Publicado na Exame.com, 28/07/2021.
Por Flávio Machado, sócio do escritório Filhorini Advogados Associados
Aprovada em 2018, a LGPD (Lei Geral de Proteção de Dados) entra em sua fase final de implementação a partir de 1º de agosto de 2021. As empresas e órgãos públicos que não se adaptaram à norma poderão ser punidos com sanções que variam de simples advertência a multas de até R$ 50 milhões. Curiosamente, somente agora algumas empresas se deram conta de que dados pessoais pertencentes a seus colaboradores, empregados, clientes e fornecedores trafegam livremente por sua rede de computadores.
O crescimento da integração de negócios
Na verdade, desde os anos 1980, a automatização e a informatização de negócios e empresas conduziu a uma estratégia em que “mais informação é ótimo”, tornando os bancos de dados cada vez mais abrangentes, não raramente, exigindo informações desnecessárias ao negócio e, mais frequentemente ainda, sem maiores preocupações com a verificação, integridade e segurança de tais informações.
Essa situação veio em um crescente, pois nas décadas seguintes houve tendências como o downsizing e a terceirização de atividades. Essas atividades naturalmente direcionavam à integração de negócios e, consequentemente, de informações, bem como leis e regulamentos que obrigavam ao rastreamento (traceability) de fornecedores, seja por razões sanitárias ou por conta de responsabilização no Código de Defesa do Consumidor.
Essa questão torna-se mais sensível quando uma empresa faz parte de uma cadeia de distribuição mais ampla e integrada, comumente designada por supply chain. Esse termo compreende os métodos e operações que compõem a fabricação, logística e distribuição de um produto, desde o pedido, aquisição de matérias-primas e insumos, industrialização e a entrega para o consumidor final.
Por suas características, o supply chain exige uma maior coordenação entre os fornecedores, fabricantes e operadores logísticos, que é lograda por intermédio de uma integração de dados entre as empresas de tais cadeias que, algumas vezes, pode acontecer até mesmo informalmente e com o compartilhamento de informação sensível e mais ampla que aquela necessária à consecução da operação visada, o que pode incluir dados pessoais de colaboradores, fornecedores e clientes na cadeia de distribuição.
Nesse contexto, enquanto as forças econômicas de mercado apontam para uma maior integração e compartilhamento de informações, a LGPD parece remar em outra direção, colocando exigências maiores ao compartilhamento, objetivando proteger os dados pessoais e a privacidade.
Vale aqui a ressalva que este artigo não faz crítica negativa à tecnologia de supply chain. Ao contrário, é sabido que as principais empresas de tecnologia nesse ramo, há muito, mesmo antes da LGPD, projetam produtos com a preocupação no tratamento de informações que, normalmente, são altamente críticas e sigilosas, valendo-se de recursos como bases de dados criptografadas, conexões por canal seguro e a homologação prévia do fornecedor pelo comprador na plataforma.
Contudo, nem todas pequenas e médias empresas prestam serviços para grandes empresas que têm acesso a tais plataformas. Diferentemente do que acontece em outros setores da economia, em que há a relação direta entre o fornecedor e o consumidor final, nas cadeias de distribuição e de suprimento as informações coletadas são coletadas entre empresas e, muitas vezes, compartilhadas ao longo da cadeia, seja à montante seja à jusante, o que exige maior precaução, tanto quanto a dados pessoais de fornecedores e clientes, quanto também com relação a dados sigilosos e confidenciais.
Cuidados na relação com fornecedores e clientes
Para abordar a questão de forma pragmática, nunca será demais lembrar e relembrar a regra dourada da LGPD: o tratamento de dados pessoais depende da adequação às bases legais da lei, dando particular enfoque à adaptação aos princípios da finalidade, transparência e prestação de contas, ao tratamento informado e à mitigação de riscos. O cliente é o titular dos seus dados pessoais.
No caso específico das “cadeias” de distribuição — as quais, na prática, são redes com vários nós, estas tendem a apresentar riscos agravados por várias razões; entre outras, haver maiores volumes de dados que são trocados de forma dinâmica ao longo da rede e tais dados se constituírem em parte de dados estratégicos, confidenciais e sigilosos, o que incluem dados pessoais, cujo tratamento irregular pode resultar em sérios prejuízos e danos, inclusive, morais, de sorte que diversos cuidados devem ser tomados.
Primeiramente, recomendamos um levantamento cuidadoso das informações que precisam necessariamente fluir pela cadeia (rede) de fornecimento, visto que tendem a ser mais longas e capilarizadas. Isso suscita a avaliação de quais delas devem ser disponibilizadas a cada nó, restringindo-as ao mínimo necessário, sem prejuízo de informações necessárias como, por exemplo, aquela atinente à rastreabilidade.
Nessa mesma linha, deve-se proceder um inventário com a finalidade de determinar a compatibilidade de sua “cibersegurança”, ou seja, a disponibilidade de equipamentos e sistemas compatíveis, com o necessário isolamento de outros sistemas, de modo a assegurar a segurança física e lógica de dados em cada um dos ambientes.
Nesse sentido, deve-se coletar e analisar individualmente a adequação LGPD de cada ambiente. Por certo, isso também inclui as políticas internas da empresa, práticas de proteção de dados pessoais, confidenciais e sigilosos, e o treinamento de pessoal, visando assegurar compatibilidade quanto ao tratamento de informações, tendo por princípio que uma corrente é tão forte quanto seu elo mais fraco.
Por fim, costurando tudo isso, deve-se preparar contratos que estabeleçam claramente a manutenção de condições mínimas e protocolos, inclusive, para o caso de possíveis vazamentos. É necessário estabelecer procedimentos de correção, mitigação e proteção, inclusive com a comunicação aos demais nós da cadeia de fornecimento e para Autoridade Nacional de Proteção de Dados (ANPD).
Necessariamente, esses instrumentos contratuais deverão prever, também, a necessária comunicação aos demais integrantes da cadeia, sempre que houver alguma alteração de qualquer das condições anteriormente mencionadas, assim como a realização de auditorias periódicas, inclusive, com a simulação de testes e ataques, que deverão constar de relatórios.
