Adequação dos contratos à LGPD: não perca tempo!
[:br]
Os profissionais que trabalham em projetos de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) certamente já notaram o volume de documentos a serem adequados do ponto de vista jurídico.
Diante da necessidade de definir direitos e deveres, estabelecer instruções e garantir transparência no tratamento de dados pessoais, com frequência somos confrontados com a necessidade de atualizar diversos contratos.
Contudo, aditar contratos pode não ser tão simples quanto parece e aplicar cláusulas padronizadas em contratos distintos pode causar problemas futuros para as empresas, por exemplo, caso as cláusulas deixem de abordar aspectos relevantes do relacionamento.
Por isso, quem deixar a adequação à LGPD para última hora pode ser surpreendido com o volume de tarefas, documentos e procedimentos a serem criados para garantir a conformidade. Estar em compliance com a nova legislação, que em breve entrará em vigência, demanda um preparo não só dos documentos, mas também dos processos a serem seguidos para o adequado tratamento dos dados.
Neste sentido, relacionamos abaixo alguns aspectos a serem considerados. É importante ressaltar que estes pontos não abordam todas as variáveis que devem ser levadas em conta, pois cada situação é específica e exige a devida adequação dos documentos.
Contratos com o Titular de Dados Pessoais
O ponto de partida destes documentos será o princípio da transparência, estabelecido no art. 6° VI. Este princípio prevê que os titulares deverão ter acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento envolvidos.
A LGPD enfatiza que a disponibilização das informações sobre o tratamento de dados deve ser adequada e ostensiva. Em outras palavras, o documento deve garantir que o titular tenha conhecimento sobre os dados que estão sendo coletados, como serão tratados, com qual finalidade e por quem serão tratados.
O artigo 9° da LGPD pode servir de guia para empresa verificar se todas as informações foram devidamente transmitidas aos titulares:
“Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.”
Contratos entre Controlador e Operador
A LGDP prevê a possibilidade de controladores e operadores serem considerados solidariamente responsáveis por danos causados aos titulares em razão de violações da legislação.
O operador poderá responder solidariamente em casos de descumprimento das obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador. Da mesma forma, o controlador que estiver diretamente envolvido no tratamento do qual decorreram danos ao titular dos dados, poderá responder solidariamente com o operador.
Fica claro, portanto, a importância do controlador definir claramente as instruções que o operador deverá seguir. Estas instruções não devem ser seguidas cegamente, pois a própria lei determina que o operador deverá seguir apenas as instruções lícitas.
Por outro lado, o controlador deve munir-se de mecanismos que lhe permita fiscalizar o respeito, pelo operador, das instruções estabelecidas no contrato e na lei.
Por esta razão, é comum este tipo de contrato prever cláusulas que permitam ao controlador auditar o operador ou que estipule obrigações de enviar, periodicamente, evidências que comprovem compliance com a LGPD.
As cláusulas sobre limitação de responsabilidade e indenização também são comuns nestes contratos. Além das multas previstas na LGPD, que podem chegar a 50 milhões de reais, os danos à imagem que uma empresa pode sofrer diante de um incidente podem ser milionários. Por esta razão, muitos operadores podem pensar no estabelecimento de limites de responsabilidade e indenização em seus contratos.
Este é um ponto de alerta, no sentido que a inércia na inadequação dos documentos pode ensejar passivos decorrentes da aplicação de multas ou pagamento de indenizações em patamares elevados.
Nas palavras do nosso especialista Dr. Fernando Antonio Santiago Junior, “os dados pessoais se tornaram indubitavelmente um precioso ativo, eles podem dar origem, se mal administrados, a um importante passivo para aqueles que os detém.”
Por fim, a LGPD estabelece que, em casos de incidentes, a legitimidade para analisar o caso e decidir sobre notificar a ANPD e os titulares é do controlador. Portanto, é essencial estabelecer entre as partes o procedimento a ser adotado em caso de incidentes (prazos para notificação ao controlador, medidas remediativas a serem implementadas etc.).
Contratos entre controladores distintos
É muito comum o fato de duas empresas, atuando como controladores independentes, tratarem os mesmos dados pessoais.
Neste caso, os deveres e obrigações não serão os mesmos daqueles estabelecidos entre controlador e operador. Importante observar que a padronização na análise pode incorrer em falhas na adequação, uma vez que as obrigações a serem observadas variam de acordo com o tipo de contrato.
O primeiro ponto a ser considerado é que o titular tem o direito de ser informado sobre os agentes envolvidos em tratamento de dados, em respeito ao princípio da transparência.
O artigo 7° parágrafo 5° da LGPD ainda estabelece que caso os dados pessoais tratados com base no consentimento do titular tenham que ser transferidos a outro controlador, a empresa deverá obter o consentimento específico do titular antes de transferi-, ressalvadas as hipóteses de dispensa de consentimento previstas na LGPD.
Estes são apenas alguns aspectos a serem considerados na adequação de um contrato aos requisitos da LGPD. Para garantir que todos os aspectos do caso específico sejam considerados e que os interesses da sua empresa sejam defendidos, procure o apoio de consultores jurídicos especializados no tema.
O Chenut Oliveira Santiago conta com uma equipe especializada e experiente que poderá assessorar sua empresa em matéria de proteção de dados e direito digital.
[:]