas preventivas relacionadas à aplicação da lei também compromete a transparência nas relações comerciais e gera desconfiança entre clientes, parceiros, investidores e até mesmo outros fornecedores. Quando situações assim acontecem, há um reflexo negativo direto na reputação, imagem e potencial competitivo do negócio.

Não deixe de ler: “Segurança da informação na gestão de fornecedores é importante?”

LGPD e fornecedores: como reduzir os riscos?

Você entendeu a importância e o impacto da Lei Geral de Proteção de Dados, mas esse é apenas o começo! Confira, nos tópicos abaixo, o que fazer para reduzir os riscos que envolvem a relação entre LGPD e fornecedores.

Revisão de contratos de fornecedores

Se você tem uma empresa, trabalha com pelo menos um fornecedor. Esse parceiro pode ser um parceiro de longa data e de confiança, mas, e o contrato que firmaram? Por exemplo, abordaram a questão da LGPD com o fornecedor?

Revisite cada um dos contratos que assinou com os fornecedores, analise os documentos vigentes e dados que coletou para saber se sua empresa está resguardada de qualquer possível risco, ou se será necessário adicionar novas cláusulas, como algumas das dispostas no artigo 6º:

• finalidade legítima;

• adequação do tratamento à finalidade;

• transparência de informações aos titulares.

Adaptações em contratos para garantir segurança

Você avaliou os contratos e notou que não houve nenhuma menção às regras da LGPD nos documentos. Chegou o momento de trabalhar com afinco para se proteger de possíveis riscos.

Você pode começar as alterações com algumas cláusulas-padrão a serem utilizadas em todos os contratos vigentes e também nos futuros, como a autorização para coleta e tratamento dos dados, a finalidade legítima da empresa e outras gerais voltadas para o atendimento das determinações da LGPD dos fornecedores nos contratos.

Também é válido adicionar uma cláusula geral sobre o local de armazenamento e endereço da empresa, pois a lei se aplica em qualquer operação de coleta e tratamento que se realiza em território nacional.

Após a criação dessa “base contratual”, olhe para cada um dos fornecedores e personalize os documentos para atender às informações específicas de cada parceria.

Redefinição e expansão de processos internos

Atualizou todos os contratos e reforçou a LGPD com os fornecedores? Perfeito, mas seu trabalho ainda acabou.

Aqui está uma ótima oportunidade para avaliar e redefinir processos de gestão de contratos e controle de documentos, que muitas vezes são deixados de lado em comparação com outras prioridades.

Existem irregularidades que podem “respingar” nos contratantes, sejam fiscais, financeiras e até mesmo reputacionais. Por esse motivo, a homologação de fornecedores precisa prever esse assunto em seu processo.

De modo a evitar transtornos, as empresas de compliance e profissionais especializados em proteção de dados, como os DPOs (Data Protection Officer), ganham a atenção de empresários, já que têm o conhecimento necessário sobre, por exemplo, direitos do titular, da responsabilidade do controlador dos dados, do operador, do encarregado, transferência internacional.

Uma das empresas que pode ajudar você é a Linkana. Com nosso software, seu time de compras e procurement mitiga riscos na homologação de fornecedores, ao automatizar todo o processo de compliance e governança desses parceiros.

Automatize a emissão e análise de consultas públicas e integre sua matriz de risco com a ajuda de nossos robôs, e mantenha as atualizações em um só lugar.

Receba notificações sobre inconsistências e irregularidades nos prestadores de serviço e fornecedores monitorados a partir dos critérios que você definir, inclusive com questionários e perguntas relacionadas a tratamento e proteção de dados pessoais por fornecedores e prestadores.