Opinião

A prática dos contratos analisados pela ótica da LGPD

Autor

  • Mariana Sbaite Gonçalves

    é graduada em Direito pela Universidade Católica de Santos (UniSantos) mestranda em Science in Legal Studies pela Ambra Univertisity (EUA) LLM em Proteção e Dados: LGPD e GDPR pela FMP e Faculdade de Direito da Universidade de Lisboa DPO (data protection officer) e information security officer (I.S.O.) certificada pela Exin MBA em DPO pelo Iesb e pós-graduada em Direito da Proteção e Uso de Dados (PUC-Minas) em Direito e Processo do Trabalho (Damásio de Jesus) e em Advocacia Empresarial (PUC-Minas).

    View all posts

16 de junho de 2023, 18h26

Todos os contratos precisam ser avaliados pela ótica da Lei Geral de Proteção de Dados Pessoais (LGPD, nº 13.709/0218). Sim, nós precisamos repetir o óbvio, porque nem sempre todos se atentam ao que é necessário.

Em que pese a colocação acima parecer um tanto repetitiva, ela é extremamente necessária, pois, por incrível que pareça, ainda encontramos muitos contratos falhos no mercado. Exemplos? Confusão com relação aos agentes de tratamento, falta ou excesso de cláusulas referentes à privacidade e proteção de dados pessoais, desordem com relação à outras legislações etc.

O detalhe é: elaborar e/ou analisar um contrato é uma tarefa que carrega uma responsabilidade imensa, devendo a atividade ser feita por quem realmente tenha conhecimento tanto em regras contratuais como em privacidade e proteção de dados pessoais.

Uma palavra mal colocada ou faltante pode causar um problema gigantesco para uma das partes, inclusive, prejuízos financeiros e reputacionais, logo, o instrumento contratual é parte fundamental de uma boa relação.

Dispõe o artigo 28 do GDPR que "O contrato ou outro ato jurídico a que se referem os nºs 3 e 4 deve ser efetuado por escrito, incluindo em formato eletrônico". Já a LGPD, em nenhum momento menciona a obrigatoriedade da existência de um contrato, no entanto, é de suma importância utilizar dessa boa prática a fim de proteger os direitos de ambas as partes e atender o artigo 50 da LGPD, que estabelece:

"Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais."

Caso a organização opte por contratar um terceiro para a revisão de seus contratos, há a necessidade de atenção, inclusive com a língua portuguesa, quando do recebimento da proposta: mapear contratos é uma coisa, revisá-los, é outra. Quando alguém se oferece para mapear os contratos, eles serão apenas contabilizados. Quando se fala em revisão, eles serão analisados com relação ao seu conteúdo. Quando se tratar de elaboração, eles serão criados do zero. Sim, pode parecer excesso de zelo, mas já vimos casos práticos, nos quais clientes tiveram problemas justamente por não discutirem os termos usados nas propostas de trabalho.

Agora, pensemos no conteúdo, quando tratarmos sobre privacidade e proteção de dados pessoais. Identificar as partes, ou seja, os agentes de tratamento, é imperioso, com o intuito de definir papéis e responsabilidades.

Dispõe o artigo 42 da LGPD:

"O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§1º A fim de assegurar a efetiva indenização ao titular dos dados:
I – O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador, salvo nos casos de exclusão previstos no artigo 43 desta Lei;
II – Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no artigo 43 desta Lei."

Logo, fica clara a importância da mencionada identificação. É salutar compreender o cenário e as aplicações das leis, para a negociação, elaboração e revisão de contratos. Muitas vezes, realiza-se uma reunião, com muitas pessoas, na qual se discute infinitamente e não se resolve o problema. É imprescindível lembrar que o contrato existe para salvaguardar os direitos de ambas as partes e tudo precisa ser muito.

Também, é salutar trazer a realidade das partes. Quais medidas de segurança já adotaram ou pretendem adotar. Quem deverá responder aos titulares, como atuarão as partes em casos de ocorrência de incidentes de segurança ou violações de dados pessoais etc.

Ainda, uma sugestão valiosa: não utilize as mesmas cláusulas para todos os contratos. Cada um deles tem um objetivo, e não adianta copiar e colar as obrigações. Também, não adianta ser muito sucinto ou se alongar demais. As referidas cláusulas devem corresponder ao que será tratado por aquele instrumento, com texto objetivo, claro e definindo as responsabilidades de cada parte.

Não menos importante é compreender quais legislações, além da LGPD, se aplicam ao instrumento contratual. Não há como cumprir uma lei descumprindo outra! Por esse motivo, é fundamental ter uma tabela de legislações aplicáveis, tal como uma tabela de temporalidade para compreender os prazos de retenção e descarte das informações.

Por fim, mas longe de estudar esse assunto tão deliciado, é válido considerar a possibilidade de alterações, bem como da realização de auditoria, a fim de flexibilizar as cláusulas e demonstrar boa-fé na relação existente.

Autores

Tags:

Encontrou um erro? Avise nossa equipe!