No ambiente corporativo contemporâneo, em que praticamente todas as operações dependem de sistemas, automações, integrações, inteligência artificial e armazenamento em nuvem, a tomada de decisão tecnológica deixou de ser um ato meramente operacional. Hoje, escolher uma tecnologia é assumir riscos, e a maneira como essa escolha é conduzida determina não apenas a eficiência do negócio, mas o nível de responsabilidade jurídica envolvida.

Muitas empresas ainda acreditam que a responsabilidade por falhas, vulnerabilidades ou incidentes recai integralmente sobre o fornecedor da solução. É uma crença confortável e completamente equivocada.

Em um cenário regulatório cada vez mais maduro, com legislações como a LGPD, o Marco Civil da Internet, as normas de defesa do consumidor e diretrizes internacionais de segurança, a responsabilidade é compartilhada, mas a culpa frequentemente recai sobre quem decidiu, implementou ou negligenciou controles.

Porque, no fim, quem escolhe, responde.

Ao contratar uma solução tecnológica, muitas empresas supõem que qualquer problema decorrente do uso, da configuração ou da segurança será de responsabilidade do fornecedor. A lógica parece simples: “comprei a ferramenta, logo, a obrigação é dele”.

Mas o mercado e os reguladores têm, cada vez mais, afirmado o contrário:

• A empresa é responsável por validar se a solução atende seus requisitos.
• A empresa é responsável por monitorar o ambiente após a implementação.
• A empresa é responsável por garantir que o uso esteja alinhado às normas aplicáveis.
• A empresa é responsável por reagir adequadamente quando surgem falhas.

Ou seja, não basta contratar é preciso governar.

E quando não há governança, a própria escolha se torna elemento de culpa em auditorias, fiscalizações, incidentes e litígios.

Ataques cibernéticos, indisponibilidades de nuvem, erros de integração, falhas de parametrização, algoritmos enviesados e acessos indevidos não podem ser tratados como fatalidades.

A lógica regulatória atual, inclusive a da LGPD, adota o princípio da prevenção:

se o risco era previsível, a empresa tinha o dever de agir antes.

É por isso que, em caso de incidentes, a pergunta não é “quem causou?”, mas:

“O que foi feito antes para evitar?”

Se a resposta for “nada” ou “muito pouco”, o ônus recai sobre a organização, não sobre o fornecedor.

A diferença entre atuar com diligência e ser considerado negligente está em uma palavra:

antecipação.

As ações preliminares antes da contratação, antes da implementação, antes da entrada em produção. são o que demonstram que a empresa:

• Conhecia os riscos,
• Avaliou opções,
• Adotou medidas de mitigação,
• Não agiu de maneira imprudente.

Entre essas ações, destacam-se:

• Avaliação de risco e impacto – Analisar criticidade, sensibilidade dos dados, dependências operacionais e potenciais impactos negativos.
• Auditorias prévias e due diligence do fornecedor – Verificar histórico, maturidade de segurança, certificações, práticas de desenvolvimento seguro e respostas a incidentes.
• Solicitação de testes de vulnerabilidade ou pentests – Pedidos formais de relatórios recentes (quando não for possível exigir execução de novos testes), evidências de correções aplicadas e planos de ação de segurança.
• Revisão jurídica e contratual – Garantir SLAs, responsabilidades, matriz de risco, cláusulas de confidencialidade, obrigações de notificação e penalidades claras.
• Validação técnica independente – Avaliação de compatibilidade com infraestrutura, integrações, políticas internas e requisitos regulatórios do setor.

Essas etapas não são burocracia, são blindagem.

Mesmo com todos os controles, o risco nunca é zero.

Por isso, empresas maduras incorporam seguros como camadas adicionais de proteção, especialmente quando a atividade envolve:

• Tratamento de dados pessoais,
• Exposição a litígios por falha tecnológica,
• Fornecimento de serviços para terceiros,
• Alta dependência operacional de sistemas digitais.

Os principais mecanismos incluem:

• Seguro de Responsabilidade Civil Profissional – Protege a empresa contra danos causados a terceiros por falhas profissionais, incluindo falhas tecnológicas.
• Seguro Cibernético – Cobre incidentes de segurança, vazamentos de dados, extorsões, paralisações e prejuízos decorrentes.
• Seguro de responsabilidade por tecnologia – Específico para empresas que desenvolvem, revendem ou implementam soluções tecnológicas, protegendo contra falhas do sistema fornecido.

Mais do que garantir indenização, esses seguros demonstram diligência e preparo, reforçando a defesa da organização em auditorias e processos.

O que transforma a decisão em culpa não é a tecnologia em si, mas o processo falho que a antecedeu:

• Ausência de análise de riscos;
• Falta de auditorias ou validação técnica;
• Desconhecimento da real capacidade do fornecedor;
• Inexistência de controles mitigatórios;
• Falta de documentação que comprove diligência;
• Ausência de monitoramento pós-implantação.

Nesses cenários, a responsabilidade se individualiza:

quem aprovou, quem autorizou, quem ignorou riscos responde.

E, mais grave: a culpa recai sobre a organização mesmo que a falha tenha se originado no fornecedor.

A responsabilidade no mundo digital é sempre compartilhada.

Mas a culpa, quase sempre, recai sobre quem deveria ter governado o processo e não governou.

Por isso, a pergunta essencial não é:

“Qual tecnologia atende a minha necessidade?”

E sim:

“O que eu fiz antes da escolha para evitar que ela se tornasse um problema?”

Empresas que compreendem essa lógica tratam a tecnologia não como promessa de eficiência, mas como um elemento que exige:

• Avaliação criteriosa,
• Validações técnicas,
• Auditorias regulares,
• Controles de segurança,
• Contratos robustos,
• Seguros adequados,
• Governança contínua.

É assim que a escolha deixa de ser risco e passa a ser estratégia.