Antes mesmo da reforma trabalhista em 2017 o fenômeno da terceirização já era uma realidade pujante, em razão da crescente tendência das organizações dedicarem-se a suas atividades-fim, delegando atividades de outra natureza a empresas terceirizadas. O outsourcing, como é denominado o fenômeno da terceirização na expressão estrangeira, era mais comum nas seguintes áreas: jurídico, contabilidade, marketing, tecnologia da informação, armazenamento de serviço em nuvem, recursos humanos, processamento de folha de pagamento, manufatura (indústria), limpeza e segurança; desde que, por óbvio, essa não fosse a atividade principal da organização. Contudo, a partir de 2017 com a mencionada reforma das leis trabalhistas não há sequer mais esse tipo de restrição.
Fato é, que para que esses fornecedores e tomadores de serviços operacionalizem suas atividades, invariavelmente, esses agentes trocam informações, inclusive dados pessoais. Em termos de Lei Geral de Proteção de Dados, esse fenômeno mercadológico traz uma série de obrigações tocante a privacidade e proteção de dados, fundamentalmente em termos contratuais, pois a partir da entrada em vigor da lei passa a coexistir responsabilidade entre os agentes.
A LGPD criou as figuras dos agentes de tratamento de dados pessoais, são eles o Controlador e Operador. Nos termos do Artigo 5°, VI e VII da LGPD, respectivamente, Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; e, operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Nos exemplos de empresas fornecedoras de serviços, em razão do fenômeno da terceirização, certamente, tais empresas prestadoras de serviços, figurariam como Operadora nas atividades de tratamento de dados pessoais. Ocorre que o Controlador é o responsável pelos dados pessoais a ele confiados, por assim dizer, e deve assegurar-se nos termos da legislação, que o Operador possui condições técnicas e administrativas de salvaguarda dos dados pessoais a ele confiado, uma vez que recai sobre ele, Controlador, a maior carga de responsabilidade na hipótese de uma violação de dados pessoais.
O entendimento da operação e da atividade de tratamento, e definição contratual, do objeto, duração do tratamento, a natureza e finalidade do tratamento dos dados; identificando os reais papéis dos agentes na relação e os requisitos técnicos e jurídicos para prevenção e segurança dos dados pessoais, com a correta alocação de responsabilidades, é fundamental para a elaboração do DPA – Data Processing Agreement “Acordo de Processamento de Dados”. Gerenciar os riscos no tratamento de dados pessoais entre fornecedores e tomadores de serviços da organização é item de conformidade de extrema relevância para adequação à LGPD, pois sua inobservância pode gerar sérios impactos financeiros e reputacionais as organizações.
A jornada rumo a conformidade à LGPD perpassa pela avaliação inicial da organização, com o entendimento inicial de seus processos de negócios e requisitos de privacidade e proteção de dados, com o foco na descoberta do dado pessoal e seu ciclo de vida, a fim de identificar terceiros envolvidos nas atividades de tratamento e estabelecer seus papéis e responsabilidades nos termos da lei, de sorte a gerenciar os riscos no tratamento de dados entre fornecedores e tomadores de serviços.
Nesse passo, é importante destacar, que essa abordagem deve ser multidisciplinar, sob a perspectiva de governança de dados, jurídico e segurança da informação, com objetivo de levantar insumos para efetiva análise do nível de maturidade da organização, em termos de privacidade e proteção de dados. A avaliação/diagnóstico inicial, por vezes denominada assessment, auxiliará a organização a conhecer quais os requisitos da lei; não de forma abstrata, mas dentro da realidade do seu negócio/operação, priorizando as questões emergenciais e definindo um plano assertivo de ação.
Por: Dr. Jean Carlos Fernandes