Entenda quais são os 5 pontos essenciais para adequar os seus contratos com a LGPD – Lei Geral de Proteção de Dados Pessoais.
Sumário
Introdução
Os contratos representam para o Direito a materialização de um negócio jurídico, ou seja, trata-se da expressa manifestação de vontade de cada uma das partes em firmarem um negócio entre si.
Quando falamos da necessidade dos contratos estarem adequados à LGPD isso significa que esta manifestação de vontade entre as partes deve ser feita, realizada e elaborada seguindo as normas e disposições que a legislação de proteção de dados determina.
A adequação dos contratos é um dos pontos mais relevantes à luz da LGPD, principalmente porque os contratos fazem leis entre as partes envolvidas.
Em razão disso, vamos abordar os 5 pontos essenciais para que você mantenha seus contratos em conformidade com a LGPD, visando sempre um grau maior de adequação.
Para isso, basta continuar lendo este artigo.
1º ponto essencial – Quais contratos precisam ser adequados?
Muito se discute sobre a necessidade ou não de se adequar absolutamente todos os contratos existentes em uma empresa de acordo com a LGPD.
Ocorre que essa necessidade ou não de adequação depende da situação em concreto, tendo em vista que para haver observação as disposições da referida legislação é preciso, primeiramente, que se tenha ao menos uma atividade de tratamento de dados sendo realizada.
Assim, se há uma hipótese em que não há uma atividade de tratamento de dados sendo realizada, tampouco estamos lidando com um titular de dados, então por consequência não vislumbramos uma necessidade em acrescentar cláusulas específicas sobre a LGPD.
Porém, tal situação pode ser um pouco difícil de acontecer na realidade, tendo em vista que as empresas e, inclusive os profissionais autônomos e liberais, estão o tempo todo realizando uma atividade de tratamento de dados ou estão firmando negociações e contratos com ao menos um titular de dados.
Com relação a isso podemos afirmar que até mesmo as empresas que trabalham na modalidade B2B (business to business) precisam manter os seus contratos em conformidade com a LGPD porque realizam atividades de tratamento de dados com relação aos seus funcionários, podem terceirizar alguma função e por isso estabelecem relação com um agente denominado como operador, etc.
Assim, é preciso analisar cada caso em concreto para entender sobre a necessidade de se adequar um contrato a LGPD, ou não. Mas, sempre se atente a um fato: se você não sabe porque está inserindo uma cláusula de proteção de dados no seu contrato, então é melhor que não o faça.
As cláusulas contratuais, sobretudo as que se referem a proteção dos dados pessoais e a LGPD precisam ter uma finalidade na sua elaboração, não podem ser escritas ou copiadas sem uma análise da sua necessidade e do seu conteúdo.
É por isso que sempre recomendamos que esta adequação e gestão de contratos à luz da LGPD seja sempre feita por um profissional responsável e especialista na área.
2º ponto essencial – Contrato entre funcionários
Os contratos elaborados entre uma empresa e seus funcionários são um dos que precisam levar em consideração as disposições da LGPD, tendo em vista que estamos falando de uma relação firmada entre um agente de tratamento, no caso o controlador, e um titular de dados pessoais, no caso o funcionário.
É preciso que ao adequar um contrato entre funcionários constem cláusulas específicas sobre a responsabilidade e a definição da empresa como agente de tratamento, a especificação sobre a atividade de tratamento realizada, a definição do funcionário como titular de dados pessoais e todos os seus direitos previstos na LGPD, a forma como o funcionário poderá exercer os seus direitos mediante a empresa contratante, e as suas respectivas responsabilidades e deveres.
A depender de como é realizada a relação de trabalho é preciso também se atentar para a elaboração de documentos específicos, bem como a sua menção no próprio contrato de trabalho.
Um exemplo prático sobre um documento específico que pode ser elaborado a depender da relação de trabalho é sobre a Política BYOD (Bring Your Own Device). Esta é uma política utilizada principalmente em relações de trabalho que acontecem na modalidade de homeoffice, em que o funcionário poderá utilizar seus próprios equipamentos pessoais para realizar as suas funções.
Esta política é necessária porque nela estarão contidas as regras e a disposições sobre como o uso destes dispositivos pessoais deverá ser feito, inclusive sobre o acesso a sistemas e informações da própria empresa.
Além disso também é essencial que no contrato firmado entre a empresa e o funcionário conste a indicação onde está cada documento específico que também se destina ao funcionário como, por exemplo, um Código de Conduta, uma Política de Retenção e Descarte dos Dados, uma Política sobre Construção de Senhas em ambientes internos, etc.
É preciso que a empresa entenda que há dois vieses em um contrato firmado com um funcionário: o primeiro é que o funcionário é também um titular de dados, portanto precisa ter todas as informações essenciais ao seu tratamento de dados especificadas, bem como um direcionamento claro e facilitado sobre quais são os seus direitos como titular de dados e como exercer cada um deles.
Porém, há um segundo viés de que o funcionário é um subordinado da própria empresa, portanto ele também precisa respeitar e seguir todas as regras sobre o tratamento de dados pessoais e as normas da LGPD, tendo em vista que ele pode ser o profissional responsável por realizar alguma das etapas de uma atividade de tratamento de dados, havendo também, neste caso, necessidade de cumprimento das determinações internas da própria empresa.
Mais uma vez torna-se imprescindível recordar: funcionário não pode ser considerado um agente operador com relação ao tratamento de dados pessoais, tendo em vista que ele representa a própria empresa e é subordinado desta.
A elaboração destas cláusulas de proteção de dados deve ser feita e inserida no contrato de trabalho em consonância com o que prevê a CLT – Consolidação das Leis do Trabalho, tendo em vista que uma lei não desobriga o cumprimento da outra.
3º ponto essencial – Contrato com operador
Já quando falamos em um contrato firmado entre a empresa e um prestador de serviço, um terceirizado, estamos nos referindo ao contrato firmado entre um agente controlador e um agente operador de dados pessoais.
Em razão de estarmos diante de uma relação contratual firmada entre dois agentes de tratamento distintos, precisamos também elaborar cláusulas distintas e específicas neste contexto.
Sendo a empresa contratante um agente controlador e a empresa ou o prestador de serviço terceirizado um agente operador, cada um possui obrigações e responsabilidades específicas pela própria redação da LGPD.
Pela LGPD o controlador possui responsabilidade a mais do que o operador, sobretudo porque é ele quem detém o poder de influenciar a atividade de tratamento de dados realizada, é ele quem define quais dados serão tratados, as suas finalidades, respectivas bases legais e duração do tratamento de dados. Também é o controlador que possui a responsabilidade de elaborar o Relatório de Impacto à Proteção de Dados (RIPD), de nomear um Encarregado de Dados – DPO e de receber as comunicações e as requisições dos titulares de dados.
O operador possui a principal responsabilidade de realizar a atividade de tratamento de dados em nome do controlador e seguindo as recomendações que o próprio controlador elencar.
Na publicação do primeiro guia orientativo sobre os agentes de tratamento de dados pessoais e o encarregado de dados publicado pela ANPD, ficou determinado que o operador pode contratar um suboperador, que se trata de um agente contratado com a finalidade de auxiliar o operador a realizar o tratamento de dados em nome do controlador.
Desta forma, é fácil reconhecer que o contrato entre o controlador e o operador é distinto de todas as outras modalidades contratuais conhecidas, e em razão disso deve possuir cláusulas próprias de proteção de dados.
É necessário que no contrato firmado entre agentes de tratamento contenha cláusulas específicas sobre:
Quais dados serão tratados e para qual finalidade específica;
Como será realizado o compartilhamento entre os agentes com a definição de um canal oficial e seguro para tanto;
A obrigação e a definição da responsabilidade solidária entre os agentes de tratamento, nos moldes que prevê a própria LGPD;
A possibilidade ou não do operador poder contratar o suboperador;
As medidas de segurança que cada agente deverá adotar e requisitos mínimos para a proteção das informações;
Possibilidade de o controlador fiscalizar o operador a respeito do cumprimento de suas recomendações;
Prazo para notificação e comunicação em caso de incidente de segurança;
Possibilidade ou não de Ação de Regresso com possível requerimento de danos morais;
Finalização do tratamento de dados com a possibilidade ou não de retenção por período maior e a forma de descarte dos dados pessoais.
Além destas cláusulas básicas, também é preciso que constem cláusulas específicas sobre algumas ações ou atos que o operador não pode realizar como, por exemplo, a proibição de utilizar os dados pessoais para finalidade distinta da elencada pelo controlador, como também a impossibilidade do operador contratar um suboperador sem antes notificar o controlador e sem a aprovação deste.
É preciso que também conste no contrato cláusula específica mencionando a obrigação de cumprimento de todos os Princípios previstos no artigo 6º da LGPD, tendo em vista que toda a atividade de tratamento de dados deverá leva-los em consideração. Portanto, trata-se de mais uma forma de vincular as partes, sobretudo o operador, de cumprir com as normas da própria legislação.
Outro ponto fundamental é de definir exatamente as figuras dos agentes de tratamento, especialmente para que as partes não se confundam. Se o operador passar a ter muita autonomia com relação ao tratamento de dados pessoais, se ele puder ter a liberdade de mudar a finalidade, de dispor outras bases legais e de determinar outras atividades essenciais, então estaremos diante de uma relação de co-controladoria ou de controladoria conjunta, em que os dois agentes serão considerados como controladores e terão responsabilidades como controladores.
4º ponto essencial – A cláusula de segurança e sigilo dos dados pessoais
Dentre os contratos firmados entre a empresa e o seu funcionário, e a empresa com um prestador de serviço é necessário que em cada um deles conste uma cláusula para tratar sobre o tema da segurança e do sigilo dos dados pessoais.
Quando estamos diante de uma relação de trabalho, por vezes o funcionário irá ter acesso a diversos informações confidenciais, especialmente com relação a outros titulares de dados.
Nestes casos é imprescindível que conste no contrato uma cláusula específica acerca da segurança destes dados pessoais, principalmente com relação ao seu acesso, manuseio, compartilhamento, guarda e retenção pelo funcionário responsável, além de também prever o sigilo de tais dados, como a impossibilidade de compartilhamento com terceiros, cópia e transferência não autorizados pelo controlador.
Em uma relação contratual entre agentes de tratamento tal cláusula é importante porque dispõe a necessidade de se observar os padrões mínimos de segurança, seja de forma técnica ou de forma administrativa, bem como a obrigação de manter os dados pessoais em sigilo, mais uma vez impossibilitando atividades que não foram previstas ou recomendadas pelo controlador ao operador.
5º ponto essencial – A adequação em si: nova elaboração de contrato ou apenas aditivo?
A adequação dos contratos com relação à LGPD pode ser feita de duas formas, com a elaboração de um novo contrato reformulado ou, então, com a elaboração de um aditivo contratual que visa complementar todas as outras normas e cláusulas já previstas em um contrato que a empresa já possua.
Entre a possibilidade de elaborar um novo contrato ou de apenas elaborar um aditivo contratual deverá ser levado em consideração o caso em concreto, com a análise do que se encaixa melhor na realidade daquela determinada empresa.
O mais comum é que as empresas não possuam um contrato entre agentes de tratamento, tendo em vista que esta obrigação foi trazida pela LGPD e por recomendação da ANPD. Neste caso, fica evidente que o mais viável é se elaborar um contrato específico para regular esta relação jurídica.
Nos demais casos, como nos contratos firmados entre a empresa e seus funcionários, como já é uma prática comum e reiterada, por vezes só é necessário que se elabore um aditivo contratual sobre as normas de proteção de dados, com a observância sobre demais documentos que incorporam a adequação da empresa.
Disposições Finais
Os contratos são documentos essenciais que materializam a vontade das partes, e em razão disso precisam ser elaborados em conformidade com o que prevê a legislação, inclusive no tocante ao tema da proteção de dados pessoais.
Manter os contratos adequados à LGPD é mais um passo importante para a empresa que visa estar sempre em conformidade com os padrões jurídicos, e por isso requer atenção especial.
Elaborar cláusulas específicas, saber quais documentos precisam acompanhar o contrato, além de saber fazer uma gestão estratégica de cada informação relevante sobre cada ponto de obrigação entre as partes é um papel fundamental na adequação à LGPD como um todo, e é neste sentido que se faz necessário um trabalho realizado por um especialista na área.
━━━
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤.
Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Comments