*Thiago Roberto Faria de Lima
Como sabemos, a Lei Geral de Proteção de Dados Pessoais denota, em seu artigo 50, §2º, I, “f”, a necessidade de que os agentes de tratamento de dados pessoais mantenham um programa de governança em privacidade que deverá contar, no mínimo, entre outras coisas mais, com mecanismos externos e internos de supervisão.
Os desdobramentos desta imposição podem ser melhor entendidos quando verificamos o conteúdo do artigo 39 da lei, que determina que o controlador de dados deve submeter o operador a um processo de monitoração constante para apurar o acatamento das instruções providas pelo mesmo, além do correto cumprimento das normas de proteção de dados aplicáveis.
Para além disto, as atividades de vigilância de fornecedores sob a ótica da proteção de dados também devem ser consideradas sob o tema da reparação de eventuais danos causados aos titulares de dados, pois, via de regra, a LGPD estabelece a responsabilização solidária entre os agentes de tratamento envolvidos.
Este arranjo acaba por incentivar as organizações a se preocuparem não apenas com os fluxos de tratamento de dados que desempenham singularmente, mas também, voltando as suas ações ao acompanhamento das atividades atribuídas aos terceiros contratados por meio de auditorias, preenchimento de questionários e apresentação de provas positivas e negativas de cumprimento às regulações e instruções aplicáveis.
Mas, afinal, o que devemos considerar para gestão de terceiros no tratamento de dados da organização?
O gerenciamento de fornecedores responsáveis pelo tratamento de dados sob os comandos da organização deve ser completo, ou seja, deverão ser aplicados procedimentos de checagem desde antes da integração do prestador no fluxo de dados identificado, aplicando-se metodologias de medição de riscos, radicação de políticas e mecanismos contratuais, além de um acompanhamento constante até o encerramento do serviço, momento no qual deverão ser aplicados os procedimentos de exclusão, anonimização ou devolução dos dados.
De forma mais detalhada, certo que as seguintes ações devem ser consideradas para a implementação deste processo como um todo:
a) Proteção de dados como um ponto chave em decisões sobre a contratação/terceirização de um serviço:
A contratação de um terceiro para a realização de atividades de tratamento em nome da organização ocasiona riscos e obrigações adicionais. Se antes o controlador respondia singularmente por suas ações, com a contratação de um terceiro para o serviço passa também a responder solidariamente pela qualidade e conformidade legal de suas ações.
Tal dinâmica deverá ser bem absorvida pelas áreas de negócio responsáveis por contratações na companhia, a fim de possibilitar uma correta avaliação dos riscos de privacidade no processo decisório.
b) Existência de políticas, normas e procedimentos sobre o tema:
É recomendável que a organização mantenha documentação interna, devidamente aprovada, descrevendo os parâmetros mínimos que deverão ser observados pela companhia para verificar se o fornecedor possui os requisitos necessários para a prestação do serviço pretendido.
A proteção de dados apresenta-se como um tema multidisciplinar. Logo, não seria adequada a contratação de um terceiro sem antes verificar se a companhia detém diretrizes que traduzam como o tratamento de dados deverá ser avaliado sob a ótica dos departamentos jurídico, marketing, monetização, segurança da informação, TI, entre outros.
Posteriormente, deve-se verificar se a eventual terceirização da atividade encontrará harmonia com as políticas e demais normas presentes na organização. Tal medida servirá como um excelente filtro de governança para a empresa, que terá uma visão clara sobre os riscos e características de privacidade da atividade, antes mesmo do início do processo de contratação.
c) Avaliação de maturidade:
Identificados os riscos, as responsabilidades e a real necessidade de contratação do terceiro, será preciso avaliar a maturidade do fornecedor quanto ao tema da privacidade e proteção de dados.
Nesta fase, é comum observarmos um trabalho conjunto entre a área de compras e os profissionais de privacidade da organização para a realização das chamadas due diligences de privacidade, questionários responsáveis por verificar se os terceiros abordados apresentam parâmetros mínimos que os classifiquem como habilitados a realizar o tratamento de dados de acordo com os riscos e diretrizes já anteriormente traçados pela companhia.
Neste momento, devem ser apreciados padrões fundamentais que deverão ser comparados com o risco definido para o serviço. Aspectos como a estrutura organizacional, normas internas, transparência e atendimento aos direitos dos titulares são indicadores significativos para uma boa avaliação.
d) Definição de mecanismos contratuais:
Caso o terceiro seja considerado maduro, deverão ser estabelecidas cláusulas contratuais estratégicas que garantam a existência de procedimentos operacionais para atendimento a disposições legais, além de questões como responsabilização, finalidade do tratamento, modalidades de dados tratados e exclusão ou devolução das informações.
Neste mesmo período, caberá à companhia enviar ao terceiro suas próprias políticas sobre o tema, as quais deverão ser cumpridas sob pena de represálias legais/contratuais.
e) Monitoração frequente e recorrente:
Complementarmente às análises documentais, poderão ser realizadas ações de auditorias frequentes por parte da companhia ou por auditores independentes, de modo a averiguar se o terceiro possui capacidade real de operar as ações que lhe foram impostas.
f) Encerramento do serviço com o terceiro:
Encerrada a prestação do serviço, é igualmente relevante que a organização determine ao terceiro o cumprimento das disposições relativas ao término do contrato, em especial, no tocante à deleção ou devolução dos dados por meio de documentação que comprove a ação.
Conclusão
A Lei Geral de Proteção de Dados foi concebida para melhor proporcionar uma cultura de privacidade, proteção e tratamento de dados pessoais no território brasileiro.
Por consequência, um fornecedor/terceiro que não se encontre devidamente alinhado com as ações, medidas, políticas e, sobretudo, com o aculturamento da organização sobre o tema não será considerado um fornecedor apto a celebrar negócios.
O atendimento aos requisitos legais sobre privacidade deve ser estendido a todos os participantes da cadeia de tratamento de dados pessoais, cabendo às companhias exigir igual conformidade para a mitigação de riscos solidários, o que, indiretamente, beneficiará o negócio e a imagem da empresa perante a sociedade.
Thiago Roberto Faria Lima é, atualmente, Advogado Sênior atuante em Contratos, Direito Digital e LGPD no Grupo Carrefour Brasil, pós-graduando em Compliance Digital pela Universidade Presbiteriana Mackenzie. Certificado com as credenciais internacionais Privacy and Data Protection Foundation e ISO 27.001 pela EXIN.
