Você sabe Elaborar um Questionário de Due Diligence em Proteção de Dados Pessoais?

A Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13709/18) representa um grande avanço legislativo e uma necessária camada protetiva social, nascendo da necessidade de frear o evidente abuso no uso e no compartilhamento irrestrito de dados pessoais. Ficou conhecida popularmente como LGPD, embora seja mais correta a sigla LGPDP, uma vez que o termo “Pessoais” é fundamental para sabermos qual tipo de dados visa proteger. Tal distinção se faz importante porque o campo da proteção de dados e, mais ainda, o da segurança da informação são muito maiores e é neles que estão contidos os dados pessoais.

Critérios para adequação à LGPDP

É necessário entender que o nível de adequação à LGPDP não é padronizado. Existem diversos critérios a atender, que variam por conta de fatores decorrentes das peculiaridades de cada caso e que demandariam um estudo próprio, que não é o objeto deste artigo. Contudo, podemos determinar, por exemplo, que as exigências sobre um birô de crédito são diferentes do quanto exigido de um escritório de marketing, muito embora eles possam tratar informações com semelhante nível de criticidade. 

Então, neste cenário, fica claro que a adequação deve ser baseada levando-se em conta também fatores como: (i) o tipo de negócio – área de atuação e porte da empresa; e (ii) o nível de risco gerado pela informação compartilhada. Ou seja, no caso em tela, elaborar o programa de LGPDP sem considerar o porte da empresa ou o nível de criticidade da informação, poderá não produzir um programa adequado ao interesse do titular e do controlador. 

Necessidade de Due Diligence

Deste modo, mediante a complexidade de fatores, a adequação para o cumprimento da LGPDP, por não ser padronizada, acaba imergindo em subjetividade. Logo, para se conhecer a extensão do que acontecerá com os dados numa cadeia que se estende além do controlador, é altamente recomendável a execução de Due Diligence nos terceiros com quem serão compartilhados os dados pessoais – uma espécie de auditoria prévia com escopo reduzido, que busca entender o tamanho e a abrangência do problema, por meio da análise dos níveis de controles, processos, Compliance, segurança e proteção que estarão sujeitos os dados pessoais no tratamento ou armazenagem. 

Claro que é necessário se levar em conta os custos envolvidos na Due Diligence, compatibilizando o risco mais elevado para os dados pessoais, com os custos proporcionais ao porte do negócio. Mas tenha em mente que conhecer e entender o terceiro com quem compartilhará os dados pessoais é primordial para todos os tamanhos de negócios.

Objetivo da Due Diligence 

Esta Due Diligence deve ter o objetivo de subsidiar a tomada de decisões pelo controlador. Isto parece óbvio de ser dito, porém, em muitos casos não parece se refletir na prática. O que se verifica com maior frequência são providências genéricas que não aproximam o controlador das decisões necessárias. São ações que partem do ponto de vista da legislação, para atender à legislação, que se repetem em diferentes programas, contudo, sem identidade com o negócio que está especificamente sob adequação, tornando o programa apenas parcialmente eficaz e inconclusivo.

Questionário de Due Diligence, para que serve?

Dentre as ferramentas mais comumente empregadas para a Due Diligence de terceiros, temos o questionário de LGPDP. Ele é elaborado pelo controlador e enviado ao terceiro, a fim que suas respostas permitam entender tópicos como:

• quem é e qual o objeto social do terceiro; 
• se está adequado à LGPD; 
• a forma e local de armazenamento (inclusive se no Brasil ou no exterior);
• a integridade dos dados armazenados;
• o controle e os níveis de acesso à informação; 
• a segurança aplicada sobre os dados pessoais compartilhados; 
• a conscientização dos seus colaboradores sobre a LGPD;
• o plano de continuidade e de contingência;
• o prazo de armazenagem;
• se possui políticas e verificar seus cumprimentos;
• os mecanismos de prevenção contra vazamento de dados;

O questionário é enviado para ser respondido pelo operador ou pelo seu encarregado de proteção de dados – também conhecido pelo termo em inglês Data Protecion Officer ou simplesmente DPO. 

Questionários que não atendem aos seus objetivos

Acontece que na busca pelo conhecimento destes tópicos, comumente tais questionários apresentam perguntas excessivamente genéricas e pouco objetivas, de modo que acabam atraindo respostas de baixo valor e o desprezo dos operadores ou DPOs, que os respondem de formas evasivas e igualmente genéricas. Portanto, são inadequados para entender do negócio e das ferramentas que buscam avaliar, acabando por meramente subsidiar o processo de instalação do programa de LGPDP como uma “tarefa cumprida”, sem o cumprimento do seu propósito.

Exemplos de perguntas que pouco atendem ao seus propósitos

Como mencionado, tais questionários apresentam perguntas genéricas que permitem respostas pouco esclarecedoras. Vejamos alguns exemplos de perguntas frequentemente encontradas: 

1. de que leva a respostas insatisfatórias, ex: “A empresa está se adequando ou está adequada à LGPD?”. Neste caso, a resposta leva a um inevitável “Sim”; a menos que o respondente seja terrivelmente tentado a não atender à LGPDP. Isto porque, mesmo que o terceiro não tenha, até o momento, tomado qualquer iniciativa para se adequar à LGPDP, de tão ampla que é a questão, somente o fato de ele estar respondendo ao questionário já permite que o seu “Sim” seja verdadeiro e de boa-fé para a opção “estou me adequando”;
2. de que não atende ao propósito pretendido, ex: “Onde e de que forma os dados coletados são armazenados?”. Uma resposta precisa a essa pergunta é praticamente pedir que o terceiro revele a quase totalidade de suas práticas de TI – cuja revelação já geraria por si só outros riscos de segurança inaceitáveis. Os resultados, portanto, tendem a ser respostas vagas, como “estão armazenados na nuvem de um provedor estadunidense”, que pouco ou nada contribuem para uma decisão assertiva;  e
3. de que não leva a uma decisão mais segura sobre compartilhar ou não os dados com o terceiro ou que providências tomar, ex: “A empresa possui normas e ferramentas para evitar incidentes de segurança como, por exemplo, vazamento de informações e dados?”. Não levando em conta que qualquer firewall já permitiria responder “Sim” sem estar faltando com a verdade, mas apenas considerando que normas e ferramentas podem não ser de prateleira (e se forem podem ser ainda mais vulneráveis a ataques), mesmo que o fornecedor te conte quais são, poderá não te levar à conclusão se as ferramentas são ou não suficientes.  

Por que os questionários não atendem aos seus propósitos?

Sem base no contexto do negócio e sem um propósito definido, as perguntas tendem a não levar à conclusão desejada. Como vimos, perguntas genéricas não permitem compreender o nível de preparo do sistema de segurança aplicado e tampouco deveriam.

Veja, a área de proteção de dados pessoais é um universo em expansão. A quantidade e variedade de ferramentas, normas e procedimentos que podem ser aplicados na segurança dos dados pessoais já é enorme. E tais características são fundamentais para reduzir a vulnerabilidade a ataques. A imprevisibilidade das ferramentas e protocolos utilizados é um fator chave de segurança. Logo, se os operadores ou DPOs respondessem integralmente o questionário do modo apresentado, exporiam as barreiras de segurança usadas pelas empresas, acabando por facilitar invasões e vazamentos dos dados tão preciosamente guardados.

Como fazer um questionário que leve às respostas necessárias?

É importante que a elaboração do questionário seja precedida de uma análise profunda do negócio do controlador, análise que, por vezes, indica até que há dados que sequer precisariam ser compartilhados. Então, o questionário consegue ser baseado no nível de risco carreado pelas informações compartilhadas e as respostas podem gerar consequências. 

As perguntas do questionário precisam provocar respostas que levem a uma decisão, bem como a uma ação – compartilhar ou não compartilhar os dados com este fornecedor e quais medidas mitigatórias usar. Tudo isto, sem comprometer a segurança do fornecedor, ou seja, sem que ele tenha que revelar os seus segredos e aumentar sua vulnerabilidade.

Ou seja, ao se elaborar o questionário é preciso ter mapeadas as consequências de cada resposta. Por exemplo: caso o fornecedor responda que armazena dados no exterior e em nuvem, o que acontecerá? Vai compartilhar mesmo assim? O ponto é, ou sabemos os efeitos da resposta, ou a pergunta não deveria ser feita. Para facilitar o entendimento, estas são algumas das possíveis consequências: (i) não contrataremos com o fornecedor; (ii) mitigaremos o risco de alguma forma; (iii) compartilharemos de forma parcial; (iv) compartilharemos ainda assim porque, apesar do risco, é um recurso para atender a uma obrigação legal ou regulatória. Enfim, as alternativas de consequências devem estar mapeadas e avaliadas de acordo com as condições do caso concreto.

São surpreendentes as respostas que se obtém de um questionário bem ajustado. Não temos espaço neste artigo para discorrer sobre muitas das perguntas corretas, mas vamos deixar aqui quatro exemplos para dar um norte para quem quer seguir este raciocínio:

1. “Quais ações de adequação à LGPDP a sua empresa já têm em funcionamento?”;
2. “A sua empresa utiliza de alguma técnica ou ferramenta que impeça a associação dos dados pessoais aos seus titulares?”;
3. “A sua empresa compartilhará os dados pessoais originalmente recebidos da ‘Empresa A’ com outros parceiros? Se sim, quais?” (Veja que uma resposta positiva para esta questão demandará uma série de novos questionamentos)
4. “Sua empresa já teve incidentes de vazamento de dados anteriormente? Se sim, quais? Como foram tratados? Como foram os atingidos comunicados? Quantos foram eles e quais dados foram expostos? Que melhorias foram feitas como consequência?” 

É possível aprender muito mais com a história do que de fato aconteceu do que com as intenções do que pode vir a acontecer. Um “sim” bem respondido para essa pergunta pode revelar uma transparência e maturidade que inspiram muito mais confiança do que um “não” silencioso.

Fica evidente, portanto, que o profissional que aplicará o questionário deve imergir no negócio do controlador para conhecê-lo, entendendo suas vulnerabilidades, forças, riscos e alcances das conclusões e decisões.

Consequências dos questionários: Medidas mitigatórias

 Com efeito, as respostas obtidas de um bom questionário demandarão providências do controlador. Isto porque, provavelmente, serão identificadas circunstâncias de riscos indesejáveis que podem se tornar menos gravosas por meio de ações específicas.

Estas são chamadas de medidas mitigatórias de riscos, e podem ser adotadas, tanto pelo controlador, após a análise do negócio, quanto pelo terceiro, se tornando conhecidas por meio do questionário. Abaixo, seguem exemplos de medidas mitigatórias:

1. contrato com cláusulas prevendo direitos e obrigações sobre LGPDP;
2. certificação de que não há transferência de dados para países ou organismos internacionais que não proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPDP (art. 33, I da LGPDP);
3. anonimização dos dados pessoais (meio pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo – art. 5º, XI da LGPDP);
4. pseudoanonimização dos dados pessoais (tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro – art. 13, § 4º da LGPDP);
5. contratação de seguro contra perdas e danos;
6. compartilhamento de identificadores abstratos (tratamento por meio do qual para o terceiro a informação identifica um sujeito despersonificado. Apenas dentro do banco de dados do controlador é que a informação consegue, novamente, ser relacionada a uma pessoa natural);
7. medidas corretivas e de contenção de danos em casos de vazamentos; e
8. cessação do compartilhamento com aquele parceiro.

Conclusão

Fica evidente que a tarefa não é simples, e que se exige uma adaptação do questionário ao caso real. Mas as reflexões acima buscam ajudar a entender “onde está” e “para onde vai” com o programa de LGPDP, do mesmo modo que a implantar um sistema pelo qual seja possível analisar todos os envolvidos na cadeia de compartilhamento e tratamento, de acordo com o seu perfil e envolvimento.

Todas as questões formuladas sobre estes e outros temas necessários para atender a LGPDP devem ser redigidas de maneira que, ao final, atendam ao propósito do programa, identificando e graduando cada controlador ou operador da cadeia.

Em suma, o que estamos propondo é que todas as ações tomadas na implementação de um programa de LGPDP devem atender à finalidade de subsidiar a decisão de aprovar o compartilhamento dos dados pessoais com o terceiro e para descobrir se o nível de proteção e segurança é adequado. No caso de uma dessas respostas não ser aceitável, entender se, ainda assim, o compartilhamento é dispensável, fundamental ou obrigatório e definir as medidas mitigatórias que podem ser aplicadas.

Sendo assim, de acordo com as atitudes que posso tomar, quais perguntas farei? 

Com agradecimentos especiais ao Marco Carnut, CTO do Zro Bank e da Bitblue e a quem considero um grande especialista em segurança da informação, pela revisão e sugestões deste artigo.

Marcelo Bueno M. Carneiro é head jurídico do Zro Bank e da Bitblue, fintech e exchange voltadas para o mundo cripto e blockchain. É, também, um entusiasta por formar e transformar negócios usando as diversas ferramentas que domina e desenvolve, dentre elas: sua base de especialista em Contratos e em Direito Público, bem como a experiência construída em M&A, Compliance e LGPD. 

Imagem: unDraw