Os desafios na elaboração e revisão de cláusulas de proteção de dados

Os contratos são elementos fundamentais numa relação empresarial e estabelecem os direitos e deveres das partes. Para a elaboração de um bom contrato, as partes precisam acordar diversas questões, sendo uma delas as relacionadas à proteção de dados pessoais.

O guia orientativo para definição dos agentes de tratamento de dados pessoais e do encarregado, elaborado pela Autoridade Nacional de Proteção de Dados (ANPD), aponta que os pontos que podem ser definidos contratualmente são o objeto, a duração, a natureza e a finalidade do tratamento dos dados, os tipos de dados pessoais envolvidos e os direitos e obrigações e responsabilidades relacionados ao cumprimento da LGPD.

Nesse cenário, alguns desafios são verificados. O primeiro desafio está relacionado com a correta definição do papel das partes perante a LGPD, isto é, quem é o controlador e o operador, ou se há controladoria conjunta.

O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (artigo 5º, VI, da LGPD), enquanto o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (artigo 5º, VII, da LGPD).

A controladoria conjunta é quando, a depender do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador.

A definição do papel das partes parece simples, mas na prática não é.

Segundo o guia orientativo da ANPD mencionado acima, a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador. Também ressalta que, além da finalidade, o controlador é o responsável por estabelecer outros elementos essenciais relativos ao tratamento. É o caso da definição da natureza dos dados pessoais tratados (por exemplo, dados de beneficiários de plano de saúde ou de pessoas cadastradas em banco de dados oficial) e da duração do tratamento, isto é, do período durante o qual será realizada a operação, incluindo o estabelecimento de prazo para a eliminação dos dados.

Dessa forma, diante do caso concreto, é preciso que seja realizada a análise da atuação de cada uma das partes dentro de uma operação envolvendo o tratamento de dados pessoais, em especial, o poder decisório. Após, deverão ser feitos os ajustes contratuais adequados àquela situação, para que o contrato corresponda a realidade. Os desafios na elaboração de cláusulas contratuais referentes à proteção de dados pessoais não se limitam ao exposto acima. É válido mencionar que existe um grau de complexidade no momento da elaboração das referidas cláusulas, visto que devem estar em consonância com o disposto na Lei nº 13.709/18, bem como deve-se observar a realidade das empresas que realizam o tratamento de dados pessoais.

Justamente porque para a implementação adequada e eficaz da proteção de dados pessoais, a empresa deverá ter, no mínimo, uma estrutura de compliance, governança corporativa, estrutura tecnológica, estruturação dos documentos internos e arquivos e treinamento do seu pessoal.

Isso significa, portanto, que a proteção dos dados pessoais não se restringe a inclusão de cláusulas contratuais nesse sentido, sendo necessário, definir, implantar e estruturar soluções para assegurar a referida proteção, uma vez que que essa adequação gera impacto na cultura de uma empresa.

Logo, essas cláusulas isoladas não amparam o empresário de todo e qualquer risco, e sequer são suficientes para uma implementação de proteção de dados eficiente e minimamente segura e adequada.

Por essa razão, é fundamental ressaltar a cautela que se deve ter ao elaborar as cláusulas referentes a proteção dos dados pessoais, tendo que levar em consideração as particularidades e a realidade de cada situação.

Outro ponto desafiador durante o processo de adequação à LGPD, é a quantidade de contratos e documentos que uma empresa pode ter para realizar os ajustes necessários e ficar em conformidade com a referida lei. Dessa forma, isso significa que há uma grande demanda do jurídico de uma empresa e demais colaboradores que participam deste processo.

Assim, em um primeiro momento, para iniciar a adequação dos contratos é necessário fazer uma auditoria nos documentos vigentes, a fim de identificar quais realizam o tratamento de dados pessoais, seja coleta, transferência, armazenamento de dados, sendo então possível elaborar cláusulas que atendam à lei.

Ainda, deve-se se atentar àqueles contratos que tratam dados pessoais sensíveis, aos quais se referem a informações como crenças religiosas, opiniões políticas, orientação sexual, justamente pelo fato de, em caso de um incidente de segurança, ter um grande potencial de gerar graves consequências aos titulares dos dados, devendo, portanto, ter uma maior cautela nessa situação.

Dessa maneira, feito o mapeamento de dados e o levantamento dos instrumentos particulares que a empresa possui que tratam dados de pessoas naturais, é que se passa a realização dos ajustes contratuais em obediência à LGPD, contando com uma equipe jurídica especialista no assunto para que, diante da realidade de cada empresa, consiga visualizar os riscos e elaborar as soluções mais eficazes para determinada situação.

Perfaz-se que o processo de adequação à proteção dos dados pessoais é complexo e demanda uma análise profunda por pessoas qualificadas para atingir a real segurança estabelecida pela LGPD.

É válido mencionar que, em se tratando desse tema, a cautela e a atenção devem ser redobradas, pois às vezes as partes, sem um devido apoio jurídico especializado no tema, buscam celebrar um aditivo contratual ou utilizar cláusulas padrão de proteção de dados sem compreender a extensão daquela situação específica, o que poderá futuramente resultar em consequências negativas para aquela relação.

Por fim, diante de tudo o que foi abordado, é imprescindível que haja um programa de privacidade e proteção de dados pessoais na empresa, conforme a sua realidade, adequando toda e qualquer operação realizada que envolva tratamento de dados de pessoas naturais, inclusive os contratos e todos os outros documentos particulares existentes.

Referências bibliográficas
Autoridade Nacional de Proteção de Dados. guia orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado Maio/2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf.

TOMAZ, Cristiane. 5 pontos para adequar os contratos a LGPD – Lei Geral de Proteção de Dados. Molina Tomaz, 2020. Disponível em <https://molinatomaz.com.br/2020/02/21/5-pontos-para-adequar-os-contratos-lgpd-lei-geral-de-protecao-de-dados-pessoais/>. Acesso em 10 de junho de 2021.