LGPD para Empresas B2B: governança de dados, contratos com fornecedores e responsabilidade em incidentes

Empresas B2B frequentemente cometem um erro perigoso: imaginam que a LGPD é assunto mais relevante para e-commerce, aplicativos, hospitais, bancos, escolas ou empresas que atendem diretamente consumidores. Essa percepção é confortável, mas incompleta. Empresas que vendem para outras empresas também tratam dados pessoais: contatos comerciais, representantes, empregados de clientes, usuários de sistemas, motoristas, visitantes, leads, prestadores, dados financeiros, logs, imagens, documentos e informações de suporte.

No ambiente B2B, a LGPD aparece de forma menos visível, porém mais contratual. O cliente exige cláusula de proteção de dados. O fornecedor pede compartilhamento de base. O software processa informações de empregados. O operador terceirizado acessa dados do cliente. Um incidente ocorre em cadeia. A auditoria pergunta quem é controlador, quem é operador, qual base legal foi usada e onde está o registro das operações de tratamento. Se a resposta for “isso fica com o TI”, a empresa já começou atrasada.

A LGPD, Lei nº 13.709/2018, estabelece princípios, bases legais, direitos dos titulares, deveres de segurança, regras para compartilhamento e responsabilidade dos agentes de tratamento. O art. 46 exige medidas técnicas e administrativas aptas a proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas. Para empresas B2B, isso significa que proteção de dados precisa sair do discurso institucional e entrar nos contratos, sistemas e processos.

Empresas B2B também tratam dados pessoais

Dado pessoal não é apenas CPF de consumidor. É qualquer informação relacionada a pessoa natural identificada ou identificável. Em uma relação B2B, o cadastro de contato do comprador, e-mail corporativo nominal, telefone direto, assinatura de contrato, imagem de câmera, login de plataforma, chamados de suporte, dados de empregados alocados, relatórios de acesso e documentos de representantes podem conter dados pessoais.

Isso muda a forma de estruturar contratos e processos. Uma empresa que fornece software para outra pode tratar dados de usuários finais. Uma transportadora pode tratar dados de motoristas, recebedores e empregados de clientes. Uma indústria pode compartilhar dados de representantes comerciais. Uma consultoria pode acessar planilhas com empregados do cliente. Uma empresa de segurança pode tratar imagens. Uma contabilidade pode tratar folha e informações sensíveis.

A LGPD não pergunta se o negócio é B2C ou B2B. Pergunta se há tratamento de dados pessoais.

Controlador, operador e a cláusula que ninguém deveria copiar sem pensar

Um dos pontos mais relevantes em contratos B2B é definir o papel das partes. Controlador é quem toma decisões referentes ao tratamento. Operador é quem realiza o tratamento em nome do controlador. Em muitos contratos, as partes simplesmente declaram que uma é controladora e a outra é operadora. Isso pode estar correto, mas nem sempre.

Há relações em que ambas as partes são controladoras independentes. Há relações com controladoria conjunta. Há fornecedores que atuam como operadores em uma etapa e controladores em outra. O rótulo contratual deve corresponder à realidade. Se a cláusula diz “operador”, mas o fornecedor decide finalidade, meios essenciais, retenção, uso secundário e compartilhamento, o contrato está contando uma história que a operação não confirma.

A boa cláusula de LGPD deve definir finalidade, categorias de dados, bases legais, instruções documentadas, suboperadores, segurança, confidencialidade, incidentes, auditoria, cooperação, descarte, retenção, transferência internacional e responsabilidade.

Fornecedores como fonte de risco

Muitos incidentes não nascem dentro da empresa, mas na cadeia de fornecedores. Sistemas de RH, CRM, marketing, contabilidade, folha, tecnologia, atendimento, logística, armazenamento em nuvem, segurança, call center e suporte podem acessar ou processar dados pessoais. Se o fornecedor falha, o cliente pode sofrer dano jurídico, operacional e reputacional.

Por isso, due diligence de fornecedores deixou de ser luxo. Empresas B2B devem avaliar quais fornecedores tratam dados pessoais, que tipo de dado acessam, onde armazenam, por quanto tempo retêm, quais medidas de segurança adotam, se usam subcontratados, se transferem dados ao exterior e como respondem a incidentes.

Não se trata de transformar toda contratação em um tratado internacional. Trata-se de ajustar o nível de diligência ao risco. Um fornecedor que acessa agenda institucional não exige o mesmo rigor de um fornecedor que processa folha, saúde ocupacional ou base de clientes. A sofisticação está em calibrar.

Incidentes de segurança: velocidade, prova e comunicação

Quando ocorre incidente, a empresa precisa agir rápido e com método. O primeiro desafio é técnico: conter, investigar, preservar evidências e restaurar segurança. O segundo é jurídico: avaliar se houve risco ou dano relevante aos titulares, se a ANPD deve ser comunicada, se titulares ou clientes precisam ser informados, quais contratos foram impactados e quais medidas de mitigação devem ser documentadas.

A LGPD exige segurança e prevenção. A ANPD possui orientações sobre comunicação de incidentes e atua como autoridade reguladora em matéria de proteção de dados. Em relações B2B, há ainda o componente contratual: muitos contratos exigem comunicação em poucas horas, cooperação técnica, relatório preliminar, plano de remediação e preservação de logs.

A pior hora para descobrir quem deve comunicar o incidente é durante o incidente. Empresas maduras mantêm plano de resposta, matriz de contatos, responsáveis, fluxo de decisão, modelo de relatório, política de evidências e critérios de escalonamento.

LGPD e reputação comercial

Em mercados B2B, compliance de dados também é fator de venda. Grandes clientes, empresas reguladas, multinacionais e organizações com governança exigem evidências: política de privacidade, cláusulas contratuais, inventário de dados, relatório de impacto quando aplicável, controles de acesso, segurança da informação, treinamento, plano de resposta a incidentes e gestão de fornecedores.

A empresa que não consegue responder a questionários de segurança perde competitividade. Às vezes, não perde por preço. Perde porque o cliente não quer carregar risco de terceiro. Em cadeias empresariais sofisticadas, proteção de dados virou requisito de confiança.

Como estruturar governança de dados B2B

O caminho prático começa com mapeamento: quais dados pessoais a empresa trata, de quem, para qual finalidade, com qual base legal, em quais sistemas, por quanto tempo, com quais fornecedores e quais riscos. Depois, vem a revisão contratual: clientes, fornecedores, operadores, suboperadores, tecnologia, confidencialidade, responsabilidade e incidentes.

Na sequência, a empresa deve criar políticas internas, controles de acesso, treinamento, fluxo de atendimento a titulares, gestão de incidentes, matriz de fornecedores e rotina de revisão. Não é necessário transformar a LGPD em uma coleção de PDFs que ninguém lê. É necessário criar governança que funcione quando a pergunta difícil chegar.

Conclusão

LGPD para empresas B2B é tema jurídico, contratual, tecnológico e comercial. A empresa que trata dados de empregados, clientes corporativos, usuários, representantes, fornecedores ou terceiros precisa estruturar governança, contratos e resposta a incidentes.

No mercado empresarial, proteção de dados não é apenas evitar multa. É preservar confiança, contrato e reputação.

Fontes consultadas

• Brasil. Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais. Fonte: Planalto. Acessar fonte.
• Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Fonte: Gov.br/ANPD. Acessar fonte.
• Autoridade Nacional de Proteção de Dados. Comunicação de incidentes de segurança. Fonte: Gov.br/ANPD. Acessar fonte.