Contratos que envolvam o tratamento de dados pessoais devem conter cláusulas visando regulamentar a atuação das partes contratuais.
Quais os pontos que a LGPD tenta regulamentar em relação ao tratamento de dados?
A LGPD já está em vigor desde setembro de 2020. No entanto, carece de regulamentação quanto a detalhes sobre a aplicação efetiva da proteção de dados pessoais. Se tomarmos como exemplo a União Europeia e sua lei de proteção de dados (GDPR), veremos que, apesar de muito mais detalhada que a LGPD, ela, ainda assim, conta com diferentes normativas para complementar a regulamentação.
Decisões da Comissão Europeia, normativas estatais da autoridades nacionais, leis nacionais, e códigos de conduta, além de certificações e selos propostos por agentes privados, servem como base para o tratamento dos dados pessoais.
Como se vê, nem sempre uma legislação consegue abarcar todos os pontos para regulamentar com efetividade os direitos que se quer proteger. Por essa razão, é que se mostra evidente a importância dos contratos entre partes, seja operador, seja controlador.
LGPD e Cláusulas que envolvem o tratamento de dados pessoais
Contratos que envolvam o tratamento de dados pessoais devem conter cláusulas visando regulamentar a atuação das partes contratuais, especialmente visando:
(i) delimitar claramente os papéis que cada parte exercerá no tratamento de dados pessoais, o que impacta diretamente nas responsabilidades de cada um de acordo com a lei;
(ii) atender o princípio da responsabilização e prestação de contas, consistente não apenas em cumprir disposições da LGPD, mas demonstrar que a lei é efetivamente cumprida;
(iii) aumentar a segurança jurídica às partes envolvidas, inclusive prevendo possíveis penalidades contratuais diante do descumprimento da lei, sem prejuízo de reparação de danos.
A LGPD estabelece cláusulas padrão?
Embora a LGPD não estabeleca de forma específica o que deve constar nos contratos envolvendo o tratamento de dados pessoais, podemos tomar como exemplo a orientação da Information Comissioner`s Office (ICO), a autoridade nacional do Reino Unido, que, em seu guia para adequação ao GDPR.
São indicadas as seguintes cláusulas básicas, a serem inseridas em contratos que envolvam o tratamento de dados pessoais:
(i) objeto e duração do tratamento;
(ii) natureza e finalidade do tratamento;
(iii) os tipos de dados pessoais e de categorias de titulares envolvidos;
(iv) direitos e obrigações das partes.
Sempre bom lembrar, também, que há distinções entre os agentes de tratamento de dados. O controlador tem uma responsabilidade com maior peso jurídico, na medida em que cabe a este definir a finalidade do tratamento de dados, avaliar seu enquadramento nas bases legais previstas na lei.
Além de acompanhar o ciclo de vida dos dados e realizar ou determinar a exclusão dos dados quando do término do tratamento. Assim como, comunicar à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, dentre outras atribuições.
Por sua vez, o operador realiza o tratamento de dados em nome do controlador, de acordo com e nos limites das determinações deste.
Importante destacar que a LGPD estabelece em seu art. 42 que os agentes de tratamento de dados que estiverem diretamente envolvidos no tratamento de dados do qual decorram os danos aos titulares respondem solidariamente por tais danos.
Resta, portanto, ao agente de tratamento condenado a reparar o titular de dados por eventual dano sofrido, cuja responsabilidade possa ser atribuída a outro agente envolvido no tratamento, buscar a reparação junto à parte responsável por meio de ação regressiva. Assim, é recomendável que contratos entre controladores ou entre operadores e controladores prevejam expressamente o direito de reparar a parte que suportar os prejuízos, por danos ocasionados pela outra parte.
Sobre a segurança da informação, mais especificamente, a LGPD não dispõe de maiores detalhes quanto aos requisitos técnicos de segurança a serem adotados na relação controlador-operador. Todavia, a norma ISO 27.701 (extensão das normas ISO 27.001 e ISO 27.002, recomenda que as organizações mantenham contrato escrito com os operadores de dados pessoais por ela utilizados, implementando, os controles apropriados previstos no Anexo B da norma.
Visto tais considerações, mostra-se imprescindível que os agentes de tratamento de dados contenham contratos devidamente redigidos com o intuito de estabelecer as regras em relação à privacidade e à proteção de dados, visando minimizar os riscos da relação e garantir a privacidade dos titulares de dados.