Por Luis Fernando Prado* – Como em qualquer outro tópico da governança em privacidade e proteção de dados, na gestão de terceiros (parceiros e fornecedores) não existe certo ou errado – e quem seria eu para dizer o que é certo. No entanto, devo alguns fios de cabelos brancos recentemente conquistados aos desafios complexos que enfrentamos diariamente com nossos clientes na gestão da privacidade, o que me faz querer compartilhar com colegas algumas práticas que me parecem evitáveis em relação ao tema.
Sem dúvidas, a gestão de terceiros é um ponto de atenção a qualquer empresa, seja pelo trabalho potencialmente infindável que quase sempre há nessa frente, seja pelo amplo interesse que o tema vem ganhando junto à Autoridade Nacional de Proteção de Dados (ANPD) em processos de investigação. Também é verdade que, assim como em muitos dos pilares da governança em privacidade, um nível excelente de controle é quase utopia, especialmente ao considerarmos os mais diversos graus de maturidade de fornecedores e parceiros, os quais, em muitos casos, são essenciais para o negócio.
Nesse ponto, sou contra a romantização e/ou simplificação com que alguns colegas abordam o tema: “ah, Luis, mas se o fornecedor não apresentar um nível adequado, a gente barra e busca outro”. Quem dera essa resolução servisse sempre. Na verdade, vejo em afirmações desse tipo muitos desafios, a começar pelo fato de que, em variadas situações, simplesmente não há outro player que entregue o mesmo produto ou serviço.
Além disso, qualquer organização privada, por mais madura e responsável que seja, é movida pelo negócio. A organização é o corpo e o negócio é o sangue que por ele corre, de modo que, assim como no corpo humano, caso o sangue encontre obstáculo intransponível para percorrer seu caminho, ele simplesmente criará outro, provavelmente mais preocupante.
Diante de tantos desafios que o tema impõe aos profissionais de privacidade, separei abaixo algumas recomendações do que se evitar quando o tema é a gestão de terceiros. Veja se concorda comigo.
1. Encarar o terceiro como adversário.
Sua empresa e a empresa contratada têm uma sinergia clara, caso contrário a contratação não seria cogitada. Além disso, sua empresa pode até manter rotinas de controle e fiscalização, mas deve lembrar que o terceiro é fundamental para o compromisso de tratar os dados de forma adequada e segura – e até mesmo implementar alguma recomendação de melhoria que venha a ser proposta.
Portanto, você/seu time dependem (e muito) da empresa contratada, sendo que, tratá-la como adversária, como se a contratação fosse um litígio, certamente, não será benéfico.
2. Achar que o questionário/formulário é a coisa mais importante.
Manter um questionário/formulário como instrumento para medir o nível de maturidade da parte contratada é, sim, parte importante de todo processo de gestão de terceiros. Importante, mas não o mais importante, muito menos um fim em si mesmo. O mais relevante é, na verdade, o que vem depois do formulário, ou seja, o que a empresa fará a partir das respostas recebidas.
Na prática, vemos muita gente orgulhosa do conteúdo de seus questionários, mas ainda são poucas as empresas que realmente definem outputs claros e tangíveis a partir das respostas às perguntas que são feitas. Antes das perguntas, devemos pensar no que queremos medir e por que queremos medir. A pergunta pela pergunta, sem que traga um output diretamente relacionado à resposta que lhe é dada, é, provavelmente, inútil e deveria ser excluída do formulário de avaliação de terceiros.
Nesse sentido, o ideal é desenhar o processo de avaliação de terceiros de trás para frente, ou seja, sabendo o que queremos, saberemos exatamente o que perguntar para se chegar àquele resultado. Já quando o processo é desenhado a partir do formulário, a tendência é que a nossa criatividade nos mova a um brainstorming de perguntas que, ao final, não terão aportado real utilidade.
3. Exigir requisitos para além do razoável – e muito além do que se tem dentro de casa.
Muito frequentemente, vimos empresas exigindo da contraparte requisitos e controles super rigorosos, que nem mesmo a empresa proponente mantém dentro de casa. Isso é um verdadeiro tiro no pé, porque: (i) há grandes chances de, durante as negociações contratuais, pactuar-se que tais exigências serão bilaterais, ou seja, exigíveis de ambas as partes; e (ii) se a empresa considera tais requisitos importantes a ponto de exigir de terceiros, mas ela mesmo não os possui, isso é quase uma confissão de culpa (negligência) em relação a possível tratamento inadequado dos dados.
É aquela velha história do telhado de vidro, sendo que a última coisa que queremos é que o nosso próprio processo de gestão de terceiros exponha a nossa cobertura, especialmente caso ela não seja robusta o suficiente.
4. Aplicar a mesma régua para diferentes contextos.
Quer tornar o processo de gestão de terceiros impraticável na sua empresa? Se a organização contar com centenas (ou até mesmo milhares) de fornecedores e parceiros, basta se propor a avaliar o fornecedor de insumos para toaletes com a mesma régua (e complexidade) que um fornecedor estratégico de tecnologia inovadora focada em dados.
A única forma efetiva que conheço até hoje de endereçar o tema de gestão de terceiros em grandes empresas é fazê-lo de forma estratégica, desenhando caminhos mais ou menos complexos de acordo com o objeto da contratação. Os recursos – humanos ou financeiros – são sempre insuficientes para que tempo seja despendido com situações em que o risco relacionado ao objeto da contratação é mínimo no que diz respeito a privacidade e proteção de dados.
Nesse contexto, para sermos eficientes e assertivos, é extremamente importante que a matriz utilizada na gestão de terceiros leve em consideração o objeto do que está sendo contratado – e não apenas o porte/nível de maturidade do terceiro.
5. Entrar em discussões teóricas infindáveis.
Por fim, a última “pegadinha” que observo no dia a dia da gestão de terceiros está bastante relacionada à infindável discussão de conceitos jurídicos que, em muitas situações, tem zero repercussão prática. A principal delas é aquela do cabo de guerra controlador/operador.
Nesse ponto, relembro que não é o contrato que define a posição das partes em relação ao tratamento de dados, e sim quais atividades elas de fato conduzem na prática. Caso a parte contratada tome decisões relevantes referentes ao tratamento de dados pessoais, ela, provavelmente, será controladora dos dados pessoais, ainda que o contrato diga o contrário. Ainda assim, muitas vezes as partes estão de acordo com todas as demais cláusulas do contrato, mas gastam horas, dias ou semanas discutindo algo que não é definido pelo contrato, mas sim pelos fatos, que é a posição controladora/operadora.
Em outras palavras, a definição que consta no contrato jamais poderá se sobrepor ao conceito introduzido pela própria LGPD, o qual, para ser corretamente interpretado, depende de uma análise fática de quais atividades são efetivamente conduzidas por cada organização. Portanto, parece-me evidente que essa discussão assume um grau menor de importância frente às demais cláusulas contratuais, que, por exemplo, distribuirão responsabilidades entre as partes.
E você, quais desafios presencia na gestão de terceiros em privacidade?
*Luis Fernando Prado, sócio do Prado Vidigal Advogados