Compartilhamento de dados com terceiros: toda empresa faz isso, mas poucas conhecem os riscos
Imagine uma rotina comum de compartilhamento de dados com terceiros.
Você envia a folha de pagamento para o contador.
A transportadora recebe o endereço dos clientes.
A empresa de tecnologia acessa seu servidor para realizar uma manutenção.
O sistema de gestão armazena cadastros de clientes.
A agência de marketing utiliza uma lista de e-mails para disparar uma campanha.
Provavelmente sua empresa faz tudo isso sem pensar duas vezes.
E está tudo certo.
O problema é que, em cada uma dessas situações, dados pessoais deixam o ambiente da empresa e passam a ser tratados por terceiros. É justamente nesse momento que os riscos aumentam, embora quase ninguém perceba.
A Lei Geral de Proteção de Dados Pessoais (LGPD) não proíbe esse compartilhamento. Ela exige que ele aconteça de forma organizada, consciente e segura.
Compartilhamento de dados com terceiros
Compartilhar dados pessoais faz parte da operação de praticamente qualquer empresa.
Sem isso, seria impossível:
- emitir folha de pagamento;
- entregar produtos;
- utilizar sistemas em nuvem;
- contratar fornecedores;
- prestar atendimento aos clientes;
- cumprir obrigações legais.
O compartilhamento, portanto, não é o problema.
O verdadeiro desafio é saber exatamente:
- quais dados estão sendo compartilhados;
- com quem;
- para qual finalidade;
- durante quanto tempo;
- e quais controles existem depois que essas informações deixam a empresa.
É nesse ponto que muitas organizações descobrem que conhecem seus fornecedores, mas não conhecem o caminho percorrido pelos seus dados.
O dado saiu da empresa. A responsabilidade também saiu?
Essa é uma das dúvidas mais comuns.
Quando informações pessoais são enviadas ao contador, à empresa de tecnologia, à transportadora ou a qualquer outro fornecedor, elas continuam fazendo parte do ciclo de tratamento de dados.
Em outras palavras, os dados continuam sendo:
- armazenados;
- acessados;
- utilizados;
- processados;
- compartilhados;
- arquivados;
- eliminados.
A única diferença é que isso agora acontece em outro ambiente, por outra organização. Os dados continuam circulando para atender às atividades da empresa.
Por isso, perder a visibilidade sobre esse fluxo significa aumentar os riscos para o negócio.
Uma situação que acontece todos os dias
Pense neste exemplo.
Um novo colaborador é contratado.
O RH recebe os documentos.
Depois essas informações seguem para:
- contabilidade;
- medicina ocupacional;
- sistema de folha de pagamento;
- banco;
- benefícios;
- eSocial.
Em poucos dias, os mesmos dados já passaram por diversos sistemas e organizações.
Agora imagine responder rapidamente:
- Quem possui esses dados hoje?
- Quem ainda precisa deles?
- Quais empresas continuam armazenando essas informações?
A maioria das organizações simplesmente não consegue responder.
E esse desconhecimento costuma aparecer justamente quando uma empresa contratante faz uma auditoria, um titular exerce seus direitos ou surge um incidente envolvendo dados pessoais.
Sua empresa conhece todos os fornecedores que tratam dados pessoais em seu nome?
Muitos riscos surgem justamente quando essas informações circulam entre empresas (Contabilidade, TI, RH, plataformas em nuvem, etc.) sem critérios claros. Entenda como identificar esses fluxos e fortalecer a governança da sua operação.
O problema não é o contador
Nem a transportadora.
Nem a empresa de TI.
Nem o sistema em nuvem.
O problema começa quando a empresa deixa de acompanhar o tratamento dessas informações.
Veja alguns exemplos.
| Situação | Risco |
|---|---|
| Enviar documentos por aplicativos de mensagens | Falta de controle sobre cópias e armazenamento |
| Compartilhar planilhas por e-mail | Circulação desnecessária de dados |
| Contratar um novo fornecedor | Compartilhamento sem critérios definidos |
| Utilizar diversos sistemas | Dificuldade para identificar onde os dados estão |
| Encerrar um contrato | Permanência de dados pessoais em ambientes externos |
Perceba que nenhum desses exemplos representa uma irregularidade por si só.
Eles apenas demonstram situações que exigem organização.
O erro que muitas empresas descobrem tarde demais
É comum pensar que, depois de enviar uma informação ao fornecedor, o problema deixa de ser da empresa.
Na prática, acontece exatamente o contrário.
Depois que os dados deixam a empresa, estas são algumas perguntas que todo gestor deveria conseguir responder:
- O fornecedor ainda precisa manter essas informações?
- Quem pode acessá-las?
- Elas foram compartilhadas com outros prestadores?
- Os dados continuam armazenados após o encerramento do contrato?
- Existe alguma forma de confirmar isso?
Quando essas respostas não existem, a empresa perde a visibilidade sobre parte do tratamento dos dados pessoais. E perder essa visibilidade significa aumentar os riscos da operação de tratamento de dados pessoais.
A maioria dos riscos nasce na rotina
Quando se fala em LGPD, muitas pessoas imaginam grandes vazamentos.
Mas a realidade costuma ser bem diferente.
Os problemas normalmente começam em atividades simples como:
- enviar documentos para terceiros;
- compartilhar acessos entre colaboradores;
- utilizar planilhas contendo dados pessoais;
- criar cópias de documentos;
- contratar novos sistemas;
- permitir acessos temporários para suporte técnico.
Separadamente, cada atividade parece inofensiva.
Somadas, elas formam um fluxo permanente de dados pessoais.
E esse fluxo precisa ser conhecido pela empresa.
Conhecer o caminho dos dados reduz riscos
Empresas mais maduras em privacidade normalmente não trabalham com suposições.
Elas sabem responder perguntas simples como:
- Quais fornecedores recebem dados pessoais?
- Quais informações são compartilhadas?
- Qual é a finalidade desse compartilhamento?
- Quem aprovou esse fluxo?
- Quando esses dados deixam de ser necessários?
Essas respostas tornam muito mais simples atender clientes, responder auditorias, revisar contratos e demonstrar conformidade.
Mais importante do que possuir documentos é compreender como a operação realmente funciona.
O tratamento de dados continua depois que as informações deixam sua empresa.
Acompanhar esse processo continuamente reduz riscos operacionais, fortalece a governança e facilita o atendimento às exigências de clientes e parceiros.
Tecnologia aumenta a eficiência. E também exige mais controle.
Hoje uma única operação pode envolver diversos fornecedores.
Um cadastro realizado no site pode passar por:
- plataforma de hospedagem;
- sistema de CRM;
- ferramenta de automação de marketing;
- serviço de e-mail;
- armazenamento em nuvem;
- sistema financeiro.
Tudo acontece em poucos segundos.
Quanto maior essa integração, maior a importância de compreender como os dados circulam.
Não para impedir a inovação.
Mas para garantir que ela aconteça com organização e segurança.
O primeiro passo não é criar mais documentos
Quando uma empresa percebe que compartilha dados com diversos terceiros, a reação mais comum é procurar modelos de contratos, políticas ou formulários.
Esses documentos são importantes.
Mas eles não resolvem o problema sozinhos.
Antes disso, é necessário entender a própria operação.
Quais dados entram.
Como circulam.
Quem utiliza.
Quem recebe.
E quando deixam de ser necessários.
Sem esse conhecimento, qualquer adequação tende a ficar apenas no papel.
A conformidade começa quando a empresa conhece a própria rotina
Toda empresa compartilha dados pessoais com terceiros. Essa realidade faz parte da operação moderna e não representa, por si só, um problema.
O risco aumenta quando esse fluxo acontece sem visibilidade, sem critérios e sem acompanhamento.
Conhecer quais fornecedores tratam dados pessoais, quais informações recebem e por quanto tempo mantêm esses dados é uma etapa essencial para reduzir riscos, fortalecer contratos e demonstrar maturidade em privacidade.
Na prática, a conformidade com a Lei Geral de Proteção de Dados Pessoais não depende apenas de documentos. Ela exige governança, rotina e acompanhamento técnico.
Para saber mais sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) acesse:
> Nossos artigos sobre a LGPD clicando aqui;
> O perfil da Dra. Kariny Antunes Farina no Instagram;
> A Lei Geral de Proteção de Dados Pessoais na íntegra no site gov.br;
> A Agência Nacional de Proteção de Dados Pessoais.
Ao clicar no link do Instagram e no link do site gov.br abrirá uma nova janela em seu navegador.
