Por Iara Peixoto Melo[1]
A grande maioria das empresas contrata fornecedores que podem ter acesso ou tratar dados pessoais em seu nome. Até mesmo a mais singela loja de esquina pode utilizar um sistema terceirizado para gerenciar suas vendas. No contexto da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 – LGPD), podemos facilmente identificar que, neste exemplo, a loja seria o controlador, que coleta os dados de seus clientes e insere no sistema, enquanto o fornecedor do sistema seria o operador, que armazena esses dados em nome da loja devido ao contrato que possui com ela.
Em um mundo digital, a tarefa das empresas de garantir a segurança de dados pessoais em seu próprio ambiente já é uma tarefa árdua. No entanto, a legislação brasileira vai além e exige que as empresas também se preocupem com a segurança dos dados pessoais em seus fornecedores – terceiros que tratam dados pessoais em seu nome. A falta de atenção a esse aspecto pode custar caro à empresa, já que a lei prevê a possibilidade de responsabilização solidária do controlador por danos aos titulares de dados.
Por essa razão, é essencial que os responsáveis pelo tratamento de dados assegurem que seus operadores adotem medidas de segurança adequadas em relação aos tratamentos de dados pessoais que realizam. Conhecer detalhadamente as medidas de segurança implementadas por seus fornecedores é crucial para assegurar que os tratamentos estejam sendo executados em conformidade com a lei.
Nesse sentido, é cada vez mais comum que as empresas exijam que seus fornecedores apresentem, antes mesmo da contratação, determinadas garantias e informações. Por exemplo, é comum que as empresas questionem se o fornecedor possui Políticas de Privacidade e de Segurança da Informação. Algumas empresas optam por submeter o fornecedor a um questionário, onde ele deve informar quais são as medidas de segurança que adota em seu ambiente (monitoramento da rede, criptografia de dados em repouso etc.).
Por serem amplamente reconhecidas no mercado como frameworks de segurança confiáveis, empresas com certificação ISO ou NIST acabam saindo na frente neste critério. Isso porque, para obterem esse tipo de certificação, geralmente a empresa deve passar por uma auditoria realizada por uma empresa certificadora credenciada.
Todo esse tipo de verificação deve ocorrer, preferencialmente, antes da contratação do fornecedor. Dessa forma, a empresa tem a possibilidade de optar pelo fornecedor que ofereça um nível de segurança adequado ao tratamento de dados pessoais que realizará. A empresa pode exigir diferentes níveis de segurança a depender do fornecedor, por exemplo impondo níveis mais altos a fornecedores que tratam dados pessoais sensíveis, por exemplo.
Após a etapa de qualificação e escolha do fornecedor, é importante redigir o contrato entre as partes com clareza. Idealmente, o contrato deve especificar claramente seu objeto, detalhando ao máximo os tratamentos que serão realizados. De acordo com a lei, o operador deve tratar os dados pessoais conforme as instruções do controlador, e o contrato é um ótimo instrumento para estabelecer essas instruções.
Além disso, o contrato deve prever os direitos e obrigações de cada parte, o que auxiliará a estabelecer os limites de responsabilidade de cada uma. É igualmente importante prever deveres de confidencialidade, requisitos mínimos de segurança a serem adotados e o procedimento a ser observado para devolução ou descarte dos dados, sobretudo quando do término do contrato. Deve-se também definir como proceder se o operador receber uma requisição de titular, entre outros detalhes relevantes a serem analisados de acordo com a situação fática.
As partes esperam não passar por nenhum tipo de incidente que afete os dados pessoais tratados em razão do contrato. Contudo, é crucial definir em contrato as obrigações de cada uma em caso de incidente. Recomenda-se que o contrato preveja a obrigação de notificar o controlador em caso de incidente e já estabeleça os dados de contato a serem utilizados em uma situação como essa. Normalmente, indica-se o contato do encarregado para facilitar as tratativas entre as partes sobre temas relacionados à proteção de dados.
Após todo esse processo, uma vez o contrato finalmente assinado e os serviços iniciados, pode-se pensar que a questão está resolvida e nada mais precisa ser feito. Contudo, a realidade de cada empresa muda com o tempo e as garantias previstas no papel nem sempre são respeitadas. Dessa forma, é importante prever mecanismos para verificar se as garantias oferecidas estão, efetivamente, sendo implementadas pelos fornecedores. Recomenda-se prever uma periodicidade para que tais fornecedores voltem a ser questionados e apresentem garantias adequadas de que realizam o tratamento de dados pessoais em conformidade.
Em casos específicos, o controlador pode até optar por auditar o operador para verificar suas práticas de proteção de dados e medidas de segurança. Para tanto, as partes devem estar de acordo ou haver provisão contratual, já que a lei não prevê por si só a obrigatoriedade do operador em aceitar uma auditoria do controlador.
Em suma, a proteção de dados pessoais é um compromisso contínuo e colaborativo entre controladores e operadores. Com a crescente complexidade das ameaças digitais, manter-se vigilante e proativo na gestão da segurança de dados não é apenas uma necessidade legal, mas também uma prática de boa governança e responsabilidade corporativa. Assegurar que todas as partes envolvidas no tratamento de dados pessoais cumpram suas obrigações de forma diligente é fundamental para a construção de um ambiente digital seguro e confiável.
O CHENUT alcançou por oito vezes o 1° lugar como o escritório mais admirado de Minas Gerais pela publicação Análise Editorial ADVOCACIA. Quer conhecer mais sobre a nossa Equipe e nossos serviços? Entre em contato com novosnegocios@chenut.online e agende uma conversa
[1] Sócia de Direito Digital e Consultoria Empresarial do Chenut Advogados