O que a avaliação de fornecedores tem a ver com o inferno de Sartre?

A peça Entre Quatro Paredes, escrita por Jean-Paul Sartre, conta a história de três personagens condenados ao tempo contínuo, em um ambiente fechado e sem janelas, fadados à convivência. O ápice da obra foi marcado pela frase "O inferno são os outros". Essa frase marcou a história desse filósofo, que problematiza como homens são moldados a partir das suas escolhas, condenados a ser livres, tomar decisões e assumir riscos.

Como as empresas precisam ter accountability em seus programas de privacidade, devem não apenas cumprir a lei, mas conseguir comprovar esse cumprimento. Uma organização deve ter diligência para exigir que os "outros" tenham programas de privacidade compatíveis, reforçando sua própria identidade e seus valores, como uma extensão dela mesmo, em um único ecossistema feito de partes indissociáveis aos olhos dos clientes – os titulares de dados pessoais — que se vêm negociando com uma empresa, não com os "outros".

É aí que começa o "inferno".

Em uma pesquisa recente da IBM Security and Ponemon Institute, o Cost of a Data Breach Report 2022 revelou que quase um quinto das violações foi causada por um comprometimento da cadeia de suprimentos — leia-se, nos "outros". Esses comprometimentos tornaram as violações 9% mais caras do que a média global, com custo total médio de 4,46 milhões de dólares.

Um exemplo prático é a obrigação de uma contratante controladora de dados comunicar à ANPD e aos titulares um vazamento que lhes impacte, em tempo exímio, mesmo que o incidente tenha acontecido em razão dos "outros". Se esses não têm um programa de privacidade maduro, a não conformidade regulatória impactará negativamente na contratante, dado que a organização pode se ver obrigada a indenizar o titular de dados pessoais e se submeter à aplicação das sanções.

Para minimizar esses riscos, destaca-se a avaliação de terceiros. Esse due diligence avalia a adequação de programas de privacidade de fornecedores, questionando sobre uma série de pontos, para definir seu risco legal e servir de norte para a área interna bater o martelo sobre a contratação. Apesar de comum na área de segurança da informação, essa avaliação passa por crise de identidade com os novos requisitos sobre privacidade.

Mesmo modelos de avaliações que tentam mesclar questões de privacidade e proteção de dados com questões de segurança da informação podem acabar resultando em complexos frankenstein sem dono definido entre duas áreas: privacidade ou segurança da informação.

Um resquício dessa condição é a solicitação de documentos comprobatórios que, de tão técnicos, são inviáveis de serem disponibilizados em tempo hábil à contratação de terceiro — o que pode desestimular que avaliações sejam feitas por áreas, que passam a questionar se contratar um terceiro no escuro é tão pior do que permanecer na inércia e perder o timing.

Por isso, a avaliação de terceiros deve ser um documento suporte de uma política de contratação com critérios objetivos para o compartilhamento dos dados, incluindo tipos de evidências necessárias, níveis de criticidade aceitáveis e governança nas decisões. Deve estar claro o threshold para o gestor da negociação decidir se vale a assunção de risco para os casos em que a criticidade é alta.

Apenas as informações essenciais devem ser solicitadas: se os terceiros nomearam um data protection officer (DPO); se adotam medidas administrativas para garantir a proteção de dados, com repositório de documentos, como aviso de privacidade e política de segurança adequados; se fazem avaliação formal de seus suboperadores; se há controle sobre a coleta, manutenção e deleção de dados; se os colaboradores assinaram contratos e fizeram treinamentos relacionados à privacidade e à proteção de dados; se há capacidade para responder em tempo hábil em caso de incidente de segurança etc.

São as respostas e suas evidências comprobatórias que permitirão que uma organização faça a gestão de riscos, mas tão importante quanto averiguá-los é saber como mitigá-los. Caso se deseje assumir riscos de uma contratação, é obrigação legal ter diligência para garantir que sejam compensadas quaisquer lacunas do terceiro. É aqui que a avaliação de terceiro ganha tangibilidade, a partir da redação de cláusulas específicas que exijam que o “outro” compatibilize suas práticas com as da contratante.

A arte é calibrar a redação para incluir obrigações que a lei não explicita, trazendo as lições da avaliação de terceiros para um instrumento que irá atribuir as devidas responsabilidades entre partes e viabilizando negócios sem perder timing. Nem todas as empresas conseguem internamente ter equipe para fazer essa análise técnica; no entanto, a inércia custará mais caro que a contratação de consultoria especializada em proteção de dados.

No mundo da proteção de dados, a grama não é mais verde do outro lado. Ainda assim, exigir a adoção pelos "outros" das mesmas técnicas do meu jardim é um exercício conjunto. Um relacionamento sadio passa por avaliação de terceiros que seja criteriosa e contínua, mas também objetiva e razoável, permitindo uma convivência próxima entre empresas.

As empresas são o resultado das escolhas de seus líderes, do apetite ao risco e do mercado em que estão inseridas. Assim como as pessoas, estão condenadas a serem livres. Não escolher também é uma escolha. O outro é fundamental para o conhecimento de si mesmo; traz a necessidade e a complexidade do relacionamento com o terceiro para forjar a sua própria identidade. A seleção de um terceiro mais preparado ao gerenciamento de um programa de privacidade em detrimento de outro fala muito mais da organização, do que do "outro".

Sartre estava certo.