1. Introdução | 2. A Aplicação Contratual e a Proteção de Dados | 3. As Cláusulas Contratuais | 4. Os Principais Equívocos na Adequação dos Contratos à LGPD | 5. Conclusão

Débora Leal Soares de Castro¹

1. Introdução

A entrada em vigor da Lei nº 13.709/2018², conhecida como Lei Geral de Proteção de Dados (“LGPD”) levou as empresas a terem que priorizar a conformidade de suas operações e a estruturação de suas políticas internas de acordo com as disposições legais, incluindo a concretização do mapeamento de suas atividades, a implementação de programas de privacidade e a realização de treinamentos para colaboradores³.

A partir da entrada em vigor da referida legislação, todas as atividades empresariais relacionadas à oferta de bens ou prestação de serviços, que se valem da utilização de dados para o seu funcionamento, devem efetivar o correto tratamento de dados.

Desse modo, estando o estabelecimento empresarial constituído no território brasileiro, deve observar as normas e procedimentos definidos pela LGPD para garantir a conformidade com a norma. Isto implica, necessariamente, na consequente adequação dos contratos dentro da instituição, assim como na formalização e definição de responsabilidades e procedimentos nas tratativas internas e externas.

A lei que salvaguarda os dados no território brasileiro, torna evidente a necessidade da condução dos processos negociais guiados pelas diretrizes por ela determinadas. Também faz com que se torne claro a iminente urgência em adequar os contratos com cláusulas corretas, não apenas para o tipo e complexidade da relação que buscam disciplinar, como ajustando-os com especificações de proteção de dados, a fim de minimizar os riscos relacionados.

2. A Aplicação Contratual e a Proteção de Dados

Sabe-se que uma parte significativa da atividade empresarial envolve a celebração de contratos, instrumentos essenciais para a concretização de negócios jurídicos, estabelecendo direitos e responsabilidades entre as partes, assim como regras para o tratamento de dados pessoais em consonância com o objeto contratual.

Ocorre que, para a elaboração de cláusulas contratuais que sejam adequadas para o tipo de relação regida por determinado instrumento, é necessário que sejam feitas distinções com relação à pertinência da utilização de cláusulas contratuais mais genéricas ou das que são consideradas como mais específicas, no contexto da proteção de dados pessoais. Além disso, deve-se levar em conta os riscos que precisam ser mitigados através das previsões contratuais e outras repercussões práticas relacionadas.

Outro ponto que vale a pena ressaltar é que, embora a LGPD em diversos artigos já defina responsabilidades, estabeleça direitos e faça a divisão de certas obrigações entre os agentes de tratamento, é através dos contratos que se define qual será a relação firmada entre estes agentes, assim como se pormenoriza como e quando essas obrigações devem ser cumpridas. Neste ponto, Tarcísio Texeira e Ruth Armelin, ressaltam:

“Aqui vale destacar a relevância de uma elaboração minuciosa e criteriosa do contrato firmando entre controlador e operador, visto que será através dele que poderá se apurar quais as instruções passadas pelo controlador e eventual direito de regresso de ambas as partes a depender do que estava previsto contratualmente. Vale destacar que empresas precisarão revisar os contratos que já possuem nos seus mais diversos setores (recursos humanos, marketing etc.) para incluir cláusulas mínimas para compartilhamento de dados entre controlador e operador de forma a regular essa relação. Nesse sentido, a boa elaboração de um contrato não exime a responsabilidade desse último de verificar se o que lhe está sendo instruído a obedecer às normas sobre a matéria (art. 39, LGPD) não podendo se escusar do cumprimento da lei alegando o cumprimento de cláusulas contratuais⁴.”

Por conseguinte, existem alguns pontos principais, ou melhor definindo: cláusulas principais, que devem constar nos contratos relacionados à privacidade e proteção de dados. Tais cláusulas são cruciais para definir com um maior nível de detalhes as responsabilidades de cada uma das partes, além de serem necessárias para atender ao princípio da responsabilização e prestação de contas. Desse modo, essas cláusulas “consistentes não apenas em cumprir disposições da LGPD, mas demonstrar que efetivamente a lei é cumprida⁵.”

A inclusão de cláusulas de privacidade e proteção de dados nos contratos confere maior segurança jurídica para a organização, uma vez que formaliza o compromisso das partes com o compliance legal atrelado à proteção de dados. De igual forma, estas previsões podem estabelecer penalidades pelo descumprimento das responsabilidades assumidas no instrumento contratual, inclusive prevendo o pagamento de indenizações.

Desta forma, ao se definir quais as cláusulas que serão incluídas nos contratos, deve se avaliar qual a relação do objeto do contrato com o tratamento de dados a ser realizado. A depender da relevância do tratamento de dados para o objeto contratual firmado, será possível avaliar se devem ser incluídas cláusulas mais genéricas ou mais robustas e específicas.

Esta referida determinação acima apontada, é classificada de acordo com a operação da negociação firmada em contrato, a relevância do tratamento de dados com relação ao objeto contratual, o volume e tipo de dados a serem tratados. Neste diapasão, a obra “LGPD para contratos: adequando contratos e documentos à Lei Geral de Proteção de Dados Pessoais”, orienta que:

“Nesse ponto, é importante avaliar o grau de risco do contrato, com vistas a identificar as medidas ou estratégias necessárias a serem adotadas sem, contudo, olvidar que toda atividade de tratamento de dados é, por si só, uma atividade de risco. (...) As estratégias, todavia, são essenciais para diferenciar contratos que demandam cláusulas mais robustas por seu elevado risco, exigindo um olhar mais crítico. E todas possuem, como ponto de partida, a compreensão da outra parte com quem se está contratando, além do risco que o objeto desse contrato envolve. (...) Contratos com riscos elevados exigem margem mínima de negociação, reservando as cláusulas mais simplificadas e com maior flexibilidade para os contratos com risco mais controlado⁶.”

Assim, passemos a tratar das cláusulas contratuais e a traçar alguns comentários relativos à sua aplicação prática.

3. As Cláusulas Contratuais

Embora a legislação brasileira não forneça diretrizes específicas para cláusulas contratuais, é possível se basear nas recomendações da ICO, a Autoridade de Proteção de Dados do Reino Unido⁷ que sugere a inclusão de cláusulas gerais nos contratos, tais como o objeto e a duração do tratamento, a natureza e finalidade do tratamento, os tipos de dados pessoais e categorias de titulares envolvidos, bem como os direitos e obrigações das partes envolvidas no tratamento de dados pessoais.

Assim, de maneira geral, todos os contratos que envolvam o tratamento de dados pessoais devem conter previsões que abranjam as obrigações das partes, a finalidade do tratamento, a base legal para o tratamento, as condições de compartilhamento e exclusão dos dados, cláusulas de confidencialidade, medidas de segurança para proteção dos dados, procedimentos em caso de incidentes de segurança, garantia dos direitos dos titulares dos dados, bem como disposições sobre responsabilidade e possíveis indenizações em caso de descumprimento das obrigações contratuais relacionadas à proteção de dados pessoais.

Ainda, é bastante relevante que todos os contratos definam a posição que cada uma das partes envolvidas ocupa na relação contratual, posição esta que deve sempre coincidir com a realidade fática, uma vez que a LGPD já define os papéis dos agentes de tratamento⁸ e não cabe ao contrato se sobrepor à lei. Uma vez definida, é com base nesta atribuição de papéis que deverão ser determinadas as demais obrigações e responsabilidades relativas aos tratamentos de dados.

A definição dos agentes de tratamento não é uma tarefa fácil, pelo contrário, pode ser uma tarefa bastante complexa, a depender do arranjo contratual e do tratamento a ser realizado em decorrência do objeto do contrato. No entanto, existem algumas orientações da própria Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos europeus que podem servir de guia na hora de se definir a relação entre as partes. São alguns auxílios disponíveis a guideline do European Data Protection Surpevisor (EDPS)⁹ e o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado¹⁰.

Além das cláusulas mencionadas acima, em caso de contratos que envolvam riscos mais elevados, ou seja, quando o tratamento de dados a ser realizado é diretamente relacionado ao objeto do contrato e envolve um grande volume de dados, as cláusulas contratuais devem ser mais específicas e robustas.

Nestes casos é recomendável incluir previsões relacionadas às definições de termos utilizados no contrato, se houver a necessidade de restringir ou aumentar o significado dos termos utilizados, além disso, indicar quais dados serão tratados, disposições acerca da propriedade dos dados e base de dados, retenção e exclusão de dados, seguro cibernético, realização de auditorias, dever de cooperação e sua abrangência e meios de comunicação a serem utilizados entre as partes para fins do contrato.

Com relação à necessidade de incluir a definição de termos utilizados, esta já é uma prática para a redação de contratos onde os termos utilizados possuem significados conflitantes ou quando se quer tornar clara a abrangência que se deseja dar a determinado termo, para fins daquele pacto em específico.

Este é o caso, por exemplo, de indicar que, em determinada relação contratual, o termo “dados sensíveis” inclui dados cujo resultado do tratamento possa servir para fins discriminatórios ou dados que, quando combinados, possam inferir um dado sensível elencado no art. 5º, II da LGPD.

Com relação às cláusulas que tratam da obrigação das partes, é recomendado incluir previsões que tratam das legislações e outras regulamentações a que as partes estão submetidas, compromisso de cumprimento das normas contratuais e atendimento aos princípios.

Nem sempre indicar que é devido o cumprimento da legislação é suficiente, em alguns casos é relevante indicar as normas de segurança da informação que devem ser seguidas, a necessidade de cumprimento das diretrizes e orientações da ANPD, necessidade de adequação a outras normas de privacidade internacionais etc.

Dependendo do risco atrelado ao contrato, pode ser relevante ser bastante específico com relação aos dados que devem ser tratados e para que finalidade. Assim, no que se refere à finalidade, é essencial que o contrato indique a finalidade dos tratamentos de dados autorizados e geralmente isso inclui limitar o tratamento autorizado às finalidades especificadas e determinadas. Pode-se, inclusive, vedar a autorização da realização de tratamentos de dados que não para a finalidade indicada, a depender da relação entre os agentes de tratamento.

No tocante ao tempo de armazenamento, é recomendado indicar o prazo, como referido armazenamento deve ocorrer e quem será responsável pela base de dados resultante do compartilhamento de dados entre as partes. Ainda, devem ser indicadas providências a serem tomadas com relação aos dados compartilhados, quando da finalização do contrato e da relação entre as partes.

A indicação da norma na qual devem se basear os tratamentos de dados nem sempre é possível, mas é sempre recomendado que as partes assumam o compromisso de utilizar base legal válida, legítima e adequada para os tratamentos de dados realizados. Outro ponto relevante é atribuir responsabilidades entre as partes com relação à escolha da base legal utilizada.

Outra questão é relativa às transferências internacionais de dados e seu aspecto contratual.

O art. 33 da LGPD define as hipóteses em que a transferência internacional de dados pode acontecer e é com base nesta previsão que os contratos devem definir as responsabilidades e obrigações das partes¹¹. É relevante que fiquem estabelecidas responsabilidades como a de manter registro detalhado das transferências, dever de prestar esclarecimentos adicionais, bem como a exigência de autorização prévia para que seja realizada a transferência internacional de dados.

Também faz parte da prática contratual, ao indicar uma responsabilidade e atribuir obrigações às partes, determinar prazos para o cumprimento destas. É o caso das cláusulas que tratam da responsabilidade das partes em atender às requisições ou questionamentos do titular ou, ainda, quando for necessária a comunicação entre as partes para atender questionamento ou requisição dos titulares de dados.

Assim, é essencial que se inclua uma cláusula especificando por quais meios as partes devem se comunicar e qual o prazo para que a comunicação seja realizada nos casos de eventos críticos, como na hipótese de ocorrer um incidente de segurança, houver a comunicação com a ANPD e titulares ou, igualmente, no caso de intimação judicial que tenha relação com o objeto do contrato.

Cláusulas igualmente relevantes são aquelas que tratam das medidas de segurança que devem ser implementadas com relação ao tratamento de dados. As previsões aqui visam a garantir os pilares da segurança da informação: disponibilidade, confidencialidade e integridade dos dados e para isso podem ser indicadas medidas administrativas e organizacionais, medidas técnicas razoáveis considerando as práticas do mercado e o estado da arte no tempo, medidas de gestão de risco, necessidade de apresentação periódica de evidências que demonstrem a aplicação das medidas indicadas e, ainda, a responsabilização pelo tratamento de dados realizado por terceiros sob sua competência.

Muitas são as previsões que devem ser incluídas nos contratos, dentre as mais relevantes tem-se as previsões que tratam dos incidentes de segurança já que este é um evento que geralmente implica em grandes riscos para os envolvidos, requer a colaboração dos agentes de tratamento, exige a tomada de decisão e a realização de comunicações obrigatórias em prazo bastante exíguo. Assim, estabelecer alguns pormenores pode facilitar as tratativas e agilizar as medidas de cooperação.

Como exemplo, uma previsão bastante relevante é a de que, no caso de incidente de segurança, a parte infratora se comunique com a parte inocente, no mínimo, transmitindo as seguintes informações: (i) data e hora do incidente de segurança; (ii) data e hora da ciência pelo operador; (iii) relação dos tipos de dados afetados pelo incidente de segurança; (iv) número de titulares afetados; (v) relação de titulares afetados pelo vazamento; (vi) dados de contato do encarregado de proteção de dados (DPO) ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; (vii) descrição das possíveis consequências do incidente de segurança, e, (viii) indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes de segurança, incluindo plano de comunicação e estratégia para resolução de conflitos.

Pode-se indicar, ainda, que, caso a parte responsável não disponha de todas as informações requeridas no momento de envio da comunicação, deverá enviá-las de forma gradual, visando a garantir a maior celeridade possível, sendo certo que a comunicação completa (com todas as informações indicadas) deve ser enviada no prazo estabelecido pela autoridade competente, sob pena de responder pelas perdas e danos a que der causa, devidamente comprovados.

Outro ponto muito relevante é com relação à responsabilização dos agentes de tratamento no caso de incidentes de segurança ou no caso de descumprimento das normas legais e contratuais. Assim, é essencial que sejam incluídas previsões que permitam o direito de regresso em favor da parte inocente contra a parte infratora e ainda o dever de indenizar os danos causados. Outra previsão bastante relevante é indicar que quaisquer limitações previstas no contrato, com relação à responsabilidade das partes, não se aplicam para assuntos indicados nas cláusulas de proteção de dados e estipular uma multa pelo descumprimento do contrato.

Ainda com relação aos incidentes de segurança é recomendado estipular multa específica e indenizações suplementares, obrigação de se submeter ou realizar auditoria para averiguar o ocorrido e, como medida preventiva, a quem cabe o pagamento dos custos com auditor independente, atendimento de diretrizes para mitigação de riscos e compromisso de confidencialidade e, ainda, indicar a ocorrência de rescisão do contrato no caso de, havendo um incidente, não serem aprovadas as medidas indicadas como necessárias e suficientes para a reparação dos danos.

Finalmente, com relação à necessidade de contratação de seguro cibernético, é interessante que se especifique tanto o valor do seguro a ser contratado quanto a seguradora. Outra possibilidade é indicar que a empresa seguradora deve ser reconhecida pelo mercado. É necessário indicar quais os eventos devem ser cobertos pelo seguro, qual a parte que deverá constar como beneficiária deste e, ainda, indicar a necessidade de renovação anual da apólice durante a vigência do contrato.

É importante ressaltar que as orientações mencionadas são aspectos gerais a serem considerados na elaboração ou adaptação de contratos à LGPD. Dependendo da natureza da relação entre as partes e dos tratamentos específicos a serem realizados, pode ser necessário incluir outras cláusulas ou ajustar as recomendações acima às necessidades e circunstâncias específicas do caso em questão.

4. Os Principais Equívocos na Adequação de Contratos à LGPD

A redação de contratos que abrangem o tratamento de dados pessoais é uma atividade complexa e crucial para assegurar a conformidade com a legislação em vigor, em particular a Lei Geral de Proteção de Dados (LGPD). Portanto, é necessário ter cuidado para evitar equívocos.

Ao elaborar contratos que envolvam o tratamento de dados pessoais, é fundamental definir claramente as responsabilidades de cada parte, de acordo com a legislação vigente, considerando as diferentes obrigações para controladores, operadores, suboperadores ou co-controlador. Essa classificação deve ser estabelecida desde o início do contrato, pelo menos em relação às atividades principais, para evitar dúvidas sobre o grau de responsabilidade e as obrigações de cada parte.

Um erro comum é a falta de definição do papel desempenhado pelas partes como agentes de tratamento de dados, o que pode comprometer o contrato. Estabelecer claramente a relação entre as partes é essencial para distribuir responsabilidades e estipular limites em conformidade com a legislação.

É importante evitar a reprodução indiscriminada de dispositivos legais nos contratos, já que a aplicação da lei não depende de sua previsão contratual¹². Em vez disso, as cláusulas legais devem ser ajustadas às especificidades de cada contrato, levando em consideração as necessidades e particularidades das partes envolvidas.

Quanto às medidas técnicas e administrativas de segurança dos dados pessoais, é mais eficaz estabelecer princípios a serem seguidos, em vez de listar medidas específicas que podem se tornar obsoletas rapidamente. O estabelecimento das medidas técnicas mínimas pode ser baseado nas regulamentações da Autoridade Nacional de Proteção de Dados (ANPD) ou, ainda, ser incluída como anexo ao contrato e passível de revisão periódica.

Ao empregar cláusulas padronizadas de proteção de dados, é fundamental assegurar sua aplicabilidade à atividade específica de tratamento de dados do contrato, permitindo ajustes conforme necessário durante sua execução. Isso previne a inclusão de cláusulas excessivamente simplificadas ou complexas, que podem não agregar valor ao contrato e dificultar sua interpretação.

A confusão na definição dos agentes de tratamento, a falta ou excesso de cláusulas sobre privacidade e proteção de dados pessoais, assim como a desorganização em relação a outras legislações, são questões comuns na elaboração e análise de contratos. É crucial destacar que a adequação ou elaboração de contratos carrega uma responsabilidade significativa, sendo imperativo que seja conduzida por profissionais com amplo conhecimento não apenas em aspectos contratuais, mas também em privacidade e proteção de dados pessoais.

Por fim, mais importante do que a inclusão de cláusulas contratuais é garantir que as relações com parceiros, fornecedores e terceiros respeitem a privacidade e proteção dos dados pessoais no dia a dia. As previsões precisam ser aplicáveis e aplicadas, bem como auditadas ou supervisionadas. Assim, é fundamental priorizar o atendimento aos princípios e requisitos legais na prática e incluir mecanismos de auditoria e supervisão das obrigações assumidas nos contratos refletindo o compromisso real com a legislação de proteção de dados.

5. Conclusão

A entrada em vigor da Lei nº 13.709/2018, conhecida como LGPD (Lei Geral de Proteção de Dados), impulsionou as empresas a priorizarem a conformidade de suas operações e políticas internas com as disposições legais, incluindo o mapeamento de suas atividades, a implementação de programas de privacidade e a realização de treinamentos para colaboradores.

A conformidade com a LGPD é crucial para todas as atividades empresariais relacionadas à oferta ou prestação de bens ou serviços que envolvam o tratamento de dados pessoais no território brasileiro, exigindo a adequação dos contratos e a definição de responsabilidades e procedimentos. Nesse contexto, é evidente a importância da inclusão de cláusulas contratuais adequadas para garantir a conformidade da instituição e minimizar riscos, tornando-se uma medida essencial para a conformidade com a LGPD.

A prática contratual em proteção de dados requer uma abordagem cuidadosa e criteriosa, considerando a complexidade das relações e dos tratamentos específicos a serem realizados. Portanto, é fundamental que as empresas busquem a orientação de profissionais especializados em privacidade e proteção de dados pessoais para garantir a adequação de seus contratos à legislação vigente.

Bibliografia:

- ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado Versão 2.0. 2020. Disponível em:< https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf>. Acesso em 23 de fevereiro de 2024.

- BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília – DF: Presidência da República, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 12 de junho 2023.

- BUENO, Matheus e OLIVEIRA, Bruna. Conheça 5 erros na hora de adequar contratos à LGPD. (2022). Disponível em:< https://www.jota.info/opiniao-e-analise/artigos/conheca-5-erros-na-hora-de-adequar-contratos-a-lgpd-24032022>. Acesso em 20 de fevereiro de 2024.

- Data Protection Officer (Encarregado): Teoria e prática de acordo com a LGPD e o GDPR. OPICE BLUM, Renato; VAIZOF, Rony e FABRETTI, Henrique. 1 ed. São Paulo: Thomson Reuters Brasil, 2020.

- EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725. Disponível em: < https://www.edps.europa.eu/sites/default/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf>. Acesso em: 13 de fevereiro de 2024.

- ICO. Contracts. Disponível em: <https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/guide-to-accountability-and-governance/accountability-and-governance/contracts/>. Acesso em 22 de fevereiro de 2024.

- LGPD: Lei Geral Proteção de Dados comentada. Coordenadores Viviane Nóbrega Maldonado e Renato Opice Blum. 2ª ed., São Paulo, 2019.

- LGPD para contratos: adequando contratos e documentos à Lei Geral de Proteção de Dados Pessoais. Organizado por Adrianne Lima, Daniela Samaniego e Thainá Baronovsky. São Paulo: SaraivaJur. 2022.

- TEIXEIRA, Tarcísio; ARMELIN, Ruth M. G. F. Responsabilidade Civil e Ressarcimento de Danos por Violação às Regras Previstas na LGPD: Um cotejamento com o CDC. In: LIMA, Cíntia R. P. (Org.) Comentários à Lei Geral de Proteção de Dados. São Paulo: Almedina, p. 297-326, 2020