Neste texto vamos explicar a importância que a adequação dos contratos na busca pela conformidade com a LGPD.
O compartilhamento de dados pessoais é muito mais comum e corriqueiro do que costumávamos imaginar antes da LGPD. Sem uma cultura de zelo e apreço pelos dados pessoais, nem percebemos como contratos de rotina, parcerias ou prestação de serviços se baseiam na troca dessas informações
A construção de um mapeamento de dados, um dos exercícios fundamentais para um bom plano de adequação à LGPD de que tratamos no primeiro texto da Série LGPD na Prática, nos demonstra como os dados pessoais estão presentes nas mais diversas atividades de uma empresa. Entre estas atividades está a criação e manutenção de compromissos contratuais.
A LGPD estabelece regras para o tratamento de dados pessoais, trazendo uma série de princípios, regras e procedimentos a serem seguidos por aqueles que realizam a coleta e tratamento de dados pessoais. Estas regras e princípios devem ser implementadas também no momento da criação de contratos futuros, bem como ser adicionados aos contratos já existentes por meio de adendos de proteção de dados, por exemplo.
Mas vamos começar do início, explicando a você sobre a importância da adequação de contratos ao longo do processo de implantação da LGPD na sua empresa.
Por que as empresas precisam adequar seus contratos à LGPD? (incluindo contrato de fornecedor ou de contrato de prestação de serviço)
No que diz respeito às relações contratuais em geral, em primeira análise, pode-se ter a errônea impressão de que não haverá troca de dados pessoais, por exemplo, quando estamos diante de um contrato de fornecimento ou de contrato de prestação de serviços entre duas pessoas jurídicas.
Contudo, uma vez que os dados pessoais são toda e qualquer informação relacionada à pessoa natural identificada ou identificável, inevitavelmente os contratos terão em seu conteúdo ou suas implicações a troca de dados pessoais.
Alguns exemplos que podemos citar são as informações constantes dos documentos que são tornados disponíveis para a criação e formulação de um contrato, como contratos sociais, procurações, estatutos sociais, entre outros. Todos estes, em alguma medida, contém dados pessoais que devem ser preservados e mapeados.
Outro exemplo recorrente é o compartilhamento de dados pessoais dos funcionários e colaboradores das partes que serão afetados pelo contrato, como no caso de registros de entrada e saída de empregados, contratados e visitantes no contexto de uma prestação de serviços.
Cada empresa, em decorrência das especificidades de seus modelos de negócio, mercado em que atuam e relação com clientes, parceiros e consumidores, tem diferentes implicações no compartilhamento de dados por meio de contratos. Como já é consolidada a prática de termos de confidencialidade e de sigilo, em especial referente aos segredos industriais, também se tornará consolidada, com a LGPD, a prática de adendos e cláusulas contratuais de proteção de dados pessoais.
A Lei Geral de Proteção de Dados, em seu artigo 42, afirma que a responsabilidade por qualquer dano ou violação referente ao tratamento de dados pessoais é de responsabilidade solidária entre o controlador e operador de dados pessoais. Ou seja, em qualquer contrato que haja o compartilhamento de dados pessoais, ambas as partes podem responder solidariamente por qualquer violação da LGPD.
Esta disposição legal faz com que seja essencial, no momento da criação dos contratos, a observação de cláusulas contratuais e disposições delimitando as responsabilidades de cada pessoa jurídica contratante relativo ao tratamento de dados pessoais presente no fluxo de informações para execução daquele determinado processo.
Como adequar os contratos empresariais à LGPD?
A seguir, confira algumas dicas para iniciar a adequação de contratos em sua empresa.
Adequação de Contratos: Mapeie os contratos já existentes em sua empresa
Um bom início de um processo de adequação de contratos à LGPD consiste de um mapeamento completo dos contratos em vigor no contexto de sua empresa. Assim como diversas outras medidas relevantes para a adequação à LGPD, este processo pode parecer trabalhoso de início no caso de áreas de trabalho e guarda de arquivos desorganizadas, porém os resultados deste mapeamento e organização de documentos acabam por ter benefícios que vão além do próprio cuidado com a Lei Geral de Proteção de Dados, sendo úteis também para medidas e práticas de Compliance, bem como para a administração e organização geral de sua empresa.
Ao efetuar o mapeamento dos contratos é possível já separar categorias de contrato, separando aqueles que dispõem do compartilhamento de um volume maior de dados pessoais, aqueles que tratam do compartilhamento de dados sensíveis, aqueles que são contratos de rotina, etc.
Pode ser efetuada uma classificação dos contratos também já levando em consideração os próximos passos deste processo de adequação de contratos, separando os contratos cuja legitimação do compartilhamento de dados advém do consentimento do titular daqueles que dependem de outras bases legais, como para cumprimento de obrigação legal ou necessidade dos dados para execução de contrato, por exemplo.
Crie um sistema de coleta e guarda de consentimento
Um dos pontos centrais da LGPD e uma das práticas mais corriqueiras e consolidadas referente ao tratamento de dados pessoais consiste do tratamento de dados com base legal no consentimento do titular.
O consentimento do titular, porém, é também um dos aspectos da proteção de dados de mais complexa gestão. Isso se dá porque o consentimento na LGPD vem acompanhado de alguns adjetivos que o definem. Segundo a lei, o consentimento deve ser:
- livre;
- informado;
- inequívoco;
- atrelado a uma finalidade específica.
Estes adjetivos fazem com que a coleta do consentimento, mesmo no contexto de um contrato corriqueiro dentro de uma empresa, precise cumprir algumas exigências mínimas.
O consentimento “livre” significa que o titular não pode ser obrigado a consentir com o tratamento de dados, e a manifestação do consentimento não pode ser efetuada de forma automática.
O consentimento “informado” representa a necessidade de que a cláusula contratual que registra o consentimento não seja genérica, não sendo válidas que simplesmente exigem o consentimento sem uma explicação mais clara dos dados coletados, dos direitos do titular e das finalidades desta coleta.
O consentimento deve ser “inequívoco”, uma vez que em caso de qualquer dúvida ou ambiguidade a LGPD coloca o ônus de comprovar o consentimento do titular para o controlador de dados. Assim, é importante que não hajam dúvidas sobre a coleta e validade do consentimento, pois se houverem estas deverão ser respondidas pela própria empresa no papel de controladora de dados pessoais.
Por fim, e em consonância com o consentimento informado, a manifestação de consentimento deve estar atrelada à uma finalidade específica e conhecida pelo titular. O titular tem de estar informado sobre quais vão ser os usos de seus dados e suas finalidades, e tem o direito de obstar qualquer uso futuro que não esteja compreendido pelas finalidades apresentadas no momento da coleta do consentimento.
Adequação de Contratos para a LGPD: Cláusula Contratual Específica
Sobre a Adequação de Contratos visando conformidade com a LGPD, a lei dispõe que o consentimento do titular esteja disposto em cláusula contratual específica destacada das demais cláusulas do contrato.
Além destas exigências mínimas de qualidade para a coleta do consentimento, a Lei Geral de Proteção de Dados também dá ao titular, em seu artigo 8º, o direito de revogar seu consentimento “a qualquer momento (…) por procedimento gratuito e facilitado”.
Para que sua empresa possa cumprir com esta disposição e respeitar os direitos dos titulares dos dados pessoais coletados, é necessário que esteja pronto um sistema de gestão de consentimento, que permita encontrar, dentro dos prazos previstos da lei, em quais documentos e de qual modo o titular deu seu consentimento, para que assim este consentimento possa ser revogado e estes documentos sejam revistos.
Vale a pena recapitular o artigo 8º da LGPD em sua integridade:
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Por fim, é importante lembrar que o consentimento não é a única base legal que a Lei Geral de Proteção de Dados apresenta para o tratamento de dados pessoais, sendo importante a empresa considerar em quais situações e contratos ele é o mecanismo mais vantajoso e em quais existem outras bases legais mais adequadas.
Revise os contratos já existentes: Cláusulas contratuais de proteção de dados
Tendo em mãos o mapeamento completo dos contratos da empresa, incluindo contratos com clientes, fornecedores e parceiros, e um sistema de gerenciamento do consentimento, sua empresa já tem algumas das principais ferramentas para a revisão propriamente dita dos contratos.
Analise os contratos, observe quais são os dados compartilhados e suas finalidades, quais as bases legais (quando existentes) para este compartilhamento, quais contratos apresentam consentimento do titular, etc.
Todos os contratos analisados, novos ou antigos, deverão apresentar algumas novas cláusulas que os adequem aos princípios e regras da LGPD. Como já tratamos anteriormente, essas cláusulas devem dispor de modo transparente quais são os dados coletados e tratados, qual a finalidade do tratamento e como este tratamento está adequado e limitado à finalidade expressa.
Algumas dessas cláusulas são:
- Separação de responsabilidades entre as partes do contrato, com a disposição de métodos de auditoria e até mesmo possíveis sanções e punições no caso do desrespeito à legislação;
- Cláusulas que tratem de padrões e exigências mínimas de segurança da informação;
- Toda possibilidade de transferência internacional de dados deve estar prevista e protegida por cláusulas específicas. Um modelo que traz grande proteção para a transferência internacional e é aceito por todo o mundo é o das Standard Contractual Clauses (SCCs);
- A transferência de dados pessoais em território brasileiro também precisa estar bem definida em cláusulas específicas;
Além destas cláusulas contratuais, é importante que o contrato deixe claro para todas as partes as práticas de Compliance e proteção de dados tomadas internamente na empresa, como a política interna de privacidade, códigos de ética e segurança da informação, entre outros, exigindo de todas as partes dos contratos que se comprometam a manter o nível de proteção de dados previsto.
Seja transparente e preciso
Um dos principais compromissos que uma empresa precisa tomar para poder estar alinhada não somente ao texto da LGPD, mas à uma cultura de proteção de dados consiste na busca pelo maior nível de transparência possível para com seus clientes, funcionários, parceiros, para com todos os titulares cujos dados a empresa trata.
Esta transparência caminha em conjunto com a prestação de informações claras e precisas, que devem ser aplicadas também aos contratos celebrados. Então se faz necessário que os contratos sejam completos das informações pertinentes referentes ao tratamento de dados.
Não basta que a empresa compreenda, por meio do mapeamento e da análise dos contratos, quais são as implicações que cada contrato e cada coleta de dado terá, mas é importante que estas informações estejam disponíveis para todas as partes do contrato, bem como para todos os titulares de dados que possam ser afetados (essa é uma fase importante da Adequação de Contratos à LGPD).
Adequação de Contratos: Cláusulas Contratuais para LGPD
Algumas cláusulas que tornam o contrato mais transparente são:
- Cláusula sobre como a empresa coleta os dados e quais dados são coletados;
- Cláusula apresentando os direitos dos titulares na LGPD e, no contexto do contrato, como estes direitos podem ser garantidos pelos titulares;
- Cláusula sobre a possibilidade da revogação do consentimento e sobre os resultados desta decisão no contexto do contrato;
- Cláusula sobre os procedimentos para a correção, bloqueio ou eliminação de dados (retificação);
- Cláusula sobre o procedimento para que o titular exerça seu direito de acesso aos dados coletados;
- Cláusulas que apresentem a estrutura de governança referente ao tratamento de dados, apresentando os atores e partes responsáveis (controlador, operador, encarregado, órgãos internos das empresas, diretoria, etc.)
Cláusula Contratuais de Comunicação de Incidentes de Segurança
Como a atividade de tratamento de dados é realizada/executada pelo operador, muito provavelmente será ele quem detectará o incidente de segurança. Contudo, o dever de comunicação do incidente é exclusivo do controlador, conforme o art. 48, caput.
Dessa forma, seria recomendável a inclusão de uma cláusula no contrato de prestação de serviços entre controlador e operador que determinasse o dever deste último de informar àquele, o mais rápido possível, a ocorrência de algum incidente nas atividades de tratamento de dados pessoais. Trazemos aqui um exemplo desta cláusula tão importante:
Cláusula XXX – Dever de Comunicação de Incidentes
A Contratada (o operador) deverá comunicar à Contratante (o controlador), o mais breve possível, a ocorrência de qualquer incidente de segurança relacionado ao tratamento de dados pessoais objeto do presente contrato, sob pena de multa diária de R$ XX.XXX,00.
Parágrafo único: a comunicação deverá ocorrer, simultaneamente, para o email X e para o telefone XX XXXX-XXXX.
Esta cláusula tem um valor tanto referente à adequação à LGPD e à proteção jurídica das partes envolvidas, mas também tem um grande valor referente à proteção dos ativos digitais das empresas, uma vez que regras bem definidas frente à segurança da informação podem ajudar a conter danos e prejuízos decorrentes de incidentes.
Como adequar os contratos de trabalho à LGPD?
Uma das áreas que serão mais afetadas pela LGPD é a de Recursos Humanos, que por seu modo de atuação já tem como praxe a coleta e tratamento de dados pessoais funcionários e candidatos, e muitos destes dados são essenciais para o cumprimento de algumas das funções do RH, como a gestão de remuneração, por exemplo.
A LGPD traz para as empresas uma nova preocupação referente a adequação de contratos trabalhistas, uma vez que o não cumprimento da lei pode trazer não somente processos trabalhistas, com os quais as empresas já estão acostumados a lidar, mas também multas administrativas que podem atingir valores altamente prejudiciais.
Considerando o texto da LGPD e os artigos 2º e 3º da CLT, é clara a posição do empregado como titular de dados pessoais e a do empregador como controlador dos dados pessoais. Isto significa, então, que o compartilhamento de dados pessoais por força de contratos de trabalho não exclui de forma alguma a aplicação das regras e princípios da LGPD, e assegura ao empregado seus direitos como titular dos dados pessoais.
Todos os documentos referentes à relação entre o empregador e o empregado devem ser analisados à luz da LGPD. Estes documentos são, por exemplo:
- Currículos, históricos e outras informações pessoais do candidato a uma vaga de emprego;
- O contrato de trabalho propriamente dito, que pode conter dados cadastrais, filiação a sindicato, endereço, nomes dos genitores, escolaridade, situação familiar, nomes dos filhos, idade, tipo sanguíneo, entre outras informações;
- Documentos de rotina sobre rotina de trabalho, valor do salário, informações prestadas como, por exemplo, atestados médicos, informações sobre acidentes de trabalho, etc;
- Planos de Saúde, vale-alimentação, e-social e outros documentos em que informações sobre os empregados sejam repassados a terceiros;
- Documentos sobre o fim da relação de trabalho, como verbas rescisórias e informações sobre aposentadoria.
Além dos processos de rotina da empresa, como processos referentes ao pagamento de salários, controle de frequência, entre outros, a empresa precisa modificar e adequar à LGPD também os contratos de trabalho já existentes, adicionando cláusulas protetivas.
Como já podemos ver pelos exemplos citados acima, muitas vezes ocorre também o compartilhamento de dados sensíveis entre empregador e empregado, situação que exige maior cuidado em relação à proteção de dados e que traz disposições específicas na LGPD, como as tratadas no art. 11 da lei.
É importante lembrar que o fato de se tratar de uma relação trabalhista não altera as responsabilidades do controlador de dados e nem os direitos do titular, de modo que os contratos de trabalho devem ser claros quanto ao consentimento do tratamento de dados ou de outras bases legais que podem ser utilizadas, sobre a finalidade do tratamento dos dados e sobre os procedimentos internos para que o empregado possa ter respeitados seus direitos.
Este artigo “Série LGPD na Prática: Adequação de Contratos“ foi escrito Por Rodrigo Glasmeyer e MSc. Graziela Brandão . Conheça o BL Consultoria Digital, acesse aqui!
Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD
Confira o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.