Como se preparar para o impactos da LGPD na cadeia de fornecedores
Para pequenas e médias empresas, o acesso a fornecedores que tenham canais seguros para troca de informações pode ser mais difícil. Entenda como elas podem tratar os dados e que cuidados devem tomar
Da Redação
Publicado em 28 de julho de 2021 às 17h02.
Última atualização em 28 de julho de 2021 às 17h03.
Por Flávio Machado, sócio do escritório Filhorini Advogados Associados
Aprovada em 2018, a LGPD (Lei Geral de Proteção de Dados) entra em sua fase final de implementação a partir de 1º de agosto de 2021. As empresas e órgãos públicos que não se adaptaram à norma poderão ser punidos com sanções que variam de simples advertência a multas de até R$ 50 milhões. Curiosamente, somente agora algumas empresas se deram conta de que dados pessoais pertencentes a seus colaboradores, empregados, clientes e fornecedores trafegam livremente por sua rede de computadores.
O crescimento da integração de negócios
Na verdade, desde os anos 1980, a automatização e a informatização de negócios e empresas conduziu a uma estratégia em que “mais informação é ótimo”, tornando os bancos de dados cada vez mais abrangentes, não raramente, exigindo informações desnecessárias ao negócio e, mais frequentemente ainda, sem maiores preocupações com a verificação, integridade e segurança de tais informações.
Essa situação veio em um crescente, pois nas décadas seguintes houve tendências como o downsizing e a terceirização de atividades. Essas atividades naturalmente direcionavam à integração de negócios e, consequentemente, de informações, bem como leis e regulamentos que obrigavam ao rastreamento (traceability) de fornecedores, seja por razões sanitárias ou por conta de responsabilização no Código de Defesa do Consumidor.
Essa questão torna-se mais sensível quando uma empresa faz parte de uma cadeia de distribuição mais ampla e integrada, comumente designada por supply chain. Esse termo compreende os métodos e operações que compõem a fabricação, logística e distribuição de um produto, desde o pedido, aquisição de matérias-primas e insumos, industrialização e a entrega para o consumidor final.
Por suas características, o supply chain exige uma maior coordenação entre os fornecedores, fabricantes e operadores logísticos, que é lograda por intermédio de uma integração de dados entre as empresas de tais cadeias que, algumas vezes, pode acontecer até mesmo informalmente e com o compartilhamento de informação sensível e mais ampla que aquela necessária à consecução da operação visada, o que pode incluir dados pessoais de colaboradores, fornecedores e clientes na cadeia de distribuição.
Nesse contexto, enquanto as forças econômicas de mercado apontam para uma maior integração e compartilhamento de informações, a LGPD parece remar em outra direção, colocando exigências maiores ao compartilhamento, objetivando proteger os dados pessoais e a privacidade.
Vale aqui a ressalva que este artigo não faz crítica negativa à tecnologia de supply chain. Ao contrário, é sabido que as principais empresas de tecnologia nesse ramo, há muito, mesmo antes da LGPD, projetam produtos com a preocupação no tratamento de informações que, normalmente, são altamente críticas e sigilosas, valendo-se de recursos como bases de dados criptografadas, conexões por canal seguro e a homologação prévia do fornecedor pelo comprador na plataforma.
Contudo, nem todas pequenas e médias empresas prestam serviços para grandes empresas que têm acesso a tais plataformas. Diferentemente do que acontece em outros setores da economia, em que há a relação direta entre o fornecedor e o consumidor final, nas cadeias de distribuição e de suprimento as informações coletadas são coletadas entre empresas e, muitas vezes, compartilhadas ao longo da cadeia, seja à montante seja à jusante, o que exige maior precaução, tanto quanto a dados pessoais de fornecedores e clientes, quanto também com relação a dados sigilosos e confidenciais.
Cuidados na relação com fornecedores e clientes
Para abordar a questão de forma pragmática, nunca será demais lembrar e relembrar a regra dourada da LGPD: o tratamento de dados pessoais depende da adequação às bases legais da lei, dando particular enfoque à adaptação aos princípios da finalidade, transparência e prestação de contas, ao tratamento informado e à mitigação de riscos. O cliente é o titular dos seus dados pessoais.
No caso específico das “cadeias” de distribuição — as quais, na prática, são redes com vários nós, estas tendem a apresentar riscos agravados por várias razões; entre outras, haver maiores volumes de dados que são trocados de forma dinâmica ao longo da rede e tais dados se constituírem em parte de dados estratégicos, confidenciais e sigilosos, o que incluem dados pessoais, cujo tratamento irregular pode resultar em sérios prejuízos e danos, inclusive, morais, de sorte que diversos cuidados devem ser tomados.
Primeiramente, recomendamos um levantamento cuidadoso das informações que precisam necessariamente fluir pela cadeia (rede) de fornecimento, visto que tendem a ser mais longas e capilarizadas. Isso suscita a avaliação de quais delas devem ser disponibilizadas a cada nó, restringindo-as ao mínimo necessário, sem prejuízo de informações necessárias como, por exemplo, aquela atinente à rastreabilidade.
Nessa mesma linha, deve-se proceder um inventário com a finalidade de determinar a compatibilidade de sua “cibersegurança”, ou seja, a disponibilidade de equipamentos e sistemas compatíveis, com o necessário isolamento de outros sistemas, de modo a assegurar a segurança física e lógica de dados em cada um dos ambientes.
Nesse sentido, deve-se coletar e analisar individualmente a adequação LGPD de cada ambiente. Por certo, isso também inclui as políticas internas da empresa, práticas de proteção de dados pessoais, confidenciais e sigilosos, e o treinamento de pessoal, visando assegurar compatibilidade quanto ao tratamento de informações, tendo por princípio que uma corrente é tão forte quanto seu elo mais fraco.
Por fim, costurando tudo isso, deve-se preparar contratos que estabeleçam claramente a manutenção de condições mínimas e protocolos, inclusive, para o caso de possíveis vazamentos. É necessário estabelecer procedimentos de correção, mitigação e proteção, inclusive com a comunicação aos demais nós da cadeia de fornecimento e para Autoridade Nacional de Proteção de Dados (ANPD).
Necessariamente, esses instrumentos contratuais deverão prever, também, a necessária comunicação aos demais integrantes da cadeia, sempre que houver alguma alteração de qualquer das condições anteriormente mencionadas, assim como a realização de auditorias periódicas, inclusive, com a simulação de testes e ataques, que deverão constar de relatórios.
Tem dúvidas sobre como administrar a sua pequena empresa? Assine a EXAME e tenha acesso a conteúdos semanais sobre o assunto.