A LGPD (Lei Geral de Proteção de Dados) veio para esclarecer que cada indivíduo é dono de seus próprios dados pessoais e trouxe uma série de regras que resguardam direitos fundamentais e liberdades civis. Assim, quando se pensa nessa lei, o que vem à mente primeiro é o indivíduo, titular dos dados, e seus direitos.
Então, por que avaliar fornecedores é importante quando se fala em proteção de dados pessoais?
Além do titular de dados, a lei trouxe outros personagens importantes, entre os quais merecem destaque o controlador e o operador. O controlador é aquele que utiliza ou trata [1] os dados pessoais em benefício próprio, definindo como e para qual finalidade os dados serão tratados. Já o operador é aquele que trata os dados em nome do controlador e conforme suas instruções, sem autonomia para decidir como e porque o tratamento se realizará.
Por possuir tamanho poder, a lei atribuiu ao controlador diversas obrigações, competindo a ele, por exemplo, garantir o cumprimento da LGPD; se comunicar com o titular dos dados; possibilitar que o titular exerça seus direitos; avaliar os riscos e o impacto da atividade de tratamento, considerando as liberdades civis e os direitos fundamentais do indivíduo.
Além do dever de avaliar os riscos e o impacto da atividade de tratamento de dados para o titular, o controlador deve ser capaz de evidenciar que trata os dados de forma responsável e em conformidade com a lei, em cumprimento ao princípio da responsabilização e prestação de contas, consagrado na LGPD, no artigo 6º, inciso IX.
Assim, quando envolver operadores nas atividades de tratamento de dados pessoais, é importante que o controlador averigue se eles são capazes de cumprir a lei, se possuem implementadas medidas que garantam a segurança dos dados pessoais tratados, e se são capazes de conferir aos dados pessoais a proteção que exige a LGPD.
A avaliação de fornecedores, ou dos operadores envolvidos pelo controlador nas atividades de tratamento, é conhecida por avaliação de terceiros (ou risk assessment de terceiros).
E se o controlador não promover essas avaliações, não se atentar para os direitos e liberdades dos titulares dos dados, ou descumprir qualquer outro comando da Lei?
Nesses casos, se o descumprimento causar danos patrimoniais, morais, individuais ou coletivos, a LGPD assegura que o controlador será responsabilizado [2].
Assim, para evitar eventuais responsabilizações, é importante que sejam adotadas medidas de prevenção, detecção e correção [3] de vulnerabilidades e inconsistências nas atividades de tratamento, sendo a Avaliação de Terceiros uma medida eficaz para prevenir, detectar e até mesmo corrigir fragilidades em processos ou sistemas, antes que causem danos aos titulares dos dados.
Enfim, para que serve uma avaliação de terceiros e quais os seus benefícios na prática?
A avaliação de terceiros é destinada a averiguar, antes de uma contratação ou renovação contratual, se o terceiro com quem o controlador pretende contratar possui medidas de segurança (técnicas e administrativas) implementadas, além de políticas, procedimentos e medidas de controle que garantam que os dados que irá tratar em nome do controlador estarão protegidos.
Em situações nas quais o controlador é uma pessoa jurídica, a avaliação de terceiros não apenas viabilizará que, na prática, ele seja capaz de promover avaliações de impacto, mas também é um meio eficaz de aperfeiçoar a atuação da empresa no mercado, possibilitando que realize uma gestão estratégica eficiente, exerça maior controle sobre a qualidade dos terceiros com quem contrata (avaliando sua maturidade), mitigando riscos que possam resultar em sua responsabilização, inclusive aqueles capazes de comprometer sua imagem e reputação.
Logo, a longo prazo, a avaliação e os resultados provenientes dela são capazes de melhorar a competitividade da empresa no mercado, agregando valor ao seu negócio. Adicionalmente, essa medida é fundamental para averiguar se os terceiros que se pretende contratar (ou já contratados) atendem às diretrizes da Lei e às orientações e regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).
Mas como promover essas avaliações? Há um padrão legalmente estabelecido?
No Brasil, não há, até o presente momento, um padrão preestabelecido para promover a avaliação de terceiros. Desse modo, a fim de averiguar a conformidade de um fornecedor e seu nível de adequação, é recomendável que se utilizem parâmetros provenientes do cenário internacional.
Com base no cenário europeu, regulado pela lei denominada General Data Protection Regulation (GDPR), que serviu de base para a criação da LGPD, tem-se que o primeiro passo para se proceder a uma avaliação de terceiros eficaz é apurar os riscos do negócio, ou da operação, e categorizá-los. O nível de rigor da avaliação de terceiros deve ser compatível com o risco apurado, considerando, por exemplo, o volume de dados tratados, os tipos de dados tratados, as categorias de titulares envolvidos, entre outras circunstâncias práticas da operação.
Assim, a partir da realização, por exemplo, de due diligence e de auditorias, o controlador terá condições de definir se o terceiro com quem contratará e que realizará o tratamento de dados pessoais em seu nome é adequado ou inadequado, e/ou se sua governança é passível de melhorias para que a operação seja realizada com foco em conformidade e segurança.
O GDPR, inclusive, prevê, nos arts. 42 e 43, a possibilidade de os agentes de tratamento obterem, das autoridades competentes, selos e certificações que demonstram seu nível de conformidade [4]. A LGPD, embora tenha se baseado no GDPR, não prevê mecanismos de selos e certificações, exceto como uma das garantias a serem oferecidas pelo controlador antes da realização de atividades de transferência internacional de dados.
Em linha com o tema, a Associação Internacional de Profissionais de Privacidade (Iapp), em artigo redigido para tratar sobre o gerenciamento de fornecedores, alerta que gerenciar fornecedores significa gerir os riscos do próprio negócio, e sugere: “É necessário avaliar o potencial impacto reputacional que um fornecedor pode causar ao seu negócio, juntamente com a forma como ele se enquadra no plano estratégico global de sua empresa. É relevante educar os seus colaboradores sobre como identificar os sinais de alerta e a importância desses sinais. Deve-se, ainda, gerir as expectativas com antecedência, para que, quando/se um fornecedor for considerado totalmente inadequado, como proprietário do negócio, você seja capaz de elaborar um plano B” (tradução nossa) [5].
Caso um fornecedor apresente falhas ou vulnerabilidades, não deverá ser contratado?
A identificação de uma red flag, ou sinal de alerta, em relação a determinado fornecedor, o que significa a apuração de um nível de risco alto, não demanda, necessariamente, a substituição do fornecedor, mas possibilita que alternativamente sejam adotadas medidas para mitigar os riscos apurados para evitar que causem danos efetivos. Essas medidas podem englobar, por exemplo, ajustes contratuais capazes de impor obrigações ao fornecedor contratado a fim de que corrija suas vulnerabilidades.
Vale lembrar que o tratamento de dados ilegal ou inadequado por um terceiro poderá culminar em responsabilização do controlador, ainda que a LGPD assegure o direito de regresso àquele que reparar o dano contra quem efetivamente o causou [6].
Em muitas circunstâncias, os prejuízos decorrentes do tratamento de dados pessoais realizado de forma inadequada extrapolam a esfera pecuniária e podem atingir a honra, a imagem e a credibilidade de uma organização no mercado. A avaliação de terceiros poderá servir como meio preventivo para possibilitar que o controlador tenha uma visão ampla da operação e caminhe um passo à frente, apurando situações de risco antes que acarretem danos concretos a terceiros ou aos respectivos titulares de dados.
Tiago Neves Furtado é gestor de Privacidade e Proteção de Dados do Opice Blum, Bruno e Vainzof Advogados Associados.
Helena Rodrigues Vaz Pedrosa é advogada de Privacidade e Proteção de Dados do Opice Blum, Bruno e Vainzof Advogados Associados.
