A Lei Geral de Proteção de Dados – LGPD (Lei 13709/2021), em vigor desde setembro de 2020, impõe que empresas revisem suas operações envolvendo dados de pessoas físicas. Nessa reanálise deverão estar abarcados também os dados compartilhados com outras empresas, como fornecedores, terceirizados, contratantes e parceiros de negócio.
Como parte do esforço para adequação à referida Lei, recomenda-se que a negociação de novos contratos traga cláusulas para a definição de regras relacionadas ao tratamento de dados pessoais. Da mesma forma, os contratos vigentes devem ser revistos, para garantir a segurança jurídica entre as partes, do ponto de vista da proteção de dados.
Alguns pontos devem ser objeto de atenção no processo negocial:
1) DEFINIÇÃO DOS AGENTES DE TRATAMENTO
A definição de quem atuará como Controlador e como Operador é fundamental para determinar a quem competem as decisões referentes ao tratamento de dados pessoais. Trazer as posições de forma expressa no contrato permite que haja clareza quanto a certas obrigações elencadas pela LGPD, como, por exemplo, o atendimento de demandas de titulares, a comunicação de incidentes de segurança à Autoridade Nacional de Proteção de Dados e a responsabilidade pela elaboração de Relatórios de Impacto à Proteção de Dados.
2) DEFINIÇÃO DE MEDIDAS DE SEGURANÇA APROPRIADAS
A LGPD determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Desse modo, elencar no contrato as medidas suficientes e condizentes com a natureza dos dados tratados, alinhadas com as melhores práticas e com a legislação vigente é recomendável para que o Controlador se resguarde de que o Operador conseguirá garantir a conformidade com o exigido pela Lei.
3) ATUAÇÃO EM CASA DE INCIDENTES DE SEGURANÇA
Por incidentes de segurança entende-se como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação, levando a perda de confidencialidade, integridade e/ou disponibilidade. Dentre os mais conhecidos e cada dia mais comuns, está o vazamento de dados.
Dada a necessidade de uma resposta rápida e eficiente, é necessário que o contrato defina a comunicação entre os agentes de tratamento, a partir da ciência do incidente. Cabe ainda determinar as informações mínimas a serem compartilhadas entre as partes, de modo a ser possível uma atuação conjunta, bem como, em sendo necessário, realizar o envio de notificação à Autoridade Nacional de Proteção de Dados acerca do ocorrido.
4) POSSIBILIDADE DE SUBCONTRATAÇÃO
Quando o assunto é a subcontratação para atividades envolvendo tratamentos de dados, é importante que haja autorização explícita do Controlador e, preferencialmente, que estejam indicados os tipos de tratamentos de dados pessoais permitidos. Além disso, o terceiro contratado será considerado como Operador, devendo estar obrigado a, no mínimo, cumprir as obrigações estabelecidas pelo Controlador.
5) USO DOS DADOS AO TÉRMINO DO CONTRATO
Ao término da relação entre as partes cabe definir o que será feito com os dados pessoais compartilhados em decorrência do contrato. O Controlador pode determinar que haja a eliminação, a correção, a anonimização, o bloqueio aos dados acessados ou mesmo permitir que o Operador siga usando as informações obtidas, contanto que respeitadas limitações impostas pela LGPD, quanto à finalidade e à base legal de tratamento.
Como em qualquer relação contratual, delimitar as obrigações e as responsabilidades é importante para um acordo seguro e saudável. No caso de atividades de tratamento de dados, reforça-se a necessidade pela previsão de responsabilidade solidária entre as partes. Empresas em processo de adequação à LGPD devem considerar como prioritários os esforços para negociação e renegociação de contratos com seus parceiros de negócio.
