LGPD e cibersegurança: importância para o supply chain
A LGPD (Lei Geral de Proteção de Dados Pessoais) vem sendo bastante abordada nos noticiários e no meio corporativo desde 2018, quando foi aprovada. Mas o tema foi ganhando mais força quando ela entrou em vigor, em setembro de 2020, e teve sua última etapa de implementação, em agosto do ano passado, momento em que passaram a valer as sanções relativas à legislação vigente – que variam de simples advertências a multas de até R$ 50 milhões.
Hoje, as organizações dispõem de uma enorme quantidade de dados em seu funcionamento, mas há casos em que a questão é potencializada e por isso pede uma atenção ainda mais especial quanto ao cumprimento da LGPD e cibersegurança, como são os casos das cadeias de suprimentos, conhecida por supply chain.
O termo compreende os métodos e operações que compõem a fabricação, logística e distribuição de um produto, desde o pedido, aquisição de matérias-primas e insumos, industrialização e entrega para o(a) consumidor(a) final.
Por suas características, o supply chain exige uma maior coordenação entre os fornecedores, fabricantes e operadores logísticos, o que ocorre por meio da interação de dados entre as empresas, muitas vezes de maneira informal ou com o compartilhamento de informações sensíveis e mais amplas do que o necessário à execução dessas operações, como dados pessoais de colaboradores(as), fornecedores(as) e clientes.
Portanto, a adequação à LGPD entre as companhias que compõem essa cadeia é fundamental à segurança da informação das organizações e dos(as) envolvidos(as), independentemente da área de atuação.
O supply chain promove a ligação entre as empresas dos mais diversos segmentos, e fazer um trabalho de cibersegurança eficaz e a adequação à LGPD são imprescindíveis para assegurar a continuidade dos negócios. Antes de entender mais sobre a questão e como cumprir o que ela determina, vamos ver o que é a LGPD e quais são os seus objetivos.
O que é a LGPD?
A LGPD é uma lei que tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade das pessoas, além de buscar criar um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção dos dados pessoais de todo(a) cidadão/cidadã que esteja no Brasil, de acordo com os parâmetros internacionais existentes.
A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os sensíveis e sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação.
Segundo a lei, não importa se a sede de uma organização ou centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada.
A lei autoriza o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que cumpridos os requisitos estabelecidos por ela.
O contexto do supply chain em relação à LGPD
Mesmo que a LGPD tenha sido implementada para proteger a segurança de dados das empresas e pessoas, é necessário mencionar que as principais companhias de supply chain já vêm, mesmo antes da criação dela, preocupando-se com o tratamento das informações, que normalmente são altamente críticas e sigilosas, usando recursos como bases de dados criptografadas, conexões por canal seguro e a homologação prévia do fornecedor pelo comprador na plataforma.
O problema é que nem todas as pequenas e médias empresas, que prestam serviço para as grandes organizações, têm acesso a essas plataformas. Diferentemente do que acontece em outros setores da economia, em que há a relação direta entre o fornecedor e o consumidor final, nas cadeias de distribuição e de suprimento as informações são coletadas entre as empresas e, muitas vezes, compartilhadas ao longo da cadeia, o que exige maior precaução de todas as partes.
Como está a sua empresa em relação à segurança de dados e a LGPD? Vamos verificar aspectos importantes sobre o cumprimento da lei em qualquer tipo de negócio.
A adequação à lei no supply chain
Na relação entre clientes e fornecedores e o compartilhamento de dados por toda a cadeia, algumas orientações são necessárias para a proteção de dados e sua consequente privacidade, tais como:
- Faça um levantamento cuidadoso das informações que precisam fluir pela cadeia (rede) de fornecimento, já que tendem a ser mais longas e capilarizadas. Isso implica a avaliação de quais delas devem ser disponibilizadas a cada nó, restringindo-se ao mínimo necessário, sem prejuízo de informações necessárias, a exemplo daquela relativa à rastreabilidade;
- Realize um inventário com a finalidade de determinar a compatibilidade com a cibersegurança, ou seja, a disponibilidade de equipamentos e sistemas compatíveis, com o necessário isolamento de outros sistemas, de modo a garantir a segurança física e lógica de dados em cada um dos ambientes;
- Colete e analise a adequação à LGPD em cada ambiente, incluindo também as políticas internas da empresa, práticas de proteção de dados pessoais, confidenciais e sigilosos, além do treinamento de pessoal, visando assegurar a compatibilidade quanto à manipulação de dados, tendo por princípio que uma corrente é tão forte quanto seu elo mais fraco;
- Costurando esses fatores, prepare contratos que estabeleçam claramente a manutenção de condições mínimas e protocolos, inclusive, para o caso de possíveis vazamentos. É necessário estabelecer procedimentos de correção, mitigação e proteção, inclusive com a comunicação aos demais nós da cadeia de fornecimento e para a Autoridade Nacional de Proteção dos Dados (ANPD);
- Preveja nos instrumentos contratuais a necessária comunicação aos demais integrantes da cadeia, sempre que houver alguma alteração de qualquer das condições mencionadas anteriormente, assim como a realização de auditorias periódicas, inclusive com a simulação de testes e ataques, que deverão constar em relatórios.
Caso você tenha dúvidas relacionadas à LGPD para o supply chain,conte com a Microhard. Dispomos de profissionais altamente capacitados e as mais modernas soluções de tecnologia e cibersegurança para garantir a proteção e a privacidade dos dados da sua empresa.