O crescimento exponencial do mercado de Software as a Service (SaaS) no Brasil e no mundo trouxe consigo uma série de desafios regulatórios e legais. Um dos mais proeminentes é a necessidade de conformidade com a Lei Geral de Proteção de Dados (LGPD).

Neste artigo, abordaremos a importância e os componentes essenciais de uma cláusula LGPD em contratos de licenciamento de SaaS.

Cláusula LGPD em Contratos de Licenciamento de SaaS: O que é SaaS?

SaaS, que significa “Software as a Service” (Software como Serviço, em tradução livre), refere-se a um modelo de distribuição de software no qual as aplicações são hospedadas por um terceiro provedor e disponibilizadas aos usuários pela internet. Em vez de comprar e instalar um software em computadores ou servidores individuais, os usuários podem acessar o software e suas funcionalidades através da web.

Algumas características e vantagens do SaaS incluem:

Acessibilidade Remota: Como o software é hospedado na nuvem, os usuários podem acessá-lo de qualquer lugar com uma conexão à internet, facilitando o trabalho remoto e a colaboração entre equipes geograficamente dispersas.

Modelo de Assinatura: Geralmente, o SaaS é oferecido por meio de um modelo de assinatura, no qual os usuários pagam uma taxa recorrente para usar o software, em vez de uma compra única.

Atualizações Automáticas: Os provedores de SaaS gerenciam manutenção e atualizações, garantindo que os usuários sempre tenham acesso à versão mais recente do software sem a necessidade de instalações manuais.

Escalabilidade: Os usuários podem geralmente escolher um plano de assinatura que se adapte às suas necessidades e mudar para planos mais robustos à medida que sua empresa cresce.

Segurança: Muitos provedores de SaaS oferecem recursos de segurança avançados, backups regulares e recuperação de desastres.

Economia de Custos: Como o software é hospedado remotamente, as empresas podem economizar custos associados à manutenção de hardware, compra de licenças de software e equipes de TI dedicadas.

Exemplos populares de SaaS incluem plataformas como Google Workspace, Microsoft Office 365, Salesforce, Dropbox, Shopify e muitos outros softwares de gestão, colaboração, finanças e produtividade disponíveis no mercado.

Agora que você entendeu o que é um SaaS, vamos explicar como a LGPD impactou empresas que fornecem softwares como serviço! Vamos lá?

Impactos da LGPD no modelo SaaS

A Lei Geral de Proteção de Dados (LGPD) trouxe uma série de implicações para o cenário digital brasileiro, e o modelo SaaS, intrinsecamente ligado ao processamento e armazenamento de dados na nuvem, não ficou imune a essas mudanças. As empresas que operam sob esse modelo agora enfrentam desafios adicionais para garantir que suas operações estejam em conformidade com as novas regulamentações.

Primeiramente, a natureza do SaaS, que frequentemente envolve a coleta, processamento e armazenamento de dados de usuários, coloca essas plataformas diretamente sob o escrutínio da LGPD. Isso significa que os provedores de SaaS precisam implementar medidas rigorosas de segurança da informação, gestão de consentimento e transparência.

Eles devem garantir que os dados dos usuários sejam coletados com consentimento explícito, usados apenas para os fins especificados e protegidos contra violações. Além disso, os usuários devem ter a capacidade de acessar, corrigir ou excluir seus dados a qualquer momento.

Além disso, a LGPD também afeta as relações B2B no mundo SaaS. As empresas que utilizam soluções SaaS para suas operações diárias precisam garantir que seus fornecedores estejam em conformidade com a LGPD, o que pode levar a revisões contratuais e a uma reavaliação de práticas de gestão de dados. Isso cria uma responsabilidade compartilhada, onde ambas as partes – o provedor de SaaS e a empresa cliente – devem colaborar estreitamente para garantir a conformidade contínua com a lei, protegendo os direitos dos titulares dos dados e mitigando riscos legais.

Classificação de Agentes de Tratamento de Dados Pessoais em Relações B2B no Modelo SaaS 

A Lei Geral de Proteção de Dados (LGPD) introduziu conceitos e definições específicas para os agentes envolvidos no tratamento de dados pessoais. No contexto das relações B2B no modelo SaaS, a compreensão e a classificação correta desses agentes são cruciais para determinar responsabilidades e obrigações. Vamos explorar como a LGPD classifica esses agentes e o que isso significa para as empresas SaaS e seus clientes corporativos.

Controlador: O controlador é a entidade que toma as decisões referentes ao tratamento de dados pessoais. Em uma relação B2B no modelo SaaS, o cliente corporativo geralmente atua como controlador, pois é ele quem decide quais dados serão processados pelo software e para quais finalidades. Por exemplo, uma empresa que utiliza uma plataforma SaaS de gestão de RH decide quais informações dos funcionários serão inseridas e como serão utilizadas.

Operador: O operador é a entidade que efetivamente realiza o tratamento de dados pessoais em nome do controlador. No contexto SaaS, o provedor do software geralmente atua como operador, processando os dados conforme as instruções do cliente corporativo (controlador). O operador não tem autonomia para tomar decisões sobre os elementos essenciais para o tratamento de dados para além do que foi estipulado pelo controlador.

Encarregado: Também conhecido como Data Protection Officer (DPO), o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre os agentes de tratamento (controlador e operador), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Em relações B2B SaaS, tanto o cliente corporativo quanto o provedor SaaS podem,e devem, ter seus próprios encarregados, dependendo da estrutura e da natureza da operação.

Em resumo, a classificação correta dos agentes de tratamento em relações B2B no modelo SaaS é fundamental para garantir a conformidade com a LGPD. Ambas as partes, o cliente corporativo e o provedor SaaS, devem estar cientes de suas respectivas responsabilidades e obrigações, trabalhando em conjunto para garantir a proteção dos dados pessoais e a transparência em todas as etapas do processo.

Exemplo de Classificação de Agentes de Tratamento de Dados no Modelo SaaS em uma Relação B2B

Para ficar claro, confira um exemplo de classificação de agentes de tratamento de dados provenientes de uma relação B2B no modelo SaaS:

Contexto: Uma empresa de varejo, “Lojas Alfa”, decide implementar uma nova plataforma SaaS de gestão de clientes (CRM) fornecida pela “TechBeta Solutions”, uma empresa especializada em soluções de software para gestão empresarial.

Quem é o Controlador nesta relação?

A  “Lojas Alfa” atua como controladora dos dados. Ela decide quais informações dos clientes serão inseridas na plataforma CRM, como nome, endereço, histórico de compras e preferências. “Lojas Alfa” determina a finalidade do tratamento desses dados, que pode incluir análise de comportamento de compra, segmentação de marketing e promoções direcionadas.

Quem é o Operador nesta relação?

A  “TechBeta Solutions”, como fornecedora da plataforma SaaS de CRM, atua como operadora dos dados. Ela processa os dados dos clientes de “Lojas Alfa” conforme as instruções fornecidas por “Lojas Alfa”. Por exemplo, “TechBeta Solutions” pode organizar e categorizar os dados, gerar relatórios analíticos e garantir que os dados sejam armazenados de forma segura. No entanto, “TechBeta Solutions” não decide como os dados serão usados ou para quais finalidades específicas; ela simplesmente segue as diretrizes estabelecidas por “Lojas Alfa”.

E o Encarregado (DPO)?

 Ambas as empresas, “Lojas Alfa” e “TechBeta Solutions”, podem ter seus próprios encarregados. O encarregado de “Lojas Alfa” seria responsável por garantir que os dados dos clientes sejam coletados e usados de acordo com a LGPD, enquanto o encarregado da “TechBeta Solutions” garantiria que o processamento e armazenamento dos dados na plataforma SaaS estejam em conformidade com a lei.

Neste exemplo, a relação entre “Lojas Alfa” e “TechBeta Solutions” ilustra a dinâmica típica entre controlador e operador em uma relação B2B no modelo SaaS, com cada parte tendo responsabilidades claras e definidas no tratamento de dados pessoais através do Contrato de Licenciamento de Software assinado.

Cláusula LGPD em Contratos SaaS: Etapas de Elaboração

Agora que você já entendeu como classificar os Agentes de Tratamento de Dados no modelo SaaS, vamos explorar os principais itens que devem conter na sua Cláusula LGPD para inserção no seu Contrato de Licenciamento de Software.

Durante a segunda fase do processo de elaboração da Cláusula LGPD para Contratos SaaS, priorize a identificação das atividades relacionadas ao tratamento de dados pessoais e a categorização dos dados envolvidos.

Atividades de Tratamento: Mapeie as ações associadas ao tratamento de dados na operação, abrangendo desde a coleta até o armazenamento, utilização, compartilhamento e eliminação de informações individuais.

Categorização dos Dados: Segmente os dados pessoais com base em seu tipo e grau de sensibilidade, como identificadores pessoais, detalhes financeiros, registros de saúde e outros.

Importância do Tratamento: Pondere sobre a importância e o propósito do tratamento de dados na operação. Esta análise orientará a definição do nível de proteção e as estratégias de segurança a serem adotadas.

Na sequência, é essencial avaliar os riscos e a complexidade inerentes à operação de tratamento de dados, com um enfoque particular nas responsabilidades atribuídas à parte representada no Contrato.

Avaliação de Risco: Conduza uma análise detalhada de risco para detectar possíveis ameaças que possam comprometer a segurança e a privacidade dos dados pessoais envolvidos. 

Complexidade Operacional: Examine a complexidade da operação de tratamento de dados, levando em conta elementos como a quantidade de dados tratados, a natureza sensível das informações, o compartilhamento com terceiros, as bases legais para o tratamento e o alcance das atividades de processamento.

Personalização Contratual: Utilize os resultados da análise de risco e da avaliação da complexidade para personalizar as cláusulas do contrato. Essa personalização deve refletir de maneira precisa as responsabilidades de cada parte, podendo incluir termos relacionados à segurança dos dados, procedimentos para notificação de incidentes, políticas de compartilhamento de informações, entre outros aspectos.

Neste processo, nosso objetivo é sempre proteger os interesses da parte que representamos no contrato, assegurando a conformidade com a LGPD e a proteção efetiva dos direitos dos titulares dos dados. Este método estruturado de ajuste contratual é fundamental para a observância das normas legais e para a salvaguarda dos dados pessoais envolvidos nas transações contratuais.

Cláusula LGPD para Contratos SaaS: O que deve conter?

A seguir, destacamos os itens essenciais que devem ser contemplados em uma Cláusula LGPD para Contratos SaaS no intuito de garantir a conformidade com a legislação de proteção de dados pessoais.

Definições: É fundamental que o contrato contenha definições claras e precisas de termos relacionados à proteção de dados, como “dados pessoais”, “tratamento de dados”, “controlador”, “operador”, entre outros. Isso ajuda a evitar ambiguidades e a garantir que todas as partes envolvidas tenham uma compreensão comum dos conceitos.

Finalidade dos Dados Pessoais Tratados: A cláusula deve especificar quais tipos de dados pessoais serão tratados no contexto do contrato. Isso inclui informações como nome, endereço, número de identificação, entre outros. Além disso, é importante indicar a finalidade do tratamento desses dados.

Agentes de Tratamento: Deve ser estabelecido claramente quem são os agentes de tratamento envolvidos na operação contratual, identificando os controladores e operadores, quando aplicável. Isso ajuda a definir responsabilidades e obrigações específicas de cada parte.

Compartilhamento de Dados e Transferência Internacional: Se houver compartilhamento de dados entre as partes contratantes ou transferência internacional de dados, as cláusulas devem detalhar como isso ocorrerá, respeitando os requisitos legais da LGPD e garantindo a segurança dessas operações. Aqui, deve ser estabelecido, inclusive, a autorização ou proibição de contratação de suboperadores.

Propriedade dos Dados e da Base de Dados: A cláusula deve definir claramente quem é o proprietário dos dados e da base de dados em questão. Isso é importante para evitar disputas futuras e estabelecer direitos de propriedade claros.

Retenção e Exclusão dos Dados: Deve ser estabelecido o período de retenção dos dados, bem como os procedimentos para a exclusão de informações pessoais após o término do contrato ou o cumprimento de sua finalidade.

Confidencialidade: A cláusula deve incluir disposições que garantam a confidencialidade dos dados pessoais tratados no âmbito do contrato, incluindo medidas de segurança para proteção contra vazamentos ou acessos não autorizados.

Seguro Cibernético: Dependendo da natureza da operação, pode ser aconselhável incluir cláusulas que estabeleçam a obrigação de possuir seguro cibernético para cobrir possíveis incidentes de segurança de dados.

Auditoria: É importante que a cláusula permita auditorias para garantir o cumprimento das obrigações de proteção de dados estabelecidas no contrato.

Cooperação: As partes contratantes devem concordar em cooperar na execução das obrigações previstas na LGPD e no contrato, incluindo a comunicação de qualquer incidente de segurança de dados que possa ocorrer.

Comunicações: A cláusula deve abordar como as comunicações relacionadas à proteção de dados serão conduzidas, incluindo o canal de comunicação e os prazos para notificação de incidentes.

Além das cláusulas mencionadas anteriormente, em contratos nos quais o tratamento de dados pessoais é considerado de alto risco, é aconselhável incluir disposições específicas relacionadas a incidentes de segurança, medidas de segurança e responsabilidades adicionais. Essas cláusulas visam fortalecer a proteção de dados e garantir a conformidade com a LGPD. A seguir, detalhamos esses elementos adicionais:

Incidentes: Deve haver uma cláusula que aborde como os incidentes de segurança de dados serão tratados. Isso inclui a obrigação de notificar imediatamente a outra parte contratante e as autoridades competentes caso ocorra um incidente de segurança que possa comprometer a segurança dos dados pessoais. Além disso, a cláusula pode estabelecer procedimentos claros para investigação, mitigação e resposta a incidentes, com o objetivo de minimizar danos aos titulares de dados.

Segurança e Boas Práticas: A cláusula de segurança deve detalhar as medidas de segurança que serão implementadas para proteger os dados pessoais. Isso pode incluir criptografia, controle de acesso, monitoramento de sistemas, entre outras medidas técnicas e organizacionais. Além disso, é importante estabelecer diretrizes e boas práticas a serem seguidas pelas partes contratantes para garantir a proteção adequada dos dados pessoais.

Responsabilidade e Indenização: Em contratos de alto risco, é fundamental estabelecer cláusulas claras de responsabilidade e indenização em caso de violação da LGPD. As partes contratantes devem determinar como as responsabilidades serão atribuídas em caso de não conformidade com a lei ou com as obrigações contratuais relacionadas à proteção de dados. Isso pode incluir acordos sobre o ressarcimento de danos, multas ou outras penalidades que possam ser impostas.

Direito de Regresso: O direito de regresso é uma cláusula que estabelece que, em caso de violação da LGPD por uma das partes contratantes, a parte inocente tem o direito de buscar indenização ou ressarcimento dos prejuízos sofridos. Essa cláusula é importante para proteger a parte que cumpriu suas obrigações em relação à proteção de dados e sofreu danos devido à violação cometida pela parte infratora. Ela proporciona um mecanismo legal para que a parte não infratora seja compensada pelos danos causados pela não conformidade com a LGPD.

A inclusão dessas cláusulas adicionais em contratos que envolvem tratamento de dados pessoais sensíveis ou de alto risco contribui significativamente para a conformidade com a LGPD e para a mitigação de riscos relacionados à proteção de dados. Além disso, demonstra o compromisso das partes contratantes com a segurança e a privacidade dos titulares de dados, fortalecendo a confiança nas operações comerciais.

Benefícios de uma Cláusula LGPD bem estruturada em Contratos SaaS

Para empresas que oferecem soluções SaaS, uma cláusula de LGPD bem estruturada não apenas garante conformidade legal, mas também demonstra comprometimento com a privacidade e segurança dos dados dos usuários. Isso pode ser um diferencial competitivo, fortalecendo a confiança dos clientes e potencializando a retenção e aquisição de usuários.

Como o BL Consultoria Digital assessora juridicamente empresas que fornecem soluções SaaS?

O BL Consultoria Digital é especializado em oferecer assessoria jurídica para empresas que operam no modelo SaaS. Compreendendo a dinâmica única e os desafios enfrentados por essas empresas, especialmente no que diz respeito à proteção de dados e conformidade regulatória, nosso time de advogados especializados em proteção de dados pessoais trabalha proativamente para garantir que nossos clientes estejam sempre um passo à frente. 

Atuamos desde a elaboração e revisão de contratos, passando pela implementação de políticas de privacidade, fornecendo orientações acerca da aplicabilidade da LGPD em negócios inovadores, nos dedicamos a fornecer soluções jurídicas abrangentes que não apenas protejam os interesses de nossos clientes, mas também fortaleçam sua posição no mercado. 

Entre em contato conosco e saiba mais como podemos auxiliar a sua empresa na conformidade com a legislação de proteção de dados.