LGPD e o desafio da gestão de terceiros

Considerando que a LGPD - lei Geral de Proteção de Dados é discutida desde 2018, quando então também já entrava em vigor a GDPR - General Data Protection Regulation, não é mais novidade que temos classificações claras para os agentes de tratamento, que podem ser qualificados enquanto Controladores e Operadores de dados pessoais.

De maneira breve e, conforme manual orientativo da ANPD - Autoridade Nacional de Proteção de Dados, a classificação desses agentes de tratamento deve ser realizada a partir de uma avaliação funcional e prática da relação de tratamento de dado pessoal, bem como a partir do poder decisório de cada agente de tratamento sobre os dados pessoais.

Entretanto, algo que ainda traz muita dúvida é como os agentes de tratamento podem se resguardar juridicamente, visto que a LGPD define as responsabilidades desses agentes diante de eventuais violações ou tratamento irregular de dados pessoais.

Importante dizer que a mera atividade de inserir cláusulas de proteção de dados - que muitos desavisados confundem com cláusula de confidencialidade - nos instrumentos jurídicos mantidos entre as partes, não traz o resguardo necessário. Isto porque, dentro de um programa de governança em privacidade e proteção de dados, é preciso criar mecanismos para gerenciamento dos terceiros com quem há o compartilhamento de dados pessoais.

Neste ponto é que mora a grande dúvida, visto que, nem sempre há clareza sobre como realizar uma gestão adequada e, a verdade seja dita, é que por mais que exista uma linha condutora a ser seguida, cada empresa deve realizar o trabalho dentro de casa e entender até onde quer assumir os ônus de ter um processo de gestão de terceiros e os riscos de não o ter.

Caso a empresa decida minimizar esses riscos, será de extrema importância implantar um procedimento para gestão de terceiros, onde estejam registradas todas as providências que devem ser adotadas para diminuição de riscos relativos ao compartilhamento de dados pessoais.

Buscando aplicar a melhor postura de todas, que é a proativa, é importante que as empresas estejam com seu processo de compras e contratações alinhados, de forma que, busquem incluir neste fluxo a avaliação da estrutura de governança das empresas com quem pretendem contratar e, naturalmente, compartilhar dados pessoais.

Vejam como é importante sempre envolver o Encarregado pela proteção de dados pessoais nesse ponto, pois é ele quem vai definir o grau de rigor da avaliação a partir de parâmetros objetivos, o que dependerá das particularidades da relação com o terceiro e é quem vai indicar se há condições de contratar ou não em razão do grau de maturidade do terceiro em relação à LGPD.

É recomendável que o Encarregado busque entender o motivo para a contratação com o terceiro, quais as particularidades dessa relação que possam tocar o tema da privacidade e proteção de dados, tais como a finalidade do compartilhamento, os dados que serão compartilhados, se haverá informações de crianças envolvidas, o volume de dados que serão compartilhados entre outros parâmetros. Com isso, ele poderá ter maior visibilidade sobre os riscos inerentes à relação que será estabelecida com o terceiro, a fim de que possa calibrar os rigores de sua avaliação.

O Encarregado pela proteção de dados pessoais, observando as vulnerabilidades encontradas na avaliação de maturidade do terceiro, terá condições de, como dito, recomendar que a contratação não seja eventualmente realizada, ou encaminhar recomendações ao terceiro exigindo ajustes, ou solicitar à alta gestão uma carta de riscos, caso esta queira seguir com a contratação sem que suas orientações sejam atendidas.

Ainda, ao longo da relação com o terceiro e conforme a criticidade da relação, é recomendável que essa avaliação seja renovada periodicamente, para entender se a maturidade necessária se mantém ou se houve algum tipo de queda que possa ser preocupante.

De qualquer sorte, após a avaliação de maturidade e decisão de contratação, é preciso que o contrato com o terceiro esteja devidamente alinhado com os riscos da relação a ser estabelecida, devendo novamente haver avaliação sobre as particularidades da relação para o ajuste do contrato.

As cláusulas deste contrato precisam estar dimensionadas para o risco da relação e regulando todas as suas particularidades, para que as contingências possam encontrar guarida na respectiva cláusula, a fim de que a empresa esteja sempre resguardada em caso de violação de qualquer natureza por parte do terceiro.

Aqui fica uma dúvida. Será que todo esse procedimento deve necessariamente ser conduzido pelo Encarregado? A resposta é: depende. Por mais evasiva que possa parecer essa resposta, vai depender da maturidade de outros colaboradores para que possamos eventualmente liberar o Encarregado de parte dessa tarefa.

A condução do programa de governança em privacidade deve ser baseada em risco, posto que uma das maiores, se não a maior das suas finalidades é a diminuição ou extinção de riscos aos quais o agente de tratamento esteja exposto em razão de sua atividade.

Essa condução pode ser centralizada ou não, e isso vai depender da maturidade, por exemplo, dos gestores das áreas. Quanto mais conscientes e capacitados em relação ao tema, maior é a possibilidade de alguns controles típicos do programa de governança serem conduzidos de maneira descentralizada e a gestão de terceiros é um deles.

Assim, caso a condução possa ser descentralizada, é preciso construir uma matriz de risco, com critérios objetivos para compor a alçada de decisão de cada ator que pode participar do processo de gestão de terceiros.

Ao final do contrato, seja ele rescindido ou tenha seu termo naturalmente atingido, é necessário que haja destinação para a base de dados formada em razão dos compartilhamentos realizados ao longo da relação contratual, sendo recomendável que os dados sejam devolvidos ou deletados. Esta recomendação é particularmente importante caso esteja um Operador de dados pessoais do outro lado do contrato, cabendo a manutenção dos dados apenas em caso de cumprimento de obrigação legal ou exercício regular de direitos, hipóteses essas que devem ser devidamente comprovadas e não por mera especulação.

Por fim, é muito importante entender que a empresa deve adotar cautelas também em relação aos terceiros que eventualmente estejam alocados internamente em suas instalações, visto que estes podem ter acesso privilegiado ou não a diversos repositórios de dados pessoais, de maneira que esse risco deve estar claro na condução do programa de governança, para que as providências necessárias sejam adotadas.

Entre elas é a compreensão de qual o papel daquele terceiro internamente na empresa e a quais repositórios deverá ter acesso e com qual perfil de acesso, para que se tenha controle e se possa diminuir riscos de acessos indevidos.

Além disso, é importante que esse terceiro passe pelo mesmo treinamento que é aplicado aos colaboradores, para que conheça os documentos do programa de governança em privacidade e a postura necessária que deve adotar enquanto estiver alocado internamente na empresa, buscando o Encarregado sempre documentar esses treinamentos como medida de evidência.

Assim, a gestão de terceiros passa por ter um procedimento que auxilie o agente de tratamento a conduzir a referida gestão, desde o momento em que se pretende contratar com outro agente de tratamento com quem haverá o compartilhamento de dado pessoais. Além disso, visa entender com quem o agente de tratamento compartilha dados pessoais, qual a criticidade dessa relação para que ela seja devidamente regulada em instrumento jurídico válido, e que a maturidade dos terceiros com quem o agente de tratamento realiza o compartilhamento seja documentada e esteja em linha com a criticidade da relação estabelecida, devendo ser monitorada ao longo da relação, sobretudo se essa for de médio a alto risco, cabendo ainda o monitoramento e a capacitação dos terceiros alocados internamente.