Muito tem se falado sobre a importância das empresas se adequarem à Lei Geral de Proteção de Dados Pessoais (LGPD), em virtude, por óbvio, da própria exigência legal, das possíveis sanções decorrentes de eventuais descumprimentos, mas sobretudo principalmente pelo fato de ser um diferencial competitivo no mercado.
Isso porque as empresas que estão adequadas à lei buscam fornecedores e parceiros que também estejam, haja vista o risco inerente as relações com empresas que não estão em conformidade com a LGPD. Independentemente da posição enquanto agente de tratamento ocupada pela empresa, seja de controlador (a quem compete as decisões referentes ao tratamento dos dados pessoais) ou de operador (aquele que realiza o tratamento de dados em nome do controlador) a adequação à lei se faz necessária em virtude da responsabilidade solidária estabelecida pela LGPD.
A LGPD dispõe que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador. Além disso, estabelece também que os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.
Logo, a possibilidade de responsabilidade solidária é um dos principais motivos pelos quais muitas empresas têm buscado se adequar à LGPD, especialmente as empresas menores, que para poder manter ou firmar novos contratos com empresas maiores que já estão adequadas, não podem não estar em conformidade com a lei.
Por outro lado, para as empresas que já estão adequadas, é essencial estabelecer medidas para averiguar se os terceiros com os quais ela se relaciona estão adequados à LGPD. As medidas envolvem por exemplo uma política de fornecedores, diagnóstico de terceiros e um termo de processamento de dados. Esses documentos servem para verificar a conformidade e é claro que também para resguardar as partes envolvidas.
A Política de Fornecedores é um documento interno da empresa que estabelece regras aplicáveis ao compartilhamento de quaisquer dados que a empresa venha a realizar com terceiros. Atrelada a essa política, é fundamental realizar um diagnóstico dos terceiros, de modo a tentar estabelecer uma estimativa do grau de maturidade da empresa para analisar se é possível ou não estabelecer algum tipo de relação.
Em complemento a esses documentos, o termo de processamento de dados é essencial nesse tipo de situação em que há compartilhamento de dados. O termo estabelece questões importantes relacionadas a proteção de dados, como: obrigações das partes; qualificação das partes como agentes de tratamento na operação; identificação dos dados; da finalidade do tratamento e a respectiva base legal; compartilhamento de dados; transferência internacional; propriedade da base de dados; direitos dos titulares; retenção e exclusão; segurança e confidencialidade.
É imprescindível que esse termo seja elaborado de forma personalizada de acordo com o contexto e relação contratual entre as empresas, e, mais do que isso, é essencial que para além da existência formal, o termo seja colocado em prática, assim como todas as boas práticas relacionadas a proteção de dados.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).