Cristiane Beux*
A LGPD impõe aos agentes de tratamento rigorosas responsabilidades pelo tratamento de dados pessoais dos titulares. E não é diferente sob a perspectiva do agente e da gestão de parceiros e de sua cadeia de fornecedores. Uma vez que o agente investiu tempo, pessoas, energia e ferramentas para se adequar à LGPD, naturalmente ele irá buscar parceiros com – pelo menos – um nível adequado de adequação à LGPD, considerando os riscos de responsabilização solidária.
A “gestão” desse tipo de risco se faz por intermédio de contratos claros, bem feitos. Embora a lei não determine expressamente que as partes devam formalizar contratos, por escrito, como faz a GDPR, a adoção de contratos na gestão de parceiros bem redigidos é altamente recomendável.
Importância dos contratos na gestão de parceiros e fornecedores
O contrato não precisa ser complexo, pode ser claro e simples, mas ele é importante para:
– “Alocar” o nível de responsabilidade de cada Controlador
Porque a existência de dois agentes de tratamento Controladores, por exemplo, não pressupõe automaticamente que ambos sejam 100% responsáveis pelas decisões referentes ao tratamento de dados pessoais. Um Controlador X pode ter razões distintas para tratar os mesmos dados pessoais do controlador Y.
Em um cenário de reserva de passagem aérea, por exemplo, há o controlador da agência de viagens e há o Controlador empresa aérea. Eles podem ter finalidades distintas um do outro e um contrato é ideal para delimitar cada uma das responsabilidades e fazer a gestão de suas posições.
– Estabelecer para quais finalidades cada parte faz o tratamento dos dados pessoais
Porque também daí decorrem as medidas de segurança, a notificação a titular em caso de incidente e, em consequência, qual a base legal.
– Definir como cada uma dos agentes fará o uso ou não de terceiros (Operadores)
– Definir como cada um promoverá a transferência internacional de dados, se for o caso
– Deixar claro quais são os pontos de contato com o titular por exemplo – a qual DPO o titular deve encaminhar a sua solicitação de direitos
– Deixar evidente uma governança de privacidade e proteção de dados por parte do agente, de forma transparente e com boa fé
Deixe claro, também, a responsabilidade de cada uma das partes perante terceiros – seja a ANPD, Procon, MP, ou até mesmo perante o titular de dados. No caso de uma plataforma de e-commerce, por exemplo, qual é o papel da plataforma e qual o papel da empresa que vende produtos ali dentro.
– Deixar claro também a posição de cada agente
Porque, dentro de determinada atividade de tratamento de dados pessoais, temos uma situação de Controlador – Operador e Controlador-Controlador – conforme o caso.
Falando ainda de uma relação de Controlador – Controlador, sob a perspectiva do titular, pode nascer de uma mesma solicitação de direito de um titular uma obrigação compartilhada de informação, de confirmação de existência, de compartilhamento, de medidas de segurança – em que os dois agentes tenham que informar o titular de suas medidas de segurança por exemplo.
E um contrato entre os agentes é fundamental para estabelecer, por exemplo, um canal de comunicação entre os agentes. Ou então, prazos rigorosos para que um Controlador comunique a outro um incidente de violação de dados pessoais, por exemplo.
Cristiane Beux: Profissional com vivência na área jurídica corporativa, Proteção de Dados, DPO e Compliance, assessorando empresas de: tecnologia, startups, bancos, serviços financeiros e automotivos. Expertise na implementação e suporte em programas de LGPD e Compliance, práticas de Governança e Privacidade de Dados/Segurança da Informação, sigilo bancário, prevenção à fraude e corrupção, prevenção à lavagem de dinheiro – PLD.
