LGPD: Lei Geral de Proteção de Dados
Diversas empresas investiram pesadamente para se adequar às exigências da LGPD, adotando múltiplas providências. Entre as principais, estão registros de operações de tratamento, definição de bases legais, avaliações de legítimo interesse, relatórios de impacto à proteção de dados pessoais, procedimentos para atendimento a solicitações de titulares, políticas e procedimentos, planos de resposta a incidentes, nomeação de DPO e criação de times de privacidade, ajustes em cláusulas e anexos contratuais e adoção de diversas medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.
Todas essas providências são essenciais e trazem segurança jurídica. Porém, elas se referem apenas à conformidade da própria empresa à legislação. É preciso ir além, porque os riscos da não-conformidade de parceiros e de clientes à LGPD podem gerar diversos problemas.
No contexto de prestadores de serviços que tratam dados pessoais para clientes empresariais – tais como armazenamento em nuvem, folha de pagamento online, onboarding digital, entre outros – a lei estabelece que a empresa contratante dos serviços é responsável por eventuais danos. Em certos casos, pode haver também responsabilidade conjunta do próprio prestador de serviços. Ao contrário do que muitos imaginam, a responsabilidade exclusiva do prestador de serviços é exceção, e não a regra.
Isso porque o dever de garantir a conformidade das operações de tratamento à LGPD recai sempre sobre a empresa que determina as finalidades e os métodos de tratamento ("controladora") – aqui, a contratante dos serviços. Se uma empresa opta por utilizar prestadores de serviço que não estejam em conformidade com a LGPD, ela poderá ser responsabilizada por eventuais violações da lei que ocorram nas atividades de tratamento realizadas por esses prestadores de serviço que escolheu contratar. Isso também se aplica a eventuais subcontratados dos prestadores de serviço.
No contexto de parcerias e atendimento a clientes, também são necessárias precauções. A lei estabelece como regra geral que, quando várias empresas estão diretamente envolvidas nas mesmas atividades de tratamento de dados, elas têm responsabilidade conjunta. Eventual isenção de responsabilidade depende de comprovação de uma das exceções previstas na lei. Além disso, quando os dados pessoais se referem a consumidores, aplica-se o regime de responsabilidade do Código de Defesa do Consumidor, o que quase sempre implica na responsabilidade conjunta de todas as empresas envolvidas.
Tudo isso tem uma consequência prática extremamente importante: antes de realizar qualquer contratação, é imprescindível conduzir avaliações específicas de privacidade e proteção de dados ao selecionar fornecedores, parceiros e clientes que terão acesso aos dados pessoais da empresa.
Essa conduta pode prevenir responsabilidades. Na Europa, há decisões no sentido de que a falta de diligência em não monitorar as ações de parceiros em atividades envolvendo o tratamento de dados pessoais já é suficiente para a responsabilização, mesmo que nunca tenha havido um incidente de segurança e a relação entre as empresas seja de longa duração. Um exemplo foi a multa de €1,000,000 (um milhão de euros) aplicada a uma empresa de energia pela autoridade polonesa de proteção de dados, em virtude de não ter conferido a conformidade de seu parceiro à GDPR, optando por apenas confiar no relacionamento de longo prazo entre as partes e da suposta liderança de mercado desse parceiro.
Nos termos dessa decisão, “a cooperação de longo prazo das partes, não apoiada por auditorias ou inspeções periódicas e sistemáticas, não garante que o operador desempenhará adequadamente as tarefas exigidas por lei e decorrentes do contrato celebrado. Uma cooperação positivamente avaliada no passado pode apenas ser um ponto de partida para verificar se o operador fornece garantias suficientes para implementar medidas técnicas e organizacionais apropriadas, de modo que o tratamento cumpra os requisitos do GDPR e proteja os direitos dos titulares dos dados”.
Como se constata, observando-se sempre o grau de risco que cada terceiro representa, é essencial avaliar práticas, políticas e medidas de segurança para assegurar que estejam em conformidade com as exigências da LGPD e as expectativas da Autoridade Nacional de Proteção de Dados (ANPD). Deixar de tomar esses cuidados pode expor a empresa a riscos e responsabilidades decorrentes da não-conformidade desses terceiros.