Uma universidade encaminha os dados da folha de pagamento de seus professores para a contabilidade. Para uma excursão ao museu, a secretaria de uma escola envia à empresa de transporte os dados dos alunos que irão no passeio. O professor lança as notas do estudante no “Portal do Aluno”/Moodle.
O que esses exemplos têm em comum?
Em todos os casos há o compartilhamento de dados pessoais, seja dos professores ou dos alunos, com terceiros.
A rotina de uma instituição de ensino está repleta de situações de tratamento de dados pessoais. Por essa razão, muitas instituições de ensino já entenderam os riscos de não manter um Programa de Governança em Proteção de Dados.
O que algumas ainda não sabem é que não basta se preocupar com os dados que circulam na própria instituição e esquecer dos que são compartilhados com fornecedores e parceiros.
Entender se seu fornecedor está em conformidade com a LGPD, mapear as informações que lhe serão enviadas e estabelecer regras para o uso desses dados, para além de serem ações vistas pelo mercado e pela Autoridade Nacional de Proteção de Dados (ANPD) como boas práticas, podem, inclusive, mitigar a responsabilidade da instituição em caso de incidente com os dados compartilhados.
Então, como averiguar a maturidade do fornecedor em matéria de proteção de dados?
Um bom começo é averiguar se o parceiro já estruturou alguns documentos, como:
- Aviso de Proteção de Dados Pessoais;
- Política de Gestão Documental;
- Política de Segurança da Informação;
- Plano de Resposta a Incidentes;
- Política de Cookies;
- Política de Proteção de Dados.
Esses documentos geralmente estão disponíveis no site do fornecedor, mas caso não estejam, recomendamos que verifique a existência deles diretamente com o parceiro antes da contratação.
Outro ponto importante é verificar se os funcionários do fornecedor assinam um “Termo de Sigilo e de Confidencialidade” assim que são contratados. A assinatura desse documento busca garantir que os dados serão tratados de maneira segura pelos funcionários do parceiro.
Mas há alguns outros pontos que devem ser observados antes de contratar um fornecedor.
Averiguar se o fornecedor nomeou um Encarregado pela Proteção de Dados (conhecido no mercado como DPO, o Data Protection Officer), se criou um canal específico para requisições de titulares, e se implementou outras medidas de segurança para o tratamento de dados também é essencial na hora de contratá-lo.
Outro aspecto necessário é compreender o como o parceiro tratará os dados e se, por qualquer motivo, eles serão compartilhados com pessoas foram da instituição, sejam elas físicas ou jurídicas, e por que o serão, e se haverá transferência internacional de dados, o que pode ocorrer , por exemplo, caso eles sejam armazenados em servidores alocados em outros países.
Admitimos: apesar de ser fundamental, compreender se o fornecedor está adequado à LGPD pode ser trabalhoso. Pensando nisso, preparamos um formulário com tudo que você precisa entender para analisar a maturidade de seu fornecedor. Caso queira receber o material, basta enviar um e-mail para: contato@dcom.law.
Ah! Caso queira verificar a maturidade da sua instituição, não deixe de conferir este artigo: “Proteção de Dados: o quão madura está sua operação?”
