Importância das revisões contratuais para conformidade das organizações à LGPD

Em decorrência da vigência da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), é fato que a falta de aderência à lei terá custos para as organizações em vários aspectos, como por exemplo, custo reputacional, que tem se revelado mais oneroso do que os custos regulatórios e/ou judiciais, motivo pelo qual as organizações devem mapear todos os processos que envolvam tratamento de dados pessoais com vistas a adequá-los às obrigações regulatórias às quais estejam submetidas, o que deve incluir também a elaboração e/ou aditamento de contratos com cláusulas específicas, a fim de observar a LGPD.

Apesar da LGPD não possuir previsão acerca da elaboração ou revisão documental entre os agentes de tratamento, as organizações devem atentar para a necessidade de estabelecer contratualmente obrigações e responsabilidades entre as partes envolvidas no tratamento de dados pessoais, em observância a algumas premissas existentes na LGPD, quais sejam: a finalidade, transparência e responsabilidade, previstas, respectivamente, nos incisos I, VI e X, ambos do artigo 6 [1]. Ressalte-se que esta previsão também se encontra no GDPR (artigo 5, 1 "a", "b" e "f").

A finalidade (artigo 6, I, LGPD) consiste na "realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades", sendo, portanto, de suma importância a previsão de cláusula contratual impedindo que os dados pessoais sejam utilizados pelo contratado para finalidade diversa do estabelecido no objeto do contrato.

No que tange à responsabilização e prestação de contas (inciso X, do artigo 6, LGPD), princípio esse de extrema relevância, diz respeito ao fato de que os agentes de tratamento devem demonstrar à ANPD registros e documentos comprobatórios sobre o cumprimento das normas em relação às atividades de tratamento.

Tais premissas dizem respeito ao fato de que o agente de tratamento que trata dados pessoais, além de ter que agir com transparência perante os titulares de dados pessoais, precisa demonstrar que cumpre a legislação de forma eficaz para a proteção dos dados pessoais dos titulares.

A LGPD também estabelece, dentre outras obrigações, um dever geral de segurança a ser observado pelos agentes de tratamento, previsto nos artigos 6, inciso VII e 46, os quais deverão "adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito" [2], sendo outra importante cláusula a ser prevista no instrumento contratual. Ressalte-se que esta previsão também se encontra no GDPR (artigos 5, I, "f", 24 e 32 c/c Considerando 78 [3].

Além disso, pode ser importante que a organização contratante estabeleça em umas das cláusulas contratuais a realização de auditoria e inspeções perante o operador, sendo, portanto, interessante que seja previamente negociada entre as partes sobre a forma e a periodicidade.

É necessário salientar que os agentes de tratamento, a depender da função que desempenham no tratamento de dados pessoais, podem ser controladores (artigo 5, VI, LGPD) c/c artigo 4, nº 7 e artigo 24, GDPR), operadores (artigo 5, VII, e 39, LGPD c/c artigo 4, nº 8 e artigo 28, GDPR) e controladores conjuntos (artigo 26, GDPR), motivo pelo qual é de extrema relevância compreender as operações a serem realizadas com relação ao fluxo dos dados, a fim de estabelecer as partes envolvidas na relação contratual.

De forma resumida, vale dizer que o controlador é o agente de tratamento a quem competem as decisões referentes às atividades de tratamento; o operador, realizará o tratamento mediante a observância das instruções do controlador. Por fim, entende-se como controladoria conjunta "a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD" [4].

Ponto a ser considerado na elaboração ou revisão contratual é a inclusão da previsão de cooperação entre as partes para o atendimento dos direitos dos titulares. Apesar de constar expressamente na LGPD o prazo para o atendimento a dois direitos dos titulares (artigo 18, I e II c/c artigo 19), é interessante que as organizações definam um fluxo para esse atendimento, bem como um prazo razoável para todos os demais direitos elencados na lei. O não cumprimento desse direito, permite ao titular reclamar perante à ANPD, além de acionar o Judiciário [5] [6] [7].

Por fim, de forma geral e a título exemplificativo e não exaustivo, outras importantes cláusulas podem ser inseridas no contrato firmado entre os agentes de tratamento como: (1) o dever de confidencialidade; (2) utilização de suboperador, mediante prévia autorização do controlador (artigo 28, nº 2, e Considerando 81, GDPR); (3) obrigação do operador relatar a ocorrência de incidentes de segurança em seu ambiente para que o controlador possa analisar o tipo de incidente e avaliar se ele representa um risco ou dano relevante ao titular pois, caso positivo, deve ser reportado à ANPD e ao titular, nos termos do artigo 48 da LGPD [8]; (4) determinar ao operador, após o término do tratamento de dados pessoais, a devolução dos dados ao controlador e/ou a eliminação dos dados de forma segura, mediante comprovação ao controlador (artigo 15, I e II, LGPD), dentre outras.

Como podemos perceber, a depender do tamanho da organização, há diversos pontos que precisam ser avaliados na contratação de operadores e negociados com bastante atenção e cautela por ocasião da celebração ou revisão destes instrumentos, mas que na maioria das vezes não tem sido observado, o que pode colocar em risco todo o empenho da organização na conformidade com a lei.

[1] Artigo 6º — As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: (…)
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. (BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 10/4/2022.)

[2] Artigo 6º — As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Artigo 46 — Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 10/4/2022.)

[3] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DOCONSELHO de 27 de abril de 2016. Jornal Oficial da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 10/4/2022.

[4] BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados pessoais e do Encarregado. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em: 10/4/2022. p. 13.

[5] A título de informação, acerca dos direitos dos titulares de dados pessoais, a ANPD se manifestará sobre esse tema através de uma Resolução, com início do processo regulatório previsto para o 1º semestre de 2022, conforme Agenda Regulatória. (BRASIL. Autoridade Nacional de Proteção de Dados. Portaria nº 11 de 27 de janeiro de 2020. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 10/4/2022.)

[6] BRASIL. Autoridade Nacional de Proteção de Dados. Petição de Titular. Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/peticao-de-titular-contra-controlador-de-dados. Acesso em 10/4/2022.

[7] A título de informação, o prazo de resposta no GDPR (artigo 12, n. 3) é de um mês, contato da data do requerimento, o qual pode ser prorrogado por até 2 (dois) meses, se porventura for necessário e "a depender da complexidade do pedido e número de pedidos". (REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DOCONSELHO de 27 de abril de 2016. Jornal Oficial da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 10/4/2022.)

[8] BRASIL. Autoridade Nacional de Proteção de Dados. Comunicação de Incidentes de Segurança. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em: 10/4/2022.