O recente vazamento de mais de 94 mil arquivos médicos de brasileiros, decorrente de uma falha de configuração em ambiente de nuvem de um fornecedor de saúde, reforça uma lição central: digitalizar processos ou migrar para a nuvem não significa, por si só, garantir segurança. Pelo contrário, a transformação digital amplia os riscos e exige governança sólida, com práticas preventivas, auditáveis e baseadas em evidências.
Nesse cenário, a gestão de contratos ganha protagonismo. Cláusulas genéricas de confidencialidade já não são suficientes. É fundamental que os controladores estabeleçam mecanismos claros de due diligence, avaliando fornecedores sob o ponto de vista técnico, jurídico e organizacional. A LGPD é categórica: a responsabilidade pelo tratamento de dados continua sendo do controlador, mesmo quando executada por operadores.
Um desafio recorrente está nos contratos já firmados antes da atual consciência sobre segurança digital. Cancelá-los não é o caminho, mas sim transformá-los em instrumentos vivos de melhoria. Cabe ao controlador ativar mecanismos de auditoria contínua e oferecer feedbacks estruturados, de modo a induzir o operador a elevar constantemente seus padrões de proteção. Relatórios de auditoria, testes de invasão periódicos, avaliações de configuração e planos de resposta a incidentes devem ser exigidos como práticas recorrentes, e não como exceções.
Já para novos contratos, o patamar de exigência deve ser ainda mais alto: prever desde o início uma realidade de auditoria constante, com métricas objetivas, cronogramas de revisão, indicadores de desempenho e canais claros de reporte. Essa abordagem não apenas mitiga riscos, mas fortalece a relação entre controlador e operador, transformando-a em uma parceria orientada pela transparência, evolução contínua e busca por excelência em segurança da informação.
No fim, confiar deixou de ser suficiente. A segurança efetiva está na verificação constante e na disciplina de revisar, testar e auditar. Em tempos de integração digital e crescente dependência de terceiros, a linha que separa a prevenção de uma crise é justamente a governança que transforma contratos em instrumentos auditáveis e vivos, sustentados por evidências concretas.
Autor: Ricardo Luiz Peixoto é Consultor em LGPD e Governança de Segurança da Informação pela HDPO, com experiência em projetos de adequação regulatória, gestão contratual e auditoria contínua, especialmente no setor da saúde.
