*Giulio Franchi e Natássia Alencar
A Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (“LGPD”), provocou uma série de mudanças significativas no cenário empresarial. Uma das práticas cada vez mais corriqueiras das empresas que buscam se adequar a essa legislação é o envio de questionários de avaliação a parceiros e fornecedores em relação à proteção de dados. Tais questionários têm sido enviados previamente à realização de uma contratação ou durante o curso da prestação dos serviços por terceiros.
A razão para essa crescente tendência está relacionada aos estímulos que a LGPD oferece às empresas que adotam políticas de boas práticas e governança em relação à proteção de dados. Entre essas práticas, destaca-se a supervisão externa, isto é, a supervisão de parceiros e fornecedores, que se tornou um aspecto crucial na estratégia de conformidade das organizações.
Isso se deve ao fato de que a LGPD estabelece que terceiros, com quem a empresa contratante compartilhe dados ou de quem receba dados, também podem ser responsabilizados quando há descumprimento da legislação de proteção de dados.
Assim, não é surpresa que as empresas estejam cada vez mais exigentes em relação à demonstração de cumprimento da LGPD por parte de seus parceiros e fornecedores. Neste contexto, os questionários de avaliação se tornaram uma ferramenta essencial para avaliar o nível de conformidade desses terceiros, sendo comum questioná-los: se possuem estrutura de governança em privacidade e proteção de dados; se nomearam encarregado; se implementaram políticas e procedimentos voltados ao tratamento de dados; se têm certificações e políticas de segurança da informação; se adotam rotina de treinamentos em proteção de dados pessoais; se avaliam terceiros e se estabelecem cláusulas de proteção de dados com esses terceiros; e se disponibilizam avisos de privacidade ao público externo. Nesse sentido, as empresas que enviam os questionários muitas vezes pedem que o terceiro anexe as evidências das respostas.
Desse modo, as respostas aos questionários desempenham um papel crítico. Caso um parceiro ou fornecedor não forneça evidências satisfatórias de conformidade com a LGPD, isso pode ter sérias repercussões na relação comercial entre as partes.
É preciso destacar que a existência de um programa de governança em proteção de dados não é apenas uma formalidade. Esse programa pode influenciar significativamente a dosimetria de sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (“ANPD”). A boa-fé da organização em aplicar os princípios e procedimentos previstos na LGPD e implementar políticas de boas práticas e governança pode atenuar as sanções.
Logo, é fundamental que toda empresa eventualmente fiscalizada comprove o nível de maturidade de seu programa de governança em privacidade para desfrutar dessas vantagens previstas pela LGPD.
Nesse contexto, a atuação jurídica de um especialista em Proteção de Dados desempenha um papel fundamental. O jurídico deve tomar as providências necessárias para formalizar adequadamente a relação com terceiros por meio de cláusulas contratuais apropriadas. Caso a as respostas aos questionários não tenham resultado satisfatório, isso significa o terceiro não tem um nível de maturidade em proteção de dados adequado, o que pode representar um risco alto à empresa contratante, sendo desaconselhada a contratação ou a continuidade da contratação. Nos casos em que esse parceiro ou fornecedor específico seja indispensável, o jurídico da empresa contratante deve estabelecer cláusulas contratuais robustas de cumprimento da LGPD, com pouca possibilidade de negociação, e por vezes, até auxiliar o parceiro em seu processo de adequação à lei.
Portanto, o monitoramento de parceiros e fornecedores é essencial não apenas para cumprir com as obrigações legais relativas à proteção de dados, mas especialmente para evitar que a empresa sofra prejuízos decorrentes de falhas cometidas por seus parceiros e fornecedores.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).