Os desafios da contratação de serviços sob a perspectiva da Lei Geral de Proteção de Dados
Para o regular desenvolvimento de suas atividades e crescimento sustentável, uma sociedade depende de uma complexa rede de relacionamentos incluindo clientes, parceiros, fornecedores e órgãos governamentais. Cada vez mais, a responsabilidade ética, de compliance e socioambiental das sociedades vem ganhando maior relevância no contexto reputacional e qualificatório de sua estrutura de governança, tanto que a sigla conexa ESG (Environmental, Social and Governance) alcançou o status de tendência global. Dentro deste conceito, temos a necessidade de análise prévia e manutenção de relacionamentos com quaisquer partes que tenham o mesmo nível de responsabilidade e atuação no desempenho de suas próprias atividades.
Em última análise, em tese, cria-se um ciclo virtuoso de valores organizacionais de compliance lato sensu, agregando valor a toda cadeia do mundo empresarial. Contudo, na prática, as sociedades enfrentam grandes desafios na manutenção de seus relacionamentos, razão pela qual passaremos a abordar peculiaridades do processo de contratação de fornecedores de serviços, à luz da Lei Geral de Proteção de Dados (“LGPD”).
A contratação de serviços sempre foi um ponto controverso e de elevado risco para empresas, não apenas em relação às questões trabalhistas envolvidas, mas também em eventuais responsabilizações de ordem tributária e reputacional.
Nesse contexto, destaca-se a sensibilidade e quantidade de informações que se encontram à disposição de terceiros, incluindo seus colaboradores. É muito fácil imaginar as consequências desastrosas do que poderia ser causado à reputação de uma sociedade em casos de não conformidade do terceiro.
Contudo, após o advento da LGPD, os desafios envolvidos na contratação terceiros amplificaram-se, e agora, mais do que nunca, surgem incertezas que afligem gestores até mesmo das sociedades mais preparadas para a nova era da proteção de dados pessoais.
Contextualizando, faz-se necessário introduzir conceitos básicos trazidos pela LGPD, tais como os titulares de dados, os agentes de tratamento e de tratamento:
- Os titulares de dados, por definição, são as pessoas naturais, identificadas ou identificáveis, proprietários dos dados pessoais em tratamento;
- Os agentes de tratamento, são os controladores e operadores envolvidos no tratamento de dados pessoais; e
- O tratamento de dados pode ser entendido como qualquer processo que possa ser realizado com dados pessoais, da coleta à exclusão.
Ocorre que, segundo levantamento realizado pela empresa de consultoria de riscos ICTS Protiviti, apenas 16% das empresas ativas no Brasil estão adequadas à LGPD, fato que não só evidencia a exposição das sociedades à incidentes de segurança envolvendo dados pessoais, como também representa um novo obstáculo no processo de contratação de fornecedores, uma vez que a adequação completa à LGPD agora representa mais um dos inúmeros requisitos necessários para a seleção de um parceiro comercial.
Em perspectiva, se por um lado um vazamento de dados pessoais representava uma situação capaz de expor segredos comerciais extremamente sensíveis, além de outras informações sigilosas e danos já bastante consideráveis, agora, com a vigência da LGPD e atuação da Autoridade Nacional de Proteção de Dados (“ANPD”), um vazamento de dados pessoais é capaz de gerar repercussões astronômicas, tanto patrimoniais quanto reputacionais.
Para garantir a conformidade à LGPD é necessário que as empresas adotem medidas técnicas e organizacionais de segurança da informação, sejam físicas ou digitais, tais como controle de acesso, bloqueio de contas e checagem dos registros de fluxo de dados dentro dos sistemas utilizados pela companhia, entre outros.
Não obstante ao impacto financeiro para garantir a conformidade à LGPD, que poderá incluir a inspeção individualizada das contas dos colaboradores e, principalmente, de fornecedores, as empresas também devem criar uma estrutura de reporte de incidente de segurança com dados pessoais à ANPD quando identificado que o incidente possa gerar alto risco aos direitos e liberdades fundamentais dos titulares envolvidos, através da elaboração do Relatório de Impacto à Proteção de Dados Pessoais.
A fim de evitar situações de extrema tensão e exposição, como a teorizada acima, existem diversos mecanismos jurídicos que ajudam a mitigar riscos para as sociedades que contratam prestadores de serviços.
O ponto de atenção fundamental quando da contratação de terceiros que tratem de dados pessoais ou que tenham acesso, é a verificação mínima de certidões e antecedentes, incluindo reputacionais e capacidade econômica, para casos de responsabilização, assim como a imposição de cláusulas contratuais que garantam que o fornecedor, como Operador ou Controlador, esteja ciente de suas obrigações legais. O terceiro também deve declarar a conformidade com a LGPD, vinculando juridicamente ao cumprimento de requisitos mínimos de segurança da informação que comprovem a existência de uma estrutura interna adequada à LGPD.
Além disso, durante a negociação do contrato, é crucial estabelecer disposições que assegurem que os funcionários do contratado estão juridicamente vinculados com as obrigações de sigilo e de proteção dos dados, bem como inclusão de cláusulas de:
- limitação da finalidade do tratamento;
- mecanismos de responsabilização no caso de incidentes de dados que o contratado venha a dar causa;
- adoção de medidas técnicas e organizacionais de segurança da informação;
- estabelecimento de canal de comunicação para os titulares de dados;
- dados do Encarregado (DPO), se aplicável.
Não menos importante, a possibilidade de realização de auditoria nos locais e meios em que o fornecedor realiza o tratamento de dados pessoais, seja por si, ou por consultoria externa, também se mostra medida necessária quando da composição do contrato entre o os agentes de tratamento.
Assim, considerando o potencial de crescimento da atuação da ANPD e da construção de uma cultura de proteção de dados pessoais, que vem ocorrendo no Brasil, é nítido que as empresas brasileiras terão um novo indicador para levar em consideração, dentre os outros pontos abrangidos pelo arcabouço do compliance, quando da contratação de terceiros para a realização de serviços que envolvam o tratamento de dados pessoais.
*Sarah Santos, advogada e coordenadora da Área Societária do escritório Natal & Manssur;
Pedro Augusto Brandão Capello, advogado especialista em Proteção de Dados do escritório Natal & Manssur.