Com LGPD, contrato entre agentes de tratamento é uma necessidade

A Lei Geral de Proteção de Dados (LGPD) chegou com a difícil tarefa de impor uma mudança cultural sobre a importância da privacidade e a necessidade de manter o controle sobre os próprios dados.

É notável que a lei impacta diretamente as relações contratuais estabelecidas em diversos setores comerciais, como, por exemplo, o de vendas, tecnologia da informação, marketing, recursos humanos, inovação, franquias, negócios imobiliários e, também, as próprias relações de trabalho.

Nesse contexto, os contratos surgem como instrumentos de alocação de riscos da atividade desenvolvida pelos agentes de tratamento previstos na LGPD. Isso porque o futuro de relações contratuais traz interrogações que podem ser diminuídas se forem observadas as regras previamente determinadas.

Essas circunstâncias ganham relevância na medida em que nem todas as controvérsias são levadas ao Poder Judiciário ou à arbitragem, tendo em vista que a estrada na busca de uma decisão judicial ou arbitral costuma ser longa e custosa.

No tocante à LGPD, o tema do momento, percebe-se a necessidade da celebração de acordos de processamento de dados entre os agentes de tratamento, ou seja, entre os eventuais controladores, co-controladores e operadores.

De uma forma resumida, a elaboração desses contratos, com base na LGPD, possui duas finalidades essenciais: 1) a atribuição de responsabilidades; e 2) a demonstração de boas práticas.

Nesse cenário, torna-se imprescindível não apenas a inserção de novas cláusulas em contratos que serão ou já foram firmados, mas também a revisão das relações contratuais até então estabelecidas.

Para maior segurança, os agentes de tratamento devem — ou deveriam — negociar apenas com outros agentes que possam assegurar a implementação de medidas técnicas e organizacionais adequadas, garantindo que o tratamento cumpra os requisitos da LGPD.

Assim, a redação desses acordos deve ser realizada conforme a complexidade da relação contratual que será estabelecida, podendo ser feita com o auxílio de uma "régua de risco", a qual tem como finalidade orientar a negociação de cada uma das cláusulas contratuais.

Aqui, é bom lembrar que as relações contratuais idealizam comportamentos das partes para o futuro, na tentativa de prever todos os eventos que podem acontecer.

Na realidade, sabemos que não existem contratos completos que consigam abordar toda e qualquer eventualidade futura, mas é importante resguardar, ao máximo, os interesses das partes, garantindo segurança à relação contratual.

Sobre esse tema, e sem aprofundar no que se entende por incompletude contratual, convém citar o que ensina Forgioni [1] (2020, p. 60-61) no sentido de que:

"Acostumamo-nos a pensar os negócios como se tudo ou quase tudo pudesse ser previsto no momento de sua assinatura. Nesse contexto ideal, aquilo que faltaria seria completado pela lei e, no máximo, pelos usos e costumes comerciais. Sabemos que essa situação é utópica. Contratos são, por natureza, incompletos e maior sua complexidade, mais as lacunas far-se-ão sentir. Existe uma 'necessária incompletude em qualquer relação de cooperação entre dois ou mais sujeitos".

Portanto, os agentes devem proteger os seus interesses na medida do possível e dentro do que se entende como economicamente viável para aquele momento.

Quanto à obrigatoriedade da celebração de contratos, embora não seja exigido expressamente pela LGPD, digamos que é fortemente recomendável, como forma de atribuir responsabilidades e determinar boas práticas.

Nesse contexto, Alves, Guidi e Lila [2] (2020, p. 116-117) afirmam precisamente que:

"Ao contrário do GDPR, a LGPD é silente em relação à obrigatoriedade de formalização das relações jurídicas entre agentes de tratamento por meio de contrato. Há apenas menção a contrato em duas ocasiões, quais sejam: (i) ao abordar os requisitos para a viabilização de transferência de dados de entes públicos para entes privados; e (ii) ao referir-se a cláusulas contratuais específicas e cláusulas-padrão contratuais, dentre as garantias a serem dadas pelo controlador nas transferências internacionais para países não considerados 'adequados' pela ANPD, tema ainda sujeito a futura regulamentação".

No que diz respeito à privacidade e proteção de dados pessoais, os acordos de vontades devem prever cláusulas simples ou específicas, a depender da complexidade da relação jurídica que será estabelecida.

Em primeiro lugar, no mínimo, os acordos devem prever: 1) as definições; 2) o objeto; 3) a duração do tratamento dos dados; 4) a natureza e a finalidade do respectivo tratamento; 5) os tipos e categorias dos dados pessoais utilizados; e 6) as obrigações, responsabilidades e direitos dos agentes de tratamento.

Nesse ponto, é interessante destacar que o operador deve tratar os dados pessoais de acordo com as instruções determinadas pelo controlador, a não ser que seja exigido de outra forma pela legislação nacional ou por norma regulatória da Autoridade Nacional de Proteção de Dados (ANPD).

Prosseguindo, a depender da particularidade da relação entre os agentes de tratamento, é importante definir a propriedade da base dos dados e as respectivas bases legais utilizadas para o tratamento.

Ademais, é necessário determinar um "ciclo de vida" para o manejo dos dados, contendo regras sobre retenção e exclusão, além da possibilidade de eventual compartilhamento com autoridade judicial ou regulatória.

O instrumento contratual pode vir a regular um dos pontos centrais da lei, ou seja, como serão exercidos os direitos dos titulares dos dados. Também são essenciais as estipulações sobre confidencialidade e sigilo, as quais podem perdurar mesmo após o final do contrato.

Nesse aspecto, o acordo deve possuir termos que garantam a proteção contínua dos dados pessoais, ainda que depois do término da relação estabelecida, cabendo ao controlador decidir o que deve acontecer com os dados pessoais utilizados, uma vez que o tratamento esteja, de fato, concluído.

Aliás, é bom dar destaque ao detalhe de que a estipulação mencionada acima deve abranger os colaboradores dos agentes de tratamento, incluindo quaisquer trabalhadores temporários que tenham acesso aos dados pessoais.

Com relação à eventual transferência internacional dos dados, o instrumento contratual pode prever a possibilidade de revisão posterior, após regulamentação desse tema pela Autoridade Nacional de Proteção de Dados, prevista para o ano de 2022 [3].

Acerca dos riscos, é recomendável que o acordo contenha a definição do que se entende por incidente de segurança. Além disso, é importante estabelecer o dever de assistência entre os agentes, contendo a forma e o prazo em que serão feitas as notificações ou comunicações internas sobre eventuais comprometimentos à base de dados.

Ao ajustar as regras sobre a ocorrência de incidentes, o contrato pode prever as medidas técnicas e organizacionais adequadas para garantir a segurança de quaisquer dados pessoais que estejam tratando.

Adicionalmente, e se necessário, também é possível acrescentar a possibilidade e/ou necessidade da contratação de um seguro cibernético e da realização de auditorias.

Por último, o instrumento contratual deve estipular regras sobre responsabilidades, indenizações, rescisão do contrato em caso de violação e a possibilidade do exercício de eventual direito de regresso.

Diante de tudo o que foi exposto acima, e do longo caminho que a Lei Geral de Proteção de Dados ainda possui pela frente, percebe-se que um instrumento contratual, cuja finalidade seja conduzir uma relação jurídica estabelecida entre agentes de tratamento, deve ser elaborado por profissional munido de conhecimentos técnicos e clareza sobre a conexão que será pactuada, uma vez que esse profissional será capaz de trazer segurança à atividade desenvolvida.