Porque é tão importante pensar nos contratos, em tempos de LGPD (Lei Geral da Proteção de Dados)? O advogado Renato Leite, fundador do Data Privacy Brasil, expôs alguns argumentos a respeito do assunto na Fenalaw 2019.
Um deles deles é o de que por onde os dados passam, pode haver uma responsabilização. Por isso, ter parceiros que não tratam os dados adequadamente pode não ser interessante para escritórios de advocacia. Afinal, existe a questão da responsabilidade solidária. Uma forma de evitá-la é se resguardar a partir do contrato.
O documento pode conter uma cláusula que rege o tratamento de dados. Nela, é interessante constar o objetivo do processamento dos dados, estar bem definida a questão de quem é o controlador e de quem é operador, e serem informados quais dados pessoais e como estão sendo tratados.
A regulamentação define, no Art. 5, que:
- controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
- tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Alguns princípios que a LGPD traz também podem fazer parte da cláusula do contrato sobre tratamento de dados, para deixar transparantes questões como:
- finalidade;
- direitos;
- auditoria;
- padrões de segurança; e
- incidentes de segurança.
A legislação sobre a proteção de dados determina o que é exatamente cada um desses tópicos. Basear-se nisso para expor a questão no contrato é uma maneira de garantir que as informações quanto à proteção de dados estarão claras. A partir de alguns exemplos, é possível saber como incluí-los nos documentos de contratação.
Exemplos de cláusulas contratuais adequadas à LGPD
A maior parte dos conceitos utilizados na construção dos exemplos fazem parte do Art. 6 da LGPD, que é exatamente o que rege os princípios para a realização de atividades de tratamento de dados. Somente o que versa sobre a Auditoria está explícito em um artigo diferente (Art. 37).
1. Finalidade
O tratamento de dados se dará para atender a propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de o tratamento posterior ser incompatível com essas finalidades.
2. Direitos
É garantido, aos titulares, a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. Ficam garantidas, ainda, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Todas as informações estarão facilmente acessíveis, de forma clara e precisa, sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
3. Auditoria
Serão mantidos registros das operações de tratamento de dados pessoais realizados tanto pelo controlador quanto pelo operador, especialmente quando baseados no legítimo interesse.
4. Padrões de segurança
Serão adotadas todas as medidas cabíveis para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
5. Incidentes de segurança
Serão adotadas todas as medidas para o cumprimento das normas de proteção de dados pessoais e, inclusive, para eficácia dessas medidas.
Quais contratos é preciso adequar?
A LGPD – ou Lei Geral de Proteção de Dados-, não especifica o tipo de contrato que deve ser adequado. Contudo, como a lei se aplica a empresas de todo e qualquer porte, há que se concluir que não há exceção. Toda empresa precisa revisar seus contratos para adaptá-los à legislação em vigor em agosto de 2020.
Sendo assim, algo que precisa estar muito claro é o de que a Política de Privacidade, pura e simplesmente, não se aplica ao tratamento de dados pessoais. Portanto, não basta reproduzi-la. É necessário criar um anexo específico, caso necessário, somente sobre a forma de uso dos dados pessoais. E isso em todas as áreas.
Uma das mais impactadas pela LGPD é a de recursos humanos. Em muitas organizações, segundo Renato Teixeira, terá de ser reformulada a relação da empresa com os colaboradores. O mesmo terá de ocorrer com os fornecedores e vários outros segmentos. Ou seja, será preciso reforçar constantemente a conscientização para compreensão da importância da proteção de dados. Por exemplo, realizar ações coletivas de educação para reiterar a necessidade de cuidado com um bem que é até coletivo. Afinal, dados de empresas que, às vezes, estão ao alcance de muitas pessoas também se enquadram como dados pessoais.
A lei é essencial para colocar o Brasil no cenário mundial de preservação da privacidade. Agora, para se adequar, muitas empresas podem usar a metodologia de privacy by design, que é quase obrigatória. Em resumo, é treinar as pessoas, conscientizá-las e educá-las para que, assim, protejam os próprios dados, os das empresas em que atuam e das pessoas com quem ambos se relacionam.