Auditorias em proteção de dados: sua empresa está pronta?

Nos últimos anos, tem sido cada vez mais comum que os contratos comerciais possuam uma cláusula de proteção de dados em que há a previsão da possibilidade de uma parte auditar a outra para verificar “a sua adequação à Lei Geral de Proteção de Dados (LGPD) e aos termos do Contrato”. Parece algo tão simples que as pessoas pouco discutem esse tipo de previsão. Contudo, não é bem assim. O processo de auditorias é complexo e precisa fazer sentido no contexto da operação.

A Organização Internacional de Normalização, conhecida como “ISO”, define a auditoria como um “processo sistemático, independente e documentado para obter evidência objetiva e avaliá-la de forma imparcial, a fim de determinar a extensão em que os critérios de auditoria são atendidos.”

Nesse sentido, vale ressaltar que existem diferentes tipos de auditoria. Uma auditoria pode ser de “1ª parte”, ou seja, feita internamente como uma forma de monitoramento e autoavaliação; pode ser se de “2ª parte”, como é o caso de um fornecedor, parceiro ou parte interessada em verificar a conformidade da operação com as regras estabelecidas legal ou contratualmente; ou pode ser de “3ª parte”, quando voltada a uma certificação com base em normas, padrões e diretrizes disponibilizadas por um órgão certificador, como a ISO.

A depender dos tipos de auditorias a serem realizadas, haverá um impacto direto em seu escopo e planejamento. Nesta oportunidade, focaremos na auditoria de 2ª parte, que pode ser feita por um fornecedor, parceiro comercial ou parte interessada externa.

O escopo, objetivo e parâmetros da auditoria precisam estar claros tanto para o auditor como para o auditado. É por isso que há um risco relevante em cláusulas contratuais genéricas que simplesmente estabelecem a possibilidade de uma auditoria ser eventualmente conduzida por uma das partes. Afinal, uma empresa estará abrindo as suas portas para um terceiro, e é essencial que haja clareza do que poderá ser acessado, quando e por quê.

Para a parte que pretende auditar, recomenda-se um questionamento prévio: “nesta relação comercial, a auditoria é realmente necessária?” Isto é, a operação envolve um risco relevante, de tal modo que faça sentido investir tempo e recursos para identificar se determinado parceiro está adequado à legislação de proteção de dados ou outras normas e padrões aplicáveis? Do contrário, a prática de inserir uma cláusula referente a auditoria desnecessária ou que não se pretende realizar, simplesmente não faz sentido, tendo em vista que pode dificultar e atrasar as negociações e que, em caso de um incidente envolvendo dados pessoais, a não realização desta auditoria pode ser alegada como desídia do contratante no seu dever de fiscalizar a devida execução do tratamento.

Além disso, havendo concordância da outra parte em ser auditada, é essencial que a parte auditora tenha clareza do que pretende alcançar com a auditoria. Qual será o escopo e extensão da auditoria? Levando sempre em consideração o escopo da contratação e do tratamento a ser realizado, quais são os controles essenciais a serem verificados? Como eventuais inconformidades serão tratadas junto à parte auditada? Com que frequência que se pretende realizar tal processo?

Sendo assim, é de grande relevância que a cláusula contratual sobre a auditoria em proteção de dados responda a alguns questionamentos básicos, tais como: com quantos dias de antecedência a parte auditada precisa ser notificada sobre a realização do procedimento? Quem realizará a auditoria? Quem será responsável pelos custos de sua realização? O escopo será previamente definido ou as partes alinharão entre si? Quais serão os limites de acesso do auditor às informações? Qual será o prazo para sua conclusão? Quais serão os impactos contratuais de eventuais inconformidades encontradas? A parte auditada será obrigada a implementar ações de melhorias? Em caso positivo, haverá um prazo para corrigi-las? Quem será responsável por estes custos/investimentos?

Uma vez alinhadas com clareza as condições das auditorias, a parte a ser auditada deve se questionar: a minha empresa está pronta? Tal pergunta só pode ser respondida quando os responsáveis pela operação têm clareza sobre quais processos envolvem dados pessoais, os riscos envolvidos e os controles aplicados pela empresa.

Durante uma auditoria, via de regra, são registrados 4 tipos de informações: não conformidade maior, não conformidade menor, oportunidades de melhoria e observações.

Uma não conformidade maior é aquela em que um requisito básico não é aplicado e compromete toda a segurança da operação. Por exemplo: uma empresa que não realiza o registro das atividades de tratamento de dados pessoais sob sua responsabilidade, não possui uma Política de Privacidade ou sequer um Encarregado devidamente nomeado não preenche obrigações expressas previstas na LGPD.

Uma não conformidade menor é aquela em que um requisito não é completamente preenchido ou as evidências sobre o seu preenchimento são inconsistentes ou divergentes. Por exemplo: a empresa afirma que realiza o treinamento periódico dos seus colaboradores em relação à sua Política de Privacidade e protocolos de segurança da informação, mas faltam evidências de que tais treinamentos sejam ou tenham sido realizados.

Oportunidades de melhorias são as providências que devem ser tomadas pelo auditado para que os controles inexistentes ou insuficientes sejam melhorados. No caso do treinamento, por exemplo, o auditor poderá fazer constar a necessidade de realização de novos treinamentos com o registro de materiais e listas de presença.

As observações são todas as informações relevantes que o auditor constata durante o processo de auditoria, que podem ser inclusive referentes a boa-fé do auditado em responder aos seus questionamentos e lhe fornecer evidências.

Portanto, nota-se que uma empresa só está efetivamente pronta para auditorias em proteção de dados quando: há conhecimento sobre os requisitos que precisa atender; os controles de privacidade esperados estão contratualmente definidos para ambas as partes; as pessoas envolvidas na operação foram treinadas sobre o tema proteção de dados; há clareza sobre qual será o escopo de uma eventual auditoria, ou seja, o que será avaliado; há apoio da alta administração para investimento em um programa de privacidade e um encarregado para endereçar eventuais pontos de melhoria encontrados.

Dito isso, voltamos à pergunta: a sua empresa está pronta para uma auditoria em proteção de dados?