Seu fornecedor vazou dados dos seus clientes: quem responde pela LGPD?

Você contratou uma agência de marketing para gerenciar sua base de leads. Ou uma empresa de cobrança para contatar clientes inadimplentes. Ou um sistema de RH terceirizado que armazena dados dos seus colaboradores. Um dia, esses dados vazam e os clientes afetados ligam para a sua empresa cobrando explicações.

A pergunta que a maioria dos empresários faz nesse momento é: o problema não é da empresa que eu contratei?

A LGPD tem uma resposta direta para isso: não necessariamente.

O que a lei diz sobre quem é responsável

A LGPD divide quem lida com dados em duas categorias: o controlador, que é a empresa que decide por que e como os dados serão tratados, e o operador, que é quem executa esse tratamento em nome do controlador, seguindo suas instruções.

Na prática, quando você contrata um fornecedor para tratar dados dos seus clientes ou colaboradores, você continua sendo o controlador. O fornecedor é o operador. E a lei é clara: o controlador responde pelos danos causados no tratamento de dados, mesmo quando quem executou o tratamento foi o operador.

Isso significa que, se a agência de marketing que você contratou tiver uma falha de segurança e dados dos seus clientes forem expostos, a ANPD pode autuá-lo e os titulares afetados podem processar a sua empresa, independentemente de quem tecnicamente causou o problema.

Por que isso acontece na prática

A lógica da LGPD é que o controlador escolheu aquele fornecedor, decidiu compartilhar os dados com ele e determinou como o tratamento seria feito. Se essa escolha foi feita sem cuidado, sem verificar as medidas de segurança do fornecedor, sem contrato adequado, sem monitoramento, o controlador contribuiu para o risco.

A responsabilidade do operador existe também, mas ela é solidária: ambos podem ser responsabilizados. E na prática, quem o cliente lesado vai acionar primeiro é a sua empresa, que é a que ele conhece, com quem tem relacionamento e a quem forneceu os dados.

O erro mais comum: terceirizar sem contrato de processamento de dados

A maioria das empresas que terceiriza serviços que envolvem dados pessoais assina um contrato de prestação de serviços genérico e para por aí. Esse contrato não é suficiente para a LGPD.

A lei exige que o controlador formalize com o operador um instrumento jurídico que estabeleça pelo menos: as instruções específicas sobre como os dados devem ser tratados, as obrigações de segurança que o operador deve cumprir, a proibição de usar os dados para outras finalidades, o que acontece com os dados ao fim do contrato, e a obrigação de comunicar incidentes ao controlador imediatamente.

Sem esse instrumento, a sua empresa fica em uma posição ainda mais vulnerável: não consegue demonstrar que deu instruções adequadas ao operador, e dificilmente conseguirá acionar o operador em regresso se for condenada a indenizar um titular.

Os casos que mais geram exposição

Alguns contextos concentram o maior risco de responsabilização do controlador por falha do operador.

Agências de marketing e CRM concentram bases de contatos, histórico de compras e preferências, dados que costumam ser transferidos sem qualquer formalização de tratamento e com retenção indefinida após o fim do contrato.

Serviços de RH e folha de pagamento podem envolver dados sensíveis de colaboradores tratados por plataformas SaaS ou bureaus de RH, muitas vezes sem contrato de tratamento específico e sem definição clara de quem controla o quê.

Empresas de cobrança e recuperação de crédito recebem dados financeiros e de contato de clientes inadimplentes com frequência e raramente com cláusulas de segurança e descarte adequadas.

Parceiros de integração de sistemas são empresas de tecnologia que recebem acesso a APIs, bancos de dados ou sistemas com dados de clientes para fazer integrações pontuais e muitas vezes mantêm esse acesso muito além do necessário.

O que o contrato precisa ter

Para reduzir a sua exposição, o contrato com qualquer fornecedor que trate dados em seu nome precisa ir além do padrão genérico. Os pontos mínimos são:

• Definição clara de que o fornecedor atua como operador e não pode utilizar os dados para finalidades próprias.

• Obrigações de segurança técnica e organizacional, alinhadas ao nível de risco dos dados tratados.

• Prazo e forma de descarte ou devolução dos dados ao fim do contrato.

• Obrigação de comunicar incidentes ao controlador em prazo específico, pois você, como controlador, tem obrigação de notificar a ANPD em até 3 dias úteis após tomar conhecimento.

• Direito de auditoria ou exigência de relatórios periódicos de conformidade.

• Regras para subcontratação: se o seu fornecedor puder contratar outros para tratar os dados, você precisa saber disso e autorizar.

O que fazer se você já tem contratos sem essas cláusulas

A resposta prática não é rescindir todos os contratos. É priorizar os fornecedores que tratam maior volume de dados ou dados mais sensíveis e renegociar os instrumentos jurídicos com eles.

Um mapeamento simples dos fornecedores que têm acesso a dados dos seus clientes ou colaboradores já permite identificar os maiores pontos de exposição e definir por onde começar.

A proteção começa antes do problema

A LGPD não impede que você use fornecedores para tratar dados. O que ela exige é que você exerça diligência na escolha desses fornecedores e na formalização da relação. Isso não é burocracia: é a diferença entre ter argumentos jurídicos sólidos em caso de incidente ou responder integralmente por um problema que não foi diretamente causado por você.

Se a sua empresa terceiriza serviços que envolvem dados de clientes ou colaboradores e ainda não formalizou adequadamente essa relação, este é o momento de revisar.

O Reis Araujo Advogados assessora empresas na adequação à LGPD, incluindo a revisão e elaboração de contratos com fornecedores e operadores de dados. Entre em contato para uma avaliação do seu cenário.