Clausulário básico para garantir que os seus contratos estejam em conformidade com a LGPD
Por Rodrigo Russo / Direito Digital, LGPD / 9 fevereiro, 2021
Assistimos atônitos ao vazamento de dados de mais 223 milhões de brasileiros. A origem do incidente ainda está sendo investigada, de acordo com o que informou ontem (08/02/21) a Experian, empresa de crédito dona do Serasa. Veja a matéria
Este evento trouxe, novamente, luzes à Lei Geral de Proteção de Dados (LGPD). Como, afinal, as empresas podem prevenir vazamentos ou, o pior, a mancha na imagem institucional?
Um dos primeiros cuidados é a adequação das cadeias e relações contratuais. Afinal, é por meio dos contratos que se regulamenta a relação do negócio com outros parceiros, fornecedores, clientes e os próprios sócios, administradores e colaboradores do negócio. Sua relevância, assim, é indiscutível, bem como sua sensibilidade perante as regras da LGPD.
O início da vigência da Lei Geral de Proteção de Dados (LGPD) em setembro de 2020 evidenciou a necessidade de adequação às novas regras por parte de todos os negócios.
Assim, aqueles que não deram início ao processo de adequação antecipadamente, se deparam, agora, com sua incontornável complexidade, fazendo-se necessário compreender suas etapas e definir quais são as prioridades iniciais para dar cumprimento às novas regras de proteção e tratamento dos dados.
O escopo deste artigo será abordar algumas das principais questões que devem ser previstas nos contratos, bem como indicar algumas cláusulas gerais que podem auxiliar na adequação contratual de cada negócio.
Vale destacar, contudo, que o processo de adequação é único e particular para cada empresa, de modo que as relações contratuais de uma empresa com cada agente diferente devem ser estudadas e adaptadas de forma específica, conforme a necessidade e realidade do negócio. Rememore-se que o espírito da LGPD visa a, justamente, coibir a imposição de termos, regras ou disposições genéricas e imprecisas por parte dos controladores de dados.
Artigos Relacionados
Questões preliminares
Como dito, embora a adaptação dos contratos seja uma das primeiras e maiores preocupações no processo de adequação, não se trata, efetivamente, do primeiro passo. Antes de iniciar a adequação dos contratos, é indispensável diagnosticar a realidade do negócio, buscando resposta para as seguintes questões:
Já houve o mapeamento dos dados?
É indispensável compreender, antecipadamente, quais os dados tratados pelo negócio. Em outras palavras, deve-se saber se os dados relacionados ao contrato já foram mapeados, de modo a esclarecer, por exemplo:
- Quais são os dados coletados?
- Os dados coletados são dados pessoais ou dados pessoais sensíveis?
- Como é realizada a coleta?
- Qual é a finalidade da coleta e tratamento de cada um desses dados?
- Quem possui acesso a cada um deles?
- Há compartilhamento desses dados com terceiros?
- Por quanto tempo e em quais meios os dados serão mantidos?
- Quando e como será feita sua eliminação?
Cada uma dessas questões servirá não apenas para deixar o contrato claro e específico, mas também para balizar a complexidade do contrato, isto é, se serão necessárias cláusulas mais robustas, diligências mais aprofundadas, quais as garantias que devem ser prestadas, etc.
Evidentemente, esta fase de mapeamento traz seu próprio arcabouço de providências, consistindo em uma etapa própria do processo de adequação e, como visto, anterior à própria adequação dos contratos.
Já existem bases legais atribuídas ao tratamento de dados a ser realizado? Quais são elas?
A LGPD traz, em seus arts. 7º e 11º, as bases legais que possibilitam o tratamento de dados pessoais e dados pessoais sensíveis, respectivamente. A depender de qual a base legal utilizada em cada caso, existem cuidados e previsões específicas diversas que podem se fazer necessárias.
O negócio atua/atuará como controlador ou operador em cada uma das relações contratuais?
A posição da empresa como controladora ou operadora de dados pode variar, a depender de sua relação com seus colaboradores, parceiros, fornecedores e clientes ou, ainda, até mesmo em diferentes relações com agentes de mesma categoria.
Compreender a posição do negócio dentro de cada uma dessas relações permite estabelecer com maior precisão quais os direitos e deveres a serem regulamentados no contrato.
É importante lembrar que o contrato deve refletir a situação e as práticas concretas da empresa, não regulamentando situações ideais que não ocorrem de fato. Por isso, essas etapas preliminares precisam ser analisadas e cumpridas, de modo que o contrato apenas faça transparecer um estado de conformidade que já está sendo efetivamente implantado.
Questões e cláusulas essenciais
Superadas as questões preliminares, já é possível estabelecer os principais pontos relacionados à proteção de dados que devem constar nos contratos para que estes fiquem alinhados às disposições trazidas pela LGPD, tais como:
Cláusulas gerais de proteção de dados
Tal disposição consiste em uma determinação ampla de atendimento e observância da LGPD, especialmente os princípios e deveres trazidos pela lei, em todos os procedimentos de tratamento de dados.
Indicação dos dados tratados
Descrição dos dados tratados, especificando-os, bem como qual a forma de tratamento, se são apenas pessoais ou pessoais sensíveis e se serão anonimizados ou pseudonimizados.
Período e meio de armazenamento dos dados tratados
Indicar por quanto tempo os dados serão tratados, estabelecendo um prazo específico e predeterminado (seja ele fixo, a partir do início do tratamento, ou contado a partir de um determinado evento), bem como dispor acerca do término desse tratamento e como será feita a sua eliminação.
Finalidade do tratamento de dados
Especificar qual o propósito desse tratamento, por qual motivo os dados são coletados e de que forma são empregados nas atividades empreendidas.
Obrigações e Responsabilidade
Definir quais os direitos e obrigações de cada uma das partes do contrato, seja na posição de operador e controlador, consumidor e fornecedor, parceiros ou empregado e empregador, estabelecendo as responsabilidades específicas relacionadas ao tratamento de dados, mecanismos de segurança e repartição de responsabilidades.
Regulamentação sobre a terceirização do tratamento de dados
Definir se será permitida a terceirização das atividades de tratamento de dados e, se sim, indicar se será necessária aprovação prévia, pelo controlador, para que essa terceirização aconteça, qual o método para formalização dessa aprovação, qual a responsabilidade desse terceirizado, quais os mecanismos, cuidados e disposições a serem observados, se esse terceirizado poderia “quarteirizar” a atividade de tratamentos e assim sucessivamente.
Questões e cláusulas adicionais
Além das cláusulas essenciais, existem, ainda, questões adicionais que, embora não sejam indispensáveis no contrato, trazem uma maior segurança à relação, esclarecem possíveis dúvidas, agilizam a resolução de eventuais incidentes e previnem a ocorrência de litígios. São as seguintes:
Confidencialidade
Impor, expressamente, o dever de confidencialidade do contratado e de seus colaboradores no manuseio de todos os dados relacionados ao contrato.
Dever de auxílio no atendimento às solicitações relacionadas aos direitos de titulares de dados pessoais
Ainda que não caiba, ao operador, atender, de forma independente, às solicitações formuladas pelos titulares de dados relacionadas aos seus direitos, é possível prever que o operador possui o dever de auxiliar o controlador dos dados nas solicitações recebidas por este, sempre que necessário.
Regulamentação de conduta no caso de incidentes de segurança com os dados tratados
Nos casos em que houver incidente de segurança relacionado aos dados vinculados ao contrato, é possível prever qual a postura a ser adotada por cada uma das partes, estabelecer prazos para comunicação e notificação, necessidade de apresentação de relatório de segurança, cooperação diante da eventual necessidade de notificar as autoridades competentes, etc.
Como exposto acima, o processo de conformidade deve ser feito sob medida para cada negócio, levando em consideração suas particularidades.
Não obstante, a LGPD traz uma série de princípios, deveres e cuidados gerais, aplicáveis aos agentes que exercem atividades de tratamento de dados, e que servem para balizar as principais questões que impactarão as relações contratuais.
Obtendo-se respostas para as questões abordadas no presente artigo, com base nas disposições da LGPD, já é possível entender quais os principais pontos a serem considerados e como elaborar as cláusulas respectivas, de acordo com a realidade prática de cada negócio.
COMPARTILHE NAS REDES SOCIAIS