*Giulio Franchi e Natássia Alencar

A Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (“LGPD”), provocou uma série de mudanças significativas no cenário empresarial. Uma das práticas cada vez mais corriqueiras das empresas que buscam se adequar a essa legislação é o envio de questionários de avaliação a parceiros e fornecedores em relação à proteção de dados. Tais questionários têm sido enviados previamente à realização de uma contratação ou durante o curso da prestação dos serviços por terceiros.

A razão para essa crescente tendência está relacionada aos estímulos que a LGPD oferece às empresas que adotam políticas de boas práticas e governança em relação à proteção de dados. Entre essas práticas, destaca-se a supervisão externa, isto é, a supervisão de parceiros e fornecedores, que se tornou um aspecto crucial na estratégia de conformidade das organizações.

Isso se deve ao fato de que a LGPD estabelece que terceiros, com quem a empresa contratante compartilhe dados ou de quem receba dados, também podem ser responsabilizados quando há descumprimento da legislação de proteção de dados.

Assim, não é surpresa que as empresas estejam cada vez mais exigentes em relação à demonstração de cumprimento da LGPD por parte de seus parceiros e fornecedores. Neste contexto, os questionários de avaliação se tornaram uma ferramenta essencial para avaliar o nível de conformidade desses terceiros, sendo comum questioná-los: se possuem estrutura de governança em privacidade e proteção de dados; se nomearam encarregado; se implementaram políticas e procedimentos voltados ao tratamento de dados; se têm certificações e políticas de segurança da informação; se adotam rotina de treinamentos em proteção de dados pessoais; se avaliam terceiros e se estabelecem cláusulas de proteção de dados com esses terceiros; e se disponibilizam avisos de privacidade ao público externo. Nesse sentido, as empresas que enviam os questionários muitas vezes pedem que o terceiro anexe as evidências das respostas.

Desse modo, as respostas aos questionários desempenham um papel crítico. Caso um parceiro ou fornecedor não forneça evidências satisfatórias de conformidade com a LGPD, isso pode ter sérias repercussões na relação comercial entre as partes.

É preciso destacar que a existência de um programa de governança em proteção de dados não é apenas uma formalidade. Esse programa pode influenciar significativamente a dosimetria de sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (“ANPD”). A boa-fé da organização em aplicar os princípios e procedimentos previstos na LGPD e implementar políticas de boas práticas e governança pode atenuar as sanções.

Logo, é fundamental que toda empresa eventualmente fiscalizada comprove o nível de maturidade de seu programa de governança em privacidade para desfrutar dessas vantagens previstas pela LGPD.

Nesse contexto, a atuação jurídica de um especialista em Proteção de Dados desempenha um papel fundamental. O jurídico deve tomar as providências necessárias para formalizar adequadamente a relação com terceiros por meio de cláusulas contratuais apropriadas. Caso a as respostas aos questionários não tenham resultado satisfatório, isso significa o terceiro não tem um nível de maturidade em proteção de dados adequado, o que pode representar um risco alto à empresa contratante, sendo desaconselhada a contratação ou a continuidade da contratação. Nos casos em que esse parceiro ou fornecedor específico seja indispensável, o jurídico da empresa contratante deve estabelecer cláusulas contratuais robustas de cumprimento da LGPD, com pouca possibilidade de negociação, e por vezes, até auxiliar o parceiro em seu processo de adequação à lei.

Portanto, o monitoramento de parceiros e fornecedores é essencial não apenas para cumprir com as obrigações legais relativas à proteção de dados, mas especialmente para evitar que a empresa sofra prejuízos decorrentes de falhas cometidas por seus parceiros e fornecedores.

Compartilhar:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *