Sobre a adequação de contratos à luz da Lei Geral de Proteção de Dados Pessoais

Em todo projeto de adequação à Lei Geral de Proteção de Dados (LGPD), mais cedo ou mais tarde, os agentes de tratamento inevitavelmente chegam ao momento de adequação de contratos e revisão de relações jurídicas à luz da nova lei. Algo tão esperado e comum, no entanto, tem se tornado, quase que sem exceção, uma etapa que gera muitas dúvidas, incertezas e insegurança às empresas.

O que ocorre é que, para se pensar em proteção de dados pessoais na análise de contratos, os responsáveis precisam conhecer e entender os seus pressupostos, como princípios, direitos e regras de responsabilização civil trazidas pela LGPD. E, a partir disso, se atentar para o conteúdo de determinadas cláusulas contratuais que têm sido comumente difundidas.

Como começar a análise de contratos à luz da LGPD?
Antes de mais nada, é importante destacar que cada caso é único, pois cada contrato possui partes e objetos diferentes. Assim, antes de mais nada, as partes devem revisar o escopo e objeto do contrato.

De acordo com a LGPD, os operadores podem utilizar os dados pessoais recebidos para as finalidades descritas e autorizadas pelo controlador. Nesse sentido, contratos com cláusulas genéricas deverão passar por revisão técnica depois do mapeamento de dados e da delimitação de finalidades pelo contratante.

A partir disso, as cláusulas podem variar grandemente a depender do tipo de relação jurídica e do grau de tratamento e/ou compartilhamento de dados pessoais entre as partes. Em resumo, na experiência prática de análise, é comum que os seguintes tópicos sejam — ou devam ser — considerados:

1) Existência de definições que estejam corretas de acordo com a lei;

2) Papel de cada parte no âmbito do tratamento de dados pessoais;

3) Existência de obrigação geral de respeito à LGPD e às demais normas de proteção de dados;

4) Limitação de uso para as finalidades específicas do contrato;

5) Compartilhamentos com terceiros, inclusive aqueles que envolvem transferência internacional;

6) Casos de notificação e como ela deverá ser realizada; e

7) Alocação de responsabilidades, inclusive em caso de indenizações por violações e incidentes.

Vale mencionar que também podem ser estipuladas cláusulas sobre realização de auditorias para verificação da conformidade à LGPD, bem como outras sobre adoção de padrões de segurança da informação suficientes para endereçar os riscos envolvidos nas atividades de tratamento de dados pessoais.

Porém, não basta verificar se esses pontos, pelo menos, foram contemplados pelo contrato: é crucial que eles estejam condizentes com o que a lei já estabelece — e com o fato de que muitos pontos ainda dependem de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) — e com uma distribuição equilibrada de direitos e deveres, sob pena de tornar o contrato excessivamente oneroso para uma das partes — normalmente o operador.

Mas, então, quais cláusulas ou tópicos precisam de mais atenção?
Como já mencionado acima, muitos trechos da LGPD ainda dependem de regulamentação pela autoridade. Por isso, normalmente, são os que mais demandam cuidados.

O caso de notificação de incidentes é um deles. A LGPD elenca situações nas quais é obrigatória a notificação da autoridade e dos titulares de dados, notadamente quando houver incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Nesse sentido, o contrato deve levar em conta, no caso concreto, não apenas mecanismos e prazos para avaliação da necessidade de notificação, mas também para a comunicação entre as partes e a colaboração imprescindível para que essa notificação ocorra da forma mais completa e adequada possível.

Nunca é demais lembrar que a LGPD não traz nenhum prazo para que essa notificação ocorra. Além disso, embora a ANPD tenha liberado provisoriamente orientações para notificação no prazo de dois dias úteis [1], esse assunto está no início do processo regulatório pela Tomada de Subsídios 2/2021 [2] e certamente sofrerá alterações, pois o prazo foi emprestado sem muita justificativa e está bastante restritivo — menor até do que o prazo de 72 horas previsto pela regulamentação europeia (GDPR).

Outra questão é a da responsabilidade. O artigo 42 da lei adota a regra geral de que o agente de tratamento — controlador ou operador — que causar dano de ordem patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. No entanto, o mesmo artigo traz a responsabilidade solidária dos operadores se houver descumprimento das obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.

Assim, todo cuidado é pouco quanto às cláusulas de responsabilidade e remediação. Em geral, o que a prática mostra é a tentativa reiterada de transferência total da responsabilidade de um agente de tratamento para o outro — normalmente o operador. Além da falta de equilíbrio e, em alguns casos, de boa-fé durante as negociações, essa realidade tem o poder de, no médio e longo prazo, colocar em risco a própria subsistência da parte mais fraca em caso de incidentes, vez que as multas podem ser baseadas no faturamento do controlador, chegando até a R$ 50 milhões.

Por fim, temas como a realização de auditorias e a adoção de padrões de segurança da informação também precisam ser vistos com parcimônia: ao mesmo tempo em que ajudam na aplicação concreta das normas de proteção de dados pessoais, não podem ser inseridos no contrato sem o devido sopesamento sobre o que a LGPD normatizou — a LGPD é tecnologicamente neutra, diferente da GDPR — e os custos desproporcionais aos benefícios do contrato a que a parte pode se sujeitar.

A lição que fica, no fim do dia, é que a prática de análise de contratos não mudou em sua essência, mas a pressa em implementar adequações à LGPD tem gerado situações desequilibradas e abusivas nos contratos. Talvez seja hora de respirar e realmente entender que a proteção de dados pessoais é mais do que algumas cláusulas.