Adequação de contratos à LGPD: necessidade das empresas a partir de 2021

dez 15, 2021 | Civil

Com a vigência da Lei nº 13.709/2018, LGPD (Lei Geral de Proteção de Dados), a partir de agosto de 2020 as empresas passaram a priorizar a adequação de suas atividades e de suas políticas internas às disposições trazidas pela legislação, como mapeamento de suas atividades, implementação de programas de privacidade e realização de treinamentos de colaboradores.

Parte importante da atividade empresarial está na celebração de contratos, instrumentos essenciais para a realização de negócios jurídicos, que também devem ser objeto de adequação à LGPD, com objetivo de respeitar a norma protetiva voltada aos titulares cujos dados pessoais são tratados na relação contratual.

Para tanto, diversos aditivos e novos contratos contendo cláusulas de LGPD têm sido celebrados ultimamente, com o intuito de estabelecer direitos e deveres de cada uma das partes, bem como regras a serem obedecidas no tratamento de dados pessoais realizado em decorrência do cumprimento do objeto contratual.

Diante do fato de a ANPD (Autoridade Nacional de Proteção de Dados) ainda não ter regulamentado diversos pontos da LGPD para uma clara definição das regras atinentes às cláusulas contratuais, têm sido seguidas as melhores práticas trazidas pela União Europeia, quando da aplicação do GDPR (Regulamento Geral de Proteção de Dados). Além disso, também é feita a análise do texto da própria LGPD, a fim de determinar as cláusulas a serem incluídas nos contratos para que tratem de todos os aspectos relevantes da proteção de dados.

Dessa forma, constam na sequência as principais cláusulas que devem ser incluídas nos contratos referentes à privacidade e à proteção de dados.

Agentes de tratamento

É importante estabelecer a posição das partes como controlador ou operador de dados pessoais, tendo em vista que a lei traz responsabilidades distintas para cada um dos agentes. Ao controlador compete as decisões referentes ao tratamento de dados pessoais, enquanto o operador será responsável por realizar o tratamento em nome do controlador, devendo seguir as instruções deste.

No contrato deve também constar se há controladoria conjunta, haja vista que as partes dividem o poder de controle e são consideradas controladoras em conjunto ou cocontroladoras, bem como se há a figura do sub-operador, que é caracterizado quando um operador contrata outro para auxiliá-lo no cumprimento contratual.

Medidas de segurança

A lei estabelece a obrigatoriedade de os agentes de tratamento adotarem medidas de segurança técnicas e administrativas que sejam aptas a proteger os dados pessoais de acessos não autorizados e de acidentes, bem como de qualquer forma inadequada ou ilícita de tratamento. São exemplos dessas medidas os mecanismos de autenticação de acesso, anonimização, pseudonimização e encriptação dos dados pessoais, disposições que devem ser incluídas nos contratos para que possam ser vinculantes às partes.

A lei também determina que operador ou controlador que deixar de adotar as medidas de segurança estabelecidas na lei responde pelos danos a que der causa em decorrência da violação de segurança dos dados.

Compartilhamento de dados

Para o cumprimento contratual, muitas vezes é necessário o compartilhamento de dados pessoais com terceiros alheios ao contrato e, dessa forma, as partes devem estabelecer regras a serem seguidas, podendo determinar a obrigação de notificação ou consentimento prévio da outra parte antes da realização do compartilhamento de dados, bem como prever que a parte que compartilhar deva se obrigar a garantir o mesmo nível de proteção de dados por parte desses terceiros.

Direitos dos titulares

As partes devem estabelecer procedimentos internos para cumprir as solicitações realizadas por titulares de dados pessoais dentro do prazo legal. Assim, elas podem também estabelecer regras mútuas de cooperação no cumprimento desses direitos.

Os titulares têm o direito de: 1) obter do controlador, conforme disposto no artigo 18 da LGPD, a confirmação da existência do tratamento; 2) acessar os dados; 3) corrigir dados incompletos, inexatos ou desatualizados; 4) anonimização; 5) bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; 6) fazer portabilidade ou eliminar dados; 7) receber informação das entidades com as quais o controlador realizou uso compartilhado de dados; e 8) ser informado sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa.

Incidentes

As partes devem estabelecer os procedimentos a serem implementados em caso de incidente de dados pessoais, com planos de respostas e remediação estruturados. Um incidente ocorre quando há tratamento inadequado ou ilícito de dados pessoais em decorrência de acontecimentos que comprometam a segurança dessas informações, de modo a expô-las a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda ou alteração [1].

Auditoria

Para que seja possível verificar se as partes estão cumprindo as regras trazidas pelo contrato, é possível estabelecer a realização de auditoria, quando a empresa auditada fornecerá todo o suporte necessário para a realização das análises por parte da equipe de auditoria.

Penalidades e multas

Com o objetivo de incentivar o cumprimento das obrigações pelas partes, é possível determinar que penalidades ou multas serão aplicadas em caso de descumprimento das disposições acerca da proteção de dados pessoais, independentemente das sanções administrativas previstas na LGPD, que podem ser eventualmente aplicadas pela ANPD. Uma das penalidades é a rescisão contratual em caso de violação da lei.

Comunicações

Ao considerar que a lei exige a nomeação de um encarregado de proteção de dados, chamado também de DPO (data protection officer), que atuará como canal de comunicação entre controlador, titulares e ANPD, os dados de contato do DPO devem ser informados no contrato, quando necessário.

Retenção e exclusão dos dados

Ao término da relação contratual, as partes devem estabelecer como serão devolvidos ou excluídos os dados pessoais tratados, ressalvadas as retenções para o cumprimento de imposições legais.

Esses são exemplos de cláusulas que refletem as boas práticas de governança e têm por objetivo auxiliar as partes no cumprimento da LGPD quando do tratamento de dados pessoais realizado em decorrência de um contrato com outra parte.

Ao longo de 2021, muitas empresas moveram-se em função de adequar todos os seus contratos à lei e evitar eventuais questionamentos ou sanções por parte das autoridades públicas, bem como estabelecer as regras para a proteção dos dados pessoais tratados em sua atividade empresarial.

Ainda há um longo caminho de adequações pela frente. No entanto, o mercado brasileiro já mostrou estar preocupado em proteger os dados pessoais tratados, o que demonstra o reflexo positivo que a lei trouxe à proteção dos direitos dos titulares de dados pessoais.

Fonte: Conjur