Andrezza Fernanda Carlos*
A due diligence trata-se de uma diligência prévia ou um dever de cuidado, muito utilizado nas relações comerciais como forma de reduzir riscos, sendo certo que as diligências mais conhecidas no âmbito empresarial são realizações de due diligences contábeis, financeiros, trabalhistas, fiscais, ambiental, compliance, tecnológico, dentre outras.
Esse mecanismo de investigação pode ser realizado antes da contratação do terceiro, durante o contrato firmado (como forma de monitoramento contínuo) ou até mesmo após a rescisão do contrato, mas sempre será realizada com o conhecimento do terceiro.
A partir da vigência da Lei 13709/18 (LGPD), a realização de due diligence em proteção de dados pessoais passou a ter um caráter essencial na adequação da empresa à LGPD, como forma de mitigar riscos nas contratações de fornecedores e parceiros, realizando, assim, uma gestão de terceiros e dos fornecedores que serão contratados pela empresa.
Conforme determina a Lei 13709/18, todos os agentes de tratamento (controlador e operador) devem-se adequar à LGPD, adotando medidas de segurança, técnicas e administrativas de modo a garantir a segurança dos dados pessoais dos titulares de dados e, assim, mitigar os riscos de ocorrer um incidente de segurança.
“Boas Práticas e da Governança”
Tal procedimento está inclusive inserido no artigo 50 da Lei 13709/18, que trata das “Boas Práticas e da Governança”, no qual deixa claro no referido artigo que a empresa deverá realizar “monitoramento contínuo e avaliações periódicas”, além de “verificar a efetividade do programa de governança e privacidade”, conforme segue:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§2º:
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
No caso específico da due diligence em LGPD, deverá ser realizado tal procedimento como forma de investigar, analisar e prevenir possíveis riscos na contratação de parceiros, verificando qual o grau de maturidade e aderência dessas empresas à Lei Geral de Proteção de Dados, buscando o máximo de informações e evidências através de questionários, entrevistas e análises de Políticas e demais documentos, o que, após essas diligências verificar-se-á se os terceiros possuem baixo, médio ou alto risco na contratação.
Risco e due diligence
Se após a realização do due diligence em LGPD constatar que os parceiros ou fornecedores possuem um alto risco ou se esses terceiros não tiverem implementado um programa de governança e privacidade, como forma de mitigar os riscos deve-se não realizar a contratação dessas empresas, principalmente pelo fato de o artigo 42 da Lei 13709/18 considerar a responsabilidade dos agentes de tratamento como solidária (exceto nas hipóteses de exclusão previstos no artigo 43 da LGPD).
Neste segmento, mostra-se de suma importância que a empresa tenha delineado uma Gestão de Terceiros e Fornecedores (se tratando de melhor prática mencionada na ISSO 27.701), trazendo nesta Gestão medidas para garantir a conformidade desses terceiros quanto a observância da Lei 13709/18 em todas as operações de tratamento de dados pessoais, com o fito de identificar e mitigar possíveis riscos na contratação de terceiros e consequentemente evitar a ocorrência de incidentes de segurança.
Lembre-se: empresa adequada, contratação de parceiros e fornecedores igualmente adequados!
Leia outro da autora
A utilização da inteligência artificial no recrutamento e seleção de candidatos
Andrezza Fernanda Carlos: é advogada de Privacidade e Proteção de Dados, pós graduanda em Direito Digital. Membro do Comitê de Privacidade e Proteção de Dados da OAB – Seccional de São Paulo; DPO da 126ª Subseção de Santa Bárbara d’Oeste/SP.
