A experiência acumulada como encarregado de dados pessoais em grandes organizações permitiu constatar os reais vetores que aceleraram a incorporação da temática da privacidade nos planejamentos estratégicos empresariais. Essa transformação não se deve exclusivamente ao aumento de incidentes de segurança — muitos deles impulsionados pelo avanço da inteligência artificial —, nem às demandas judiciais movidas por falhas de segurança ou violações aos direitos dos titulares, tampouco às fiscalizações promovidas pela autoridade reguladora (atualmente Agência). Embora esses fatores contribuam, a maturidade e o desenvolvimento dos programas de governança, tanto em organizações públicas quanto privadas, têm origem essencialmente nas dinâmicas do próprio mercado e são vistas desde o início da cadeia produtiva, muito antes de qualquer trato direto ou solicitação de um titular de dados. Indústrias brasileiras, independentemente do setor ou da quantidade de dados pessoais compartilhados, são frequentemente solicitadas a responder questionários de privacidade nas diligências prévias à seleção de parceiros comerciais, ainda que para aquisição de matéria-prima.
Parece despropositada tal exigência — afinal, “estão adquirindo meros insumos” —, porém é fundada em elementos concretos e sólidos. A exportadora não pode compartilhar dados de seus colaboradores, por exemplo, sem que o país de destino seja adequado e que o cliente importador demonstre ter colocado em prática mecanismos administrativos e técnicos para proteger os dados. A exportadora reduz, assim, um risco jurídico e reputacional, haja vista que essa due diligence com fornecedores ou parceiros demonstra boa prática de segurança e pode reduzir o peso de uma sanção (praticamente todas as leis de privacidade tratam dessa forma). Mais do que isso, qualquer incidente reputacional de um parceiro poderá repercutir no exportador. Obviamente que nem todas as situações demandam o mesmo rigor, porém é esperado que as organizações adotem o padrão mais elevado para todas as relações com terceiros, como a boa prática de governança recomenda àquelas organizações sujeitas a leis de diferentes países. No Brasil, a indústria recorrerá a terceiros para vender produtos acabados, como distribuidores, softwares ERP, IA, contabilidade, jurídico e limpeza. Assim, será necessário garantir que eles sigam boas práticas, replicando a autofiscalização a que foi originariamente submetida.
As avaliações estão mais rígidas: não basta preencher formulários ou enviar PDFs de políticas. É preciso apresentar evidências concretas, como comprovação de treinamentos ou controles internos que efetivam as políticas. Essas exigências estão cada vez mais comuns em contratações públicas e tendem a aumentar após recentes fiscalizações do Tribunal de Contas da União sobre o cumprimento da LGPD por órgãos públicos.
O protagonismo do mercado não significa que a ANPD esteja inativa. Diversas resoluções detalham procedimentos, preenchem lacunas da LGPD e abordam desafios atuais, como inteligência artificial e redes sociais para crianças e jovens. Destacam-se normas sobre incidentes e transferência internacional de dados, exigindo cláusulas contratuais para garantir conformidade e cumprir prazos de notificação.
Esse processo de autofiscalização, realizado principalmente através de exigências de parceiros comerciais, está “forçando” até mesmo organizações mais descrentes e resistentes a adotar práticas compatíveis com a LGPD. Em um ambiente cada vez mais vigilante, essas organizações acabam sendo compelidas a rever e adequar rapidamente suas condutas. Caso contrário, correm o risco real de serem consideradas inaptas ou inadequadas aos olhos atentos de potenciais parceiros comerciais, o que pode comprometer oportunidades de negócio e a própria reputação no mercado.
Rafael Maciel,
sócio da Rodovalho Advogados
