• Eduardo Natale

Contratos e o compliance com a LGPD



Um projeto de adequação à Lei Geral de Proteção de Dados (LGPD) é uma longa jornada, envolvendo conhecimentos multidisciplinares e consistindo em várias etapas. Uma delas é a revisão de contratos e documentos, que deve ser realizada por advogado ou profissional com conhecimento jurídico.


A LGPD impôs várias responsabilidades aos agentes de tratamento, notadamente o dever de reparar pelos danos causados em decorrentes do tratamento de dados e o dever de prestação de contas. Diante disso, a revisão de contratos e outros documentos encontra enorme importância para o cumprimento desses deveres.




Preciso revisar os documentos da minha empresa para cumprir com a LGPD?


Todos os agentes de tratamento devem adequar seus contratos e documentos à Lei Geral de Proteção de Dados, por diversas razões. Vamos expor algumas, sem a pretensão de esgotar o tema neste artigo.


Em primeiro lugar, uma empresa não pode ter um contrato com disposições que violam a lei. É necessário revisá-lo para que fique de acordo com a LGPD. Por exemplo, vejamos uma das várias questões que merecem revisão: a obtenção do consentimento.


Naturalmente, o consentimento é uma importante base legal para o tratamento de dados pessoais e a principal para o tratamento de dados pessoais sensíveis, como aqueles referentes à saúde. Para cumprir com as regras da LGPD, sua obtenção deve ser:

  • Livre;

  • Informada;

  • Inequívoca; e

  • Vinculada a uma finalidade determinada.


Desse modo, o documento pelo qual a empresa registra a coleta do consentimento deve estar redigido de tal forma que reflita as qualidades acima listadas. Caso, por exemplo, o consentimento refira-se a uma finalidade genérica, será nulo e o agente estará sujeito às sanções da lei.


Segundo, a LGPD reafirmou, no direito brasileiro, a responsabilidade do controlador e operador pelos danos que vierem a causar em razão do seu tratamento de dados. Inclusive, estabeleceu que o controlador é responsável pelos danos que o operador vier a cometer.


Diante disso, é importante que fique bem acertado o tratamento que o operador deve fazer, de modo que ele não faça nada além, nem menos, do que o necessário com os dados.


Além disso, caso o agente de tratamento venha a ser demandado para indenizar um titular de dados, ficará a seu cargo demonstrar que não deve ser responsabilizado. Nesse sentido, ter contratos e documentos adequados será de grande valia para essa eventualidade. Isso nos leva ao próximo ponto.


Terceiro, a LGPD determinou aos agentes de tratamento o dever de prestar contas, ou seja, a empresa deve ser capaz de demonstrar a sua adequação às normas de proteção de dados. Idealmente, essa comprovação deve ser feita de forma documental na maioria das vezes. Aqui a revisão dos contratos e documentos mostra novamente sua importância.


Dessa forma, não adianta estar em compliance se não puder demonstrar que está. A empresa precisa contar documentos comprobatórios válidos juridicamente e adequados para a finalidade a que se propõem.




Quando preciso ter um contrato?


Antes de tudo, a LGPD não obriga os agentes de tratamento a formalizar um contrato, ao contrário da GDPR. Entretanto, isso é fortemente recomendável.


De maneira geral, é sempre aconselhável ajustar o combinado através de um contrato escrito, definindo as obrigações e deveres de cada parte. Isso é especialmente importante quando se trata de relações comerciais ou empresariais.


Espelhando-se nas regras da GDPR, pode-se dizer que é fundamental ter um contrato em, pelo menos, duas situações:

  • Quando um controlador escolhe ter um operador; e

  • Quando um operador subcontrata outro operador (“suboperador”).



Por que um contrato entre controlador o operador é importante?


Além dos motivos expostos inicialmente, firmar um contrato entre controlador e operador é importante, por exemplo, para garantir que:

  • o operador aja somente segundo as instruções do controlador;

  • cada parte tenha medidas adequadas de proteção de dados e cumpra a LGPD;

  • o operador ajudará o controlador a atender os pedidos dos titulares de dados.



O que devo fazer?


Se você ainda não revisou seus contratos, deve garantir que eles estejam em conformidade até a entrada em vigor da LGPD. A bem da verdade, quanto antes você o fizer, mais seguro estará.


Dessa forma, os controladores e operadores devem verificar se os contratos existentes contém todos os elementos necessários e recomendados no que se refere às normas de proteção de dados. Se não contiver, é fundamental corrigir os contratos atuais ou providenciar novos.




O que devo incluir no contrato com o operador?


Você deve, pelo menos, definir bem os direitos e deveres de cada parte e descrever o tratamento a ser realizado. Por exemplo, inclua detalhes sobre:

  • sua natureza;

  • seu escopo (abrangência);

  • sua finalidade;

  • sua duração.

Que cláusulas incluir, exatamente? Não existe resposta pronta, principalmente porque é necessário considerar o contexto específico da empresa, bem como que ainda não existem regramentos da ANPD sobre essa questão.


Contudo, assim como em vários outros pontos da LGPD, podemos traçar um paralelo com a lei europeia. A GDPR exige que conste no contrato, em resumo, que o operador:

  • apenas deve agir de acordo com as instruções documentadas do controlador, exceto se obrigado por lei a agir sem elas;

  • garante que as pessoas autorizadas a realizar o tratamento estão sujeitas a um compromisso de confidencialidade;

  • adota medidas de segurança adequadas;

  • somente pode subcontratar (isso é, contratar outro operador) com autorização escrita do controlador;

  • ajuda o controlador, através de medidas técnicas e organizativas adequadas, a responder aos pedidos dos titulares;

  • ajuda o controlador a assegurar a segurança da informação e a responder a incidentes de segurança;

  • elimina adequadamente os dados ao fim da prestação do serviço, apagando ou devolvendo ao controlador; e

  • disponibiliza as informações necessárias e colabora para a realização de auditorias.

Assim, em princípio, você estará resguardado se cobrir esses tópicos. Entretanto, reforçamos que isso deverá ser adaptado à realidade da sua empresa. Pode ser, inclusive, desnecessário tratar de algum desses pontos ou necessário incluir outros.



Conclusão


É importante ter em mente que a responsabilidade do controlador ou operador não se limita ao estipulado no contrato. O agente pode ser responsabilizado administrativa ou judicialmente se descumprir as normas de proteção de dados.

Evidentemente, isso não diminui a importância da revisão e adequação dos contratos e documentos para o compliance com a LGPD. Na verdade, conforme visto, mostra-se fundamental para tanto, inclusive para mitigar os riscos de eventual responsabilização.


Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook