Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) no Brasil, as empresas se viram diante de um novo paradigma no que diz respeito à gestão de informações pessoais. O tratamento adequado desses dados tornou-se uma prioridade não apenas em termos éticos, mas também legais. Nesse cenário, a revisão e adequação de contratos corporativos desempenham um papel crucial para garantir a conformidade com a LGPD.
Este artigo visa explorar as principais cláusulas que devem ser incorporadas aos contratos corporativos, a fim de assegurar que o tratamento de dados pessoais esteja em conformidade com as diretrizes estabelecidas pela LGPD.
Ao entender e implementar essas cláusulas de maneira eficaz, as empresas podem não apenas mitigar riscos legais, mas também demonstrar seu compromisso com a proteção da privacidade e dos direitos dos titulares de dados.
Índice
Adequação de Contratos Corporativos à LGPD
A adequação de contratos à Lei Geral de Proteção de Dados (LGPD) é uma etapa crucial para garantir a conformidade com a regulamentação e a proteção adequada dos dados pessoais. Neste tópico, exploraremos as cláusulas essenciais de proteção de dados que devem ser incluídas em contratos corporativos, bem como uma abordagem passo a passo para revisar e adaptar seus contratos de acordo com a LGPD.
Para iniciarmos a adequação de contratos corporativos à LGPD, recomenda-se percorrer seguinte passo a passo:
1.Identificar os Agentes de Tratamento de Dados Pessoais
2. Identificar o Fluxo de Dados Pessoais entre os Agentes
3. Identificar e classificar o Dado Pessoais tratado
4. Analisar o risco resultante do tratamento de dados pessoais proposto
5. Definir responsabilidades dos Agentes de Tratamento de Dados
6. Definir controles para mitigação de riscos resultantes da operação de tratamento de dados pessoais
7.Adaptar contratos
Para melhor entendimento, vamos sintetizar o passo a passo acima dividindo-o em 3 etapas:
Etapa 1: Identificação das Partes Contratantes e Qualificação como Agentes de Tratamento
Etapa 2: Identificação do Tratamento e Tipo de Dado Tratado com Foco na Relevância
Etapa 3: Análise de Risco e Complexidade da Operação com Foco na Parte Representada
Quer saber mais? Baixe o nosso E-book “LGPD Descomplicada: Cláusulas Essenciais para Contratos Corporativos”.
Processo de Adequação Contratual à LGPD em 3 etapas
Como explicado, dividimos o processo de adequação contratual à LGPD em três etapas distintas, que oferecem uma abordagem abrangente e prática para as empresas que desejam assegurar a conformidade e a segurança dos dados pessoais em suas operações contratuais.
Na sequência, vamos explicar em detalhes cada uma das três etapas desse processo, delineando os passos cruciais necessários para identificar as partes contratantes como agentes de tratamento, entender o tratamento e o tipo de dado envolvido e, finalmente, analisar o risco e a complexidade da operação.
Ao seguir essas etapas cuidadosamente, as empresas podem estabelecer contratos sólidos que atendam às exigências da LGPD, proporcionando uma base firme para o tratamento responsável e seguro de dados pessoais.
Vamos agora adentrar nesse processo abrangente para a adequação contratual à LGPD!
Etapa 1: Identificação das Partes Contratantes e Qualificação como Agentes de Tratamento
A primeira etapa do processo de adequação contratual à LGPD envolve a identificação e a qualificação das partes contratantes como agentes de tratamento de dados. É crucial compreender o papel desempenhado por cada parte na operação de tratamento de dados.
Agentes de Tratamento: Determine se cada parte age como controlador, operador ou suboperador em relação aos dados pessoais envolvidos na operação. Isso é fundamental para estabelecer as responsabilidades de cada uma de acordo com a LGPD.
Quanto à classificação, lembramos que a Lei Geral de Proteção de Dados (LGPD) no Brasil estabelece três categorias principais de agentes de tratamento de dados pessoais, cada uma com papéis específicos na gestão e tratamento desses dados. Essas categorias são cruciais para determinar responsabilidades e obrigações de acordo com a legislação.
A primeira categoria é composta pelos Controladores de Dados, que são as entidades responsáveis por tomar decisões sobre o tratamento de dados pessoais, definindo o porquê e como esses dados serão coletados e processados. Eles devem garantir que o tratamento esteja em conformidade com a LGPD e cumprir obrigações como, por exemplo, obter consentimento adequado e implementar medidas de segurança.
A segunda categoria inclui os Operadores de Dados, que realizam o tratamento em nome dos controladores. Isso engloba empresas de serviços de nuvem, processadores de pagamento e outras organizações que executam tarefas de tratamento de dados em nome dos controladores. Os operadores devem seguir as instruções do controlador, implementar medidas de segurança apropriadas e cooperar para garantir a conformidade com a LGPD.
Em situações onde não está claramente definida a competência legal, a determinação de quem é o controlador pode ser feita analisando o contexto específico da operação de tratamento. Fazer perguntas sobre o propósito da atividade de tratamento, como quem a determinou e por que está sendo realizada, pode ajudar a identificar o controlador. Além disso, o controlador é responsável por determinar a base legal do tratamento e possui a capacidade de tomar decisões cruciais relacionadas a essa operação.
Ainda, destacamos que a LGPD não faz referência direta à figura dos co-controladores, mas no artigo 42, parágrafo 1º, inciso II, há menção a situações em que controladores estão diretamente envolvidos no tratamento e podem ser considerados solidariamente responsáveis por danos causados ao titular dos dados.
A ANPD reconheceu a possibilidade de co-controladores, definindo-os como aqueles que, por meio de acordo, determinam em conjunto as finalidades e elementos essenciais do tratamento de dados. A chave para essa relação é a tomada de decisões conjuntas, diferenciando-se de situações em que dois controladores agem de forma independente.
Etapa 2: Identificação do Tratamento e Tipo de Dado Tratado com Foco na Relevância
Na segunda etapa do processo, concentre-se na identificação do tratamento de dados pessoais e no tipo de dado envolvido na operação, com destaque para a relevância desse tratamento.
Tratamento de Dados: Identifique as atividades de tratamento de dados realizadas na operação, incluindo a coleta, o armazenamento, o uso, a compartilhamento e a exclusão de informações pessoais.
Tipo de Dado Tratado: Classifique os dados pessoais de acordo com sua natureza e sensibilidade, como dados de identificação, informações financeiras, informações de saúde, entre outros.
Relevância do Tratamento: Avalie a relevância e a finalidade do tratamento de dados para a operação. Isso ajudará a determinar o grau de proteção e as medidas de segurança necessárias.
Etapa 3: Análise de Risco e Complexidade da Operação com Foco na Parte Representada
Na terceira etapa do processo, avalie o risco e a complexidade da operação de tratamento de dados, concentrando-se nas responsabilidades da parte representada no contrato.
Análise de Risco: Realize uma análise de risco abrangente para identificar ameaças potenciais à segurança e à privacidade dos dados pessoais envolvidos na operação.
Complexidade da Operação: Avalie a complexidade da operação, considerando fatores como o volume de dados, a sensibilidade das informações, compartilhamento com terceiros, bases legais e a extensão do tratamento.
Adaptação das Cláusulas Contratuais: Com base na análise de risco e na complexidade da operação, adapte as cláusulas contratuais para refletir as responsabilidades de cada parte de forma adequada. Isso pode incluir cláusulas relacionadas à segurança dos dados, à notificação de incidentes, ao compartilhamento de informações, entre outras.
Neste aspecto, atuamos sempre com foco na parte representada no contrato para garantir o cumprimento da LGPD e a proteção adequada dos direitos dos titulares de dados. Esse processo estruturado de adequação contratual contribuirá para a conformidade com a legislação e para a segurança dos dados pessoais envolvidos nas operações contratadas.
Compreendendo a Operação de Tratamento de Dados Pessoais
Para garantir uma adequação contratual eficaz à Lei Geral de Proteção de Dados (LGPD), é essencial compreender profundamente a operação de tratamento de dados pessoais envolvida no contrato. Isso inclui responder a uma série de perguntas fundamentais que ajudam a esclarecer os aspectos cruciais da operação:
1. De onde vêm os dados?
Identificar a origem dos dados é o primeiro passo para entender a operação. É crucial determinar se os dados são coletados pela própria empresa (controlador) ou recebidos de terceiros (outro controlador ou operador).
2. Por que é feita essa coleta?
Compreender a finalidade da coleta de dados é essencial. Isso envolve a identificação dos motivos pelos quais os dados estão sendo coletados e a relação deles com o escopo do contrato.
3. Como é feita essa coleta?
Analisar os métodos e os meios utilizados para a coleta de dados ajuda a garantir que ela seja realizada de forma ética e transparente.
4. Com quem você compartilha os dados? Por quê?
Se a empresa coleta e compartilha dados com a outra parte contratante, é fundamental identificar o motivo desse compartilhamento e os destinatários envolvidos.
5. Quem compartilha os dados com você?
No caso de receber dados da outra parte, é importante saber quem é o remetente dos dados e compreender os motivos desse compartilhamento.
6. Por que é feito esse compartilhamento?
Analisar a finalidade do compartilhamento de dados recebidos é crucial para entender como essas informações serão utilizadas no contexto da operação contratual.
7. Como é feito esse compartilhamento?
Identificar os métodos e os meios de compartilhamento de dados recebidos é essencial para garantir que ele ocorra de maneira segura e de acordo com as diretrizes da LGPD.
8. Você compartilha os dados com terceiros? Com quem?
Se a empresa compartilha dados com terceiros, é necessário identificar essas partes e os motivos desse compartilhamento, além de avaliar como isso se alinha com o escopo do contrato.
9. O que será feito com os dados que você coleta e compartilha ou recebe (finalidade)?
Definir claramente a finalidade do tratamento de dados é um requisito fundamental da LGPD. Isso envolve explicar como os dados serão usados e por que estão sendo processados.
10. Quem fará o tratamento dos dados para o cumprimento do escopo do contrato (finalidade)?
Identificar quem será responsável pelo tratamento de dados de acordo com o escopo do contrato é crucial para estabelecer responsabilidades e obrigações claras.
11. Quem possui uma relação direta com o titular?
Identificar as partes que têm uma relação direta com o titular dos dados é importante para garantir que ele possa exercer seus direitos de maneira eficaz.
12. Com quem o titular provavelmente irá interagir de forma direta se quiser exercer os seus direitos de titular?
Antecipar as interações diretas do titular com as partes envolvidas no tratamento de dados ajuda a facilitar o exercício dos direitos do titular, conforme previsto na LGPD.
Ao compreender completamente a operação de tratamento de dados pessoais, as partes contratantes podem elaborar contratos que estejam em conformidade com a LGPD, protegendo os direitos dos titulares de dados e garantindo a transparência e a legalidade do tratamento de informações pessoais.
Sua empresa precisa de auxílio jurídico para por em prática o processo de adequação contratual à LGPD? Entre em contato conosco!
Cláusulas Contratuais Essenciais para Adequação à LGPD
Na busca por uma adequação contratual eficaz à Lei Geral de Proteção de Dados (LGPD), a inclusão de cláusulas específicas se torna fundamental para garantir que os direitos dos titulares de dados sejam respeitados e que o tratamento de informações pessoais seja realizado em conformidade com a legislação.
A seguir, destacamos os itens essenciais que devem ser contemplados em uma Cláusula de Proteção de Dados para garantir a conformidade com a LGPD:
Definições: É fundamental que o contrato contenha definições claras e precisas de termos relacionados à proteção de dados, como “dados pessoais”, “tratamento de dados”, “controlador”, “operador”, entre outros. Isso ajuda a evitar ambiguidades e a garantir que todas as partes envolvidas tenham uma compreensão comum dos conceitos.
Finalidade dos Dados Pessoais Tratados: A cláusula deve especificar quais tipos de dados pessoais serão tratados no contexto do contrato. Isso inclui informações como nome, endereço, número de identificação, entre outros. Além disso, é importante indicar a finalidade do tratamento desses dados.
Agentes de Tratamento: Deve ser estabelecido claramente quem são os agentes de tratamento envolvidos na operação contratual, identificando os controladores e operadores, quando aplicável. Isso ajuda a definir responsabilidades e obrigações específicas de cada parte.
Compartilhamento de Dados e Transferência Internacional: Se houver compartilhamento de dados entre as partes contratantes ou transferência internacional de dados, as cláusulas devem detalhar como isso ocorrerá, respeitando os requisitos legais da LGPD e garantindo a segurança dessas operações.
Propriedade dos Dados e da Base de Dados: A cláusula deve definir claramente quem é o proprietário dos dados e da base de dados em questão. Isso é importante para evitar disputas futuras e estabelecer direitos de propriedade claros.
Retenção e Exclusão dos Dados: Deve ser estabelecido o período de retenção dos dados, bem como os procedimentos para a exclusão de informações pessoais após o término do contrato ou o cumprimento de sua finalidade.
Confidencialidade: A cláusula deve incluir disposições que garantam a confidencialidade dos dados pessoais tratados no âmbito do contrato, incluindo medidas de segurança para proteção contra vazamentos ou acessos não autorizados.
Seguro Cibernético: Dependendo da natureza da operação, pode ser aconselhável incluir cláusulas que estabeleçam a obrigação de possuir seguro cibernético para cobrir possíveis incidentes de segurança de dados.
Auditoria: É importante que a cláusula permita auditorias para garantir o cumprimento das obrigações de proteção de dados estabelecidas no contrato.
Cooperação: As partes contratantes devem concordar em cooperar na execução das obrigações previstas na LGPD e no contrato, incluindo a comunicação de qualquer incidente de segurança de dados que possa ocorrer.
Comunicações: A cláusula deve abordar como as comunicações relacionadas à proteção de dados serão conduzidas, incluindo o canal de comunicação e os prazos para notificação de incidentes.
Além das cláusulas mencionadas anteriormente, em contratos nos quais o tratamento de dados pessoais é considerado de alto risco, é aconselhável incluir disposições específicas relacionadas a incidentes de segurança, medidas de segurança e responsabilidades adicionais. Essas cláusulas visam fortalecer a proteção de dados e garantir a conformidade com a LGPD. A seguir, detalhamos esses elementos adicionais:
Incidentes: Deve haver uma cláusula que aborde como os incidentes de segurança de dados serão tratados. Isso inclui a obrigação de notificar imediatamente a outra parte contratante e as autoridades competentes caso ocorra um incidente de segurança que possa comprometer a segurança dos dados pessoais. Além disso, a cláusula pode estabelecer procedimentos claros para investigação, mitigação e resposta a incidentes, com o objetivo de minimizar danos aos titulares de dados.
Segurança e Boas Práticas: A cláusula de segurança deve detalhar as medidas de segurança que serão implementadas para proteger os dados pessoais. Isso pode incluir criptografia, controle de acesso, monitoramento de sistemas, entre outras medidas técnicas e organizacionais. Além disso, é importante estabelecer diretrizes e boas práticas a serem seguidas pelas partes contratantes para garantir a proteção adequada dos dados pessoais.
Responsabilidade e Indenização: Em contratos de alto risco, é fundamental estabelecer cláusulas claras de responsabilidade e indenização em caso de violação da LGPD. As partes contratantes devem determinar como as responsabilidades serão atribuídas em caso de não conformidade com a lei ou com as obrigações contratuais relacionadas à proteção de dados. Isso pode incluir acordos sobre o ressarcimento de danos, multas ou outras penalidades que possam ser impostas.
Direito de Regresso: O direito de regresso é uma cláusula que estabelece que, em caso de violação da LGPD por uma das partes contratantes, a parte inocente tem o direito de buscar indenização ou ressarcimento dos prejuízos sofridos. Essa cláusula é importante para proteger a parte que cumpriu suas obrigações em relação à proteção de dados e sofreu danos devido à violação cometida pela parte infratora. Ela proporciona um mecanismo legal para que a parte não infratora seja compensada pelos danos causados pela não conformidade com a LGPD.
A inclusão dessas cláusulas adicionais em contratos que envolvem tratamento de dados pessoais sensíveis ou de alto risco contribui significativamente para a conformidade com a LGPD e para a mitigação de riscos relacionados à proteção de dados. Além disso, demonstra o compromisso das partes contratantes com a segurança e a privacidade dos titulares de dados, fortalecendo a confiança nas operações comerciais.
Conte com o BL Consultoria Digital para adequar seus contratos corporativos à LGPD
Entendemos que cada contrato corporativo é único, e é por isso que trabalhamos em estreita colaboração com nossos clientes para desenvolver cláusulas contratuais personalizadas, adaptadas às suas necessidades e ao escopo de suas operações. Nossa abordagem proativa nos permite criar soluções sob medida para empresas de diversos setores, garantindo que suas operações permaneçam seguras e em conformidade com a LGPD.
Demonstrar compromisso com a privacidade e proteção de dados é fundamental em um mundo cada vez mais consciente sobre a importância da segurança da informação pessoal. Conte com nosso time de advogados especialistas em proteção de dados para auxiliar a sua empresa em todos os aspectos da adequação contratual, desde a definição de termos até a implementação de medidas de segurança robustas.
Entre em contato conosco e descubra como podemos ajudar sua empresa a alcançar e manter a conformidade com a LGPD, enquanto oferece serviços de alta qualidade aos seus clientes.
