A importância da proteção de dados em cadeias globais e o risco cibernético em contratos internacionais
De acordo com a LGPD, controladores e operadores podem ser responsabilizados por danos causados aos titulares. Ignorar a adequação de parceiros estrangeiros é, portanto, externalizar um risco que inevitavelmente retornará à empresa brasileira, seja por meio de sanções administrativas, ações judiciais, perdas contratuais ou danos reputacionais
O setor portuário, de exportação e de comércio internacional sempre esteve habituado a lidar com riscos multifacetados, sejam eles cambiais, regulatórios, logísticos, ambientais e até mesmo reputacionais. Nos últimos anos, contudo, um novo tipo de risco passou a atravessar silenciosamente contratos, operações e cadeias produtivas globais: o risco cibernético.
É cada vez mais comum que empresas brasileiras compartilhem dados com empresas estrangeiras. Esse fluxo de dados ultrapassa informações meramente corporativas e frequentemente envolve dados pessoais de empregados, representantes legais, clientes, usuários de sistemas e fornecedores.
Nesse contexto, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) deixa de ser um tema restrito ao setor de tecnologia ou compliance interno e passa a ocupar um papel central na gestão de riscos contratuais e operacionais das empresas brasileiras inseridas no comércio internacional.
Mas o que muitas empresas ainda não perceberam é que a LGPD não se limita ao território nacional, nem se aplica apenas a empresas sediadas no Brasil. Pelo contrário: em determinadas hipóteses, empresas estrangeiras estão legalmente obrigadas a cumprir a LGPD, mesmo sem qualquer estabelecimento físico no país. E mais: empresas brasileiras que contratam parceiros estrangeiros podem ser corresponsáveis por falhas de proteção de dados ocorridas fora do Brasil.
Diante desse cenário surgem perguntas como: quando e por que empresas estrangeiras devem se adequar à LGPD? Quais os riscos jurídicos e econômicos para empresas brasileiras que ignoram essa obrigação? E por que a adequação à LGPD deve ser exigida contratualmente, especialmente em cadeias globais de suprimento? É o que passaremos a analisar.
Inicialmente, em termos jurídicos, faz-se necessário comentar que a LGPD, em seu artigo 3º, estabelece que ela se aplica independentemente da sede da empresa, ou seja, não é necessário que a empresa seja brasileira, nem que tenha filial, escritório ou representante no país. Basta que exista um vínculo relevante com o Brasil, o que, resumidamente, pode se relacionar com o local do titular dos dados, pela origem da coleta ou pela finalidade do tratamento.
Para o setor portuário e de exportação, isso é particularmente sensível, eis que empresas estrangeiras frequentemente acessam dados de trabalhadores brasileiros, recebem listas de tripulação, motoristas, operadores e representantes, operam sistemas que monitoram cargas e pessoas, armazenam dados coletados em portos brasileiros e utilizam plataformas digitais que processam dados de usuários localizados no Brasil.
O desconhecimento desse tipo de regra revela um equívoco recorrente no meio empresarial: o de acreditar que contratos internacionais estariam automaticamente submetidos apenas à legislação estrangeira escolhida pelas partes. Do ponto de vista contratual, essa escolha pode ser válida para diversos aspectos da relação jurídica. No entanto, leis de proteção de dados possuem natureza de ordem pública, sobretudo quando envolvem direitos fundamentais, como a proteção de dados propriamente dita, da privacidade e da autodeterminação informativa. Assim, a escolha de foro ou de lei estrangeira não afasta, por si só, a aplicação da LGPD quando os critérios do artigo 3º estiverem presentes.
Isso quer dizer que uma empresa estrangeira contratada por uma empresa brasileira pode estar simultaneamente sujeita à LGPD e à legislação de seu próprio país, o que, para cadeias logísticas globais, pode criar um cenário de sobreposição regulatória, no qual o risco jurídico aumenta proporcionalmente à complexidade da cadeia de fornecedores.
A exigência do artigo 3º da LGPD indica, em termos práticos, que não basta alegar que um determinado vazamento de dados ocorreu em um fornecedor estrangeiro. E nesse sentido, diversos exemplos de ataques cibernéticos recentes têm nos ensinado que empresas podem ser impactadas por falhas de segurança de um fornecedor menor, mas a responsabilidade jurídica pode atingir toda a cadeia.
No setor logístico e de exportação, isso se agrava pela multiplicidade de agentes envolvidos, muitos deles estrangeiros, com diferentes padrões de maturidade em segurança da informação. E, nessa perspectiva, a LGPD, ao adotar conceitos como controlador, operador e corresponsabilidade, impõe uma lógica clara, qual seja a de que quem se beneficia do tratamento de dados deve assumir o risco jurídico a ele associado.
De acordo com a LGPD, controladores e operadores podem ser responsabilizados por danos causados aos titulares. Ignorar a adequação de parceiros estrangeiros é, portanto, externalizar um risco que inevitavelmente retornará à empresa brasileira, seja por meio de sanções administrativas, ações judiciais, perdas contratuais ou danos reputacionais.
Vale observar que esse tema se relaciona diretamente com outro aspecto central da lei e particularmente relevante em cadeias globais, referente à transferência internacional de dados pessoais, admitida pela LGPD desde que observadas as hipóteses previstas no artigo 33. A ausência de critérios claros pode ensejar ilegalidade desde a origem do tratamento. Para empresas brasileiras, isso significa que enviar dados a um parceiro estrangeiro sem verificar as bases legais e as garantias aplicáveis pode implicar na assunção de um risco jurídico significativo.
Esse cenário reforça a importância de tratar a LGPD como cláusula estratégica de gestão de risco, e não como mero apêndice contratual. Em outras palavras, torna cada vez mais evidente a exigência de que empresas brasileiras exijam contratualmente a adequação de empresas estrangeiras à LGPD, sempre que houver tratamento de dados pessoais relacionado ao Brasil.
