Cláusulas de LGPD: Aspectos importantes na adequação dos contratos

14 de setembro de 2021

Cláusulas de LGPD: Aspectos importantes na adequação dos contratos

Escrito por

A partir do surgimento de uma nova regulamentação, o movimento natural é pela adequação da atividade econômica aos requisitos estabelecidos pela norma, e essa conformidade enfrenta diversos atritos, tanto comportamentais quanto prático/operacionais.

Com a Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018) não foi diferente, e a busca pelo cumprimento integral das disposições iniciou assim que aprovado o seu Projeto de Lei em agosto de 2018, com a vacatio legis de 2 anos, ou seja, o início da vigência da Lei ocorreria apenas em agosto de 2020. Este período de vacância da Lei foi determinado para que as pessoas naturais ou jurídicas, de direito público ou privado, pudessem adaptar os seus negócios às exigências legais, porém, mesmo com o período dilatado especificamente concedido para este fim, o prazo para efetiva vigência da LGPD sofreu diversas prorrogações por circunstâncias internas e externas, trazendo insegurança quanto à seriedade e aplicação da norma, conforme publicamos no Blog Café com Compliance nos Artigos: Prorrogação da Lei de Proteção de Dados e o Covid-19; Vigência da LGPD foi prorrogada para maio de 2021, mas a criação da ANPD não saiu do papel; e A insegurança jurídica sobre o início de vigência da LGPD: os reflexos de uma esquizofrenia normativa.

Pode se observar que, diante de fatores econômicos e despreparo da administração pública, foi concedido tempo suficiente para a adequação das empresas às condições determinadas pela LGPD, e o que observamos no decorrer de toda essa dinâmica por parte do poder público e do setor privado, é que pouquíssimas empresas iniciaram o processo de adequação quando da aprovação da Lei, e muitas dessas só o fizeram em decorrência da sua atividade multinacional, onde o tema já é tutelado por outros Estados.

Pode-se dizer que uma segunda onda de adequação, essa consideravelmente mais forte, veio do início efetivo da vigência da legislação, ainda que parcialmente, em 18 de setembro de 2020, onde a possibilidade de exercício dos direitos por parte dos Titulares já era totalmente amparado e demais critérios e definições existentes já estavam em aplicação. Os agentes de tratamento agora estavam formalmente operando e seus deveres estavam passíveis de fiscalização.

Recentemente, no dia 01º de agosto de 2021, entram em vigor as até então dormentes sanções administrativas, referentes aos arts. 52, 53 e 54 da LGPD, aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD) órgão da administração pública direta federal, responsável pela fiscalização do cumprimento da Lei nº 13.709/2018. Nesta data de entrada em vigor das sanções, vimos outra forte onda de busca pela adequação à Lei, o que naturalmente ocorre pelo receio das punições monetárias que estão sujeitas as empresas que não estiverem de acordo com o que foi regulamentado.

Dentre diversos pontos de mudança dentro das empresas quanto ao tratamento de dados, envolvendo o mapeamento dos dados, a definição dos processos, gerenciamento de riscos estabelecimento de políticas, a nomeação do Encarregado de Dados e do Comitê de Proteção de Dados, treinamentos, além de outros, temos um ponto de extrema importância que é a gestão dos terceiros e a adequação dos contratos.

Muitos dos documentos contratuais, para não dizer todos, anteriores à Lei Geral de Proteção de Dados não possuem qualquer menção ao tratamento de dados pessoais, possuindo apenas a tradicional cláusula de confidencialidade das informações, que marcava presença, majoritariamente, para defesa de interesses econômicos dos contratantes, como a inteligência do negócio, dados financeiros e estratégicos, ou planos de ação. Em virtude disso, a necessidade de aditivar os mais variados contratos para atendimento e resguarda em relação à LGPD tornou-se uma demanda de grande urgência.

Não só apenas os costumeiros formatos de contratos necessitam de adequação, outros formatos de acordos, convênios, termos de responsabilidade, de confidencialidade (Non Disclosure Agreements – NDA), declarações, também precisam de atenção dependendo do caso em que são aplicados, e o interessante é que os formatos desses acordos entre partes exigem diferentes cláusulas de proteção de dados, seguindo sua natureza, interesses e, é claro, a relação da vontade de contratar das partes. O nível de detalhamento das cláusulas de LGPD seguem as características dos documentos, que devem estipular mais ou menos responsabilidades de acordo com as obrigações determinadas no objeto do contrato.

Em um Termo de Confidencialidade (NDA na sigla em inglês) para teste de um serviço de software para uma posterior conversão em usuário pagante do serviço, por exemplo, é temerosa uma propositura de extensas e detalhadas cláusulas de LGPD, definindo responsabilidades, procedimentos e exigências. O signatário deste termo pode ficar receoso em assinar determinado documento frente à assunção de diversas responsabilidades além do objeto principal.

Já nos contratos robustos, envolvendo negócios-chave para a atividade econômica de uma empresa, impactando diretamente sua operação, e que naturalmente se deseja uma relação contratual contínua e duradoura, as disposições de tratamento e proteção de dados devem ser detalhadas exatamente para prever as responsabilidades frente a eventuais incidentes, além dos termos de adequação a critérios de segurança, comunicação, contratações, finalidades e bases legais.

Dentre os pontos exemplificados, é de extrema importância firmar algumas questões para limitações de atuação e responsabilidades. Dentre eles, cito algumas que, no meu entendimento, possuem excepcional destaque: a definição, entre as partes, dos agentes de tratamento, controlador e operador; a finalidade pelo qual serão tratados os dados pela operadora, a ser definido pelo controlador; a exigência da adoção de medidas técnicas e organizacionais de segurança; a possibilidade de auditoria, pelo controlador, do operador; a eventual subcontratação, transferência e compartilhamento de dados, e como será regulado; as subcontratações realizadas pelo operador, e a condição de que as empresas tenham técnicas de segurança semelhantes à exigida no contrato originário; a exclusão dos dados tratados e a eventual manutenção deles para o cumprimento de obrigação legal ou interesse legítimo, no momento da rescisão do contrato; o prazo para atender requisitos do controlador ou dos titulares de dados, bem como reportar a ocorrência de incidentes envolvendo dados pessoais; a cooperação em caso de incidentes para elaboração de relatórios e reportes, tanto para a ANPD, quanto para os Titulares; e a responsabilização dos agentes na medida da sua culpabilidade.

O rol exemplificativo apresentado reflete algumas previsões, mas não todas, que devem estar presentes nos contratos. É evidente que a análise contratual deve ser feita para cada caso, levando em consideração a natureza do negócio, as partes, e o envolvimento com tratamento de dados pessoais, podendo apresentar ainda maior detalhamento.

PIRONTI, Rodrigo. A insegurança jurídica sobre o início de vigência da LGPD: os reflexos de uma esquizofrenia normativa.Disponível em: <https://cafe.jmlgrupo.com.br/a-inseguranca-juridica-sobre-o-inicio-de-vigencia-da-lgpd-os-reflexos-de-uma-esquizofrenia-normativa/>. Acesso em: 23 ago. 2021.

SASSO GOMES, Ana Maria. Vigência da LGPD foi prorrogada para maio de 2021, mas a criação da ANPD ainda não saiu do papel. Disponível em: <https://cafe.jmlgrupo.com.br/vigencia-da-lgpd-foi-prorrogada-para-maio-de-2021-mas-a-criacao-da-anpd-ainda-nao-saiu-do-papel/>. Acesso em: 23 ago. 2021.

SASSO GOMES, Ana Maria. Prorrogação da Lei Geral de Proteção de Dados e o Covid-19. Disponível em: <https://cafe.jmlgrupo.com.br/prorrogacao-da-lei-geral-de-protecao-de-dados-e-o-covid-19/>. Acesso em: 23 ago. 2021.

BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 23 ago. 2021.