A adequação de um contrato à LGPD vai muito além do que a simples criação de cláusulas-padrão, que não refletem a sua real necessidade de uso das informações dentro daquela relação. Um erro comum das empresas é achar que estão em conformidade com a lei, porque inserem em seus contratos cláusulas gerais sobre o tema.
Thomaz Côrte Real (*)
Contratos são acordos legais que geram direitos e obrigações entre as partes envolvidas. As partes concordam em realizar determinadas ações ou se absterem de outras, em troca de algum benefício ou compensação.
Já, as cláusulas contratuais, são fundamentais para que um contrato seja eficaz e justo. Elas estabelecem as bases para a relação entre as partes envolvidas, garantem que todos os termos do acordo sejam cumpridos de forma adequada e podem abranger uma ampla variedade de temas, como prazo contratual, preço, limitação de responsabilidade, condições de entrega, prazos de execução, propriedade intelectual, confidencialidade e atualmente, deveres e obrigações quanto a proteção de dados pessoais.
A LGPD – Lei Geral de Proteção de Dados Pessoais não requer expressamente a inclusão de cláusulas contratuais ou assinatura de contratos e aditivos específicos para regular atividades de tratamento de dados pessoais. Contudo, essa prática é recomendável e faz parte das medidas administrativas aptas a proteger os dados pessoais de tratamento inadequado ou ilegal.
Mas, o que é preciso analisar antes da inclusão de cláusulas de proteção de dados pessoais em contratos e aditivos?
A primeira análise a ser realizada pelo Controlador dos dados pessoais é verificar se existem dados pessoais tratados no âmbito da relação jurídica que resultará na assinatura do contrato. Assim, é recomendado que a empresa entenda o fluxo de tratamento dos dados pessoais, com a prévia realização do mapeamento de dados pessoais, ou seja, a análise do caminho que o dado pessoal percorre desde o momento em que é coletado pela organização até o seu descarte.
Se não há tratamento de dados pessoais no objeto da relação contratual, não há que se falar na inclusão de qualquer cláusula ou orientação nesse sentido. As partes devem declarar que não tratarão dados pessoais no objeto da relação jurídica estabelecida.
Ocorre, que muitas empresas, algumas na ânsia para atender a legislação, outras, por puro desconhecimento, criam cláusulas padrões, as incluem em minutas contratuais ou aditivos e submetem aos seus fornecedores, parceiros, clientes, empregados etc., sem realizar a devida análise citada e a customização para cada caso concreto.
Obrigações jurídicas desnecessárias
Ao realizarem essa inclusão indiscriminada de cláusulas contratuais que tratam de proteção de dados pessoais, muitas empresas acabam assumindo obrigações e responsabilidades jurídicas desnecessárias e consequentes riscos ao seu negócio, pois se submetem às cláusulas, dispondo sobre proteção de dados pessoais em contratos, cujas atividades de tratamento não envolvem dados pessoais ou, se envolvem, são mínimos.
A área de tecnologia da informação, por exemplo, foi muito impactada pela LGPD, pois é um setor responsável pelo gerenciamento de dados que estão sob responsabilidade de inúmeras empresas, mas, existem alguns serviços que se enquadram no caso em análise, por exemplo:
- Licenciamento de uso de software On-Premises e atualizações: nesse modelo de contratação, o cliente adquire um software padrão, sem customização e o produto é instalado localmente, na infraestrutura do cliente, sem que a licenciante, tenha acesso a quaisquer dados armazenados no software. Aqui, não há uma relação que envolva tratamento de dados pessoais, portanto, não há razão para se fazer constar no contrato cláusulas nesse sentido;
- Suporte técnico: a necessidade de acesso a um dado pessoal para a prestação do serviço de suporte técnico é algo que precisa ser acordado entre as Partes. Em muitos casos, para prover esse serviço, a empresa fornecedora do software apenas acessa o ambiente de teste e, portanto, não realiza a coleta de dados pessoais, para a solução de um eventual problema. Na prática, se a empresa acessar o ambiente de produção, se for responsável por testes nesse ambiente ou for acompanhar, de alguma forma a operação, faz-se imprescindível a delimitação de obrigações, direitos e responsabilidades quanto ao tratamento de dados pessoais.
Assim, no ambiente da Lei Geral de Proteção de Dados e nas relações contratuais, não há uma regra pré-definida – cláusulas padrão – que caibam para todas as relações. As condutas precisam ser analisadas individualmente e dentro de cada cenário.
Por outro lado, se na relação contratual estabelecida houver o tratamento de dados pessoais, a empresa deverá já no primeiro momento, entender quais tratamentos de dados serão abrigados naquela relação contratual, delimitando, assim, a sua posição como Controlador ou Operador de dados pessoais, considerando que a lei prevê obrigações e responsabilidades distintas para cada um dos agentes de tratamento de dados, e consequentemente, incluir cláusulas específicas sobre aquele tratamento de dados ou assinar um aditivo.
Faz-se necessário ainda, identificar qual a base legal que sustenta o tratamento de dados relacionado ao contrato em análise; estabelecer os padrões de segurança mínimos que o Controlador espera do Operador; identificar se o tratamento de dados se submete a transferência internacional de dados; estabelecer a possibilidade ou não do compartilhamento de dados pessoais com terceiros; delimitar procedimentos internos para cumprir as solicitações dos titulares; estabelecer os procedimentos em caso de incidente de segurança; dentre outras previsões contratuais.
Abordagem proativa
A conformidade em proteção de dados é um tema cada vez mais relevante e crucial no mundo dos negócios. Com as leis e regulamentações de proteção de dados em constante evolução, é essencial que as empresas sejam diligentes em garantir a conformidade com as regras e regulamentos aplicáveis, mas tais regras não devem ser um obstáculo para o crescimento e inovação nos negócios. As empresas devem encontrar um equilíbrio entre o cumprimento das normas e a busca por novas oportunidades de negócios, e adotar uma abordagem proativa em relação à proteção de dados para minimizar riscos e garantir a continuidade dos negócios.
A adequação de um contrato à LGPD vai muito além do que a simples criação de cláusulas-padrão, cláusulas estas que não se atêm ao detalhe do tratamento dos dados pessoais estabelecidos naquela relação e, portanto, não refletem a sua real necessidade de uso das informações dentro daquela relação contratual. Achar que se encontra em conformidade com a lei, só porque insere em seus contratos cláusulas gerais sobre a proteção de dados é um erro que comumente as empresas incorrem.
Portanto, fica o alerta, atender a legislação, se adequar as medidas de governança e boas práticas de proteção de dados, não significa engessar negócios, burocratizar relações comerciais com medidas administrativas excessivas e até mesmo desnecessárias, como inserção de cláusulas contratuais em relações que não envolvam tratamento de dados pessoais, o que pode trazer riscos e custos adicionais à operação.
(*) Consultor Jurídico da Associação Brasileira das Empresas de Software (ABES) e sócio do escritório M.A.Santos, Côrte Real e Associados Advogados