O incidente recente que expôs milhares de arquivos médicos de brasileiros reforça uma realidade que muitas vezes é negligenciada: a fragilidade não está apenas na tecnologia, mas também na forma como se contratam e monitoram fornecedores. O caso mostra que a confiança cega em prestadores de serviços, sem critérios claros de avaliação, pode transformar a terceirização em risco estratégico, especialmente quando falamos de dados pessoais sensíveis.
Na prática, a gestão de contratos deve ser encarada como um verdadeiro pilar de governança em proteção de dados. Não se trata apenas de assinar cláusulas de confidencialidade ou acrescentar menções genéricas à LGPD. A boa gestão exige due diligence criteriosa, em que o histórico, a maturidade de segurança e a capacidade de resposta do fornecedor sejam verificados antes mesmo da contratação. Assim, a empresa comprova que não apenas cumpriu sua obrigação legal, mas que exerceu um dever de cuidado ativo.
A avaliação de fornecedores não deve ser evento pontual, mas processo contínuo. Contratos devem prever a obrigação de apresentação regular de evidências como relatórios técnicos, certificações, auditorias independentes e testes de segurança. Isso cria um ciclo virtuoso de transparência, no qual o fornecedor sabe que será avaliado e o contratante se blinda de alegações de negligência. Evidências documentadas não apenas fortalecem a relação, mas se tornam prova concreta de conformidade perante fiscalizações e auditorias.
Outro ponto crítico é desmistificar a ideia de que estar em nuvem é sinônimo de segurança. O que garante a proteção não é a plataforma em si, mas a forma como é configurada, monitorada e auditada. Erros simples de configuração, como o ocorrido no caso citado, podem abrir brechas devastadoras. O contrato bem redigido, aliado à due diligence contínua, é a ferramenta que transforma o “papel” em prática, estabelecendo métricas, prazos e deveres de verificação.
Ao compreender que a responsabilidade do controlador e do operador vai além da formalidade jurídica, empresas amadurecem sua postura de governança. Não basta “ter contrato”, é preciso ter contrato vivo, que gere evidências e seja capaz de demonstrar que as medidas de segurança não são apenas declaradas, mas efetivamente cumpridas. Isso representa uma cultura de cuidado, em que cada fornecedor é tratado como parte integrante da cadeia de confiança.
Nesse cenário, o PROTEGON surge como aliado essencial. O sistema acelera, documenta e simplifica a gestão de terceiros, oferecendo recursos para due diligence estruturada, acompanhamento de contratos, registro de evidências e geração de relatórios que fortalecem a posição do DPO e dos gestores. Alinhando teoria e prática, o PROTEGON traduz a exigência regulatória em rotina operacional, permitindo que empresas demonstrem de forma clara e auditável o cuidado contínuo com seus fornecedores e parceiros.
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
