LGPD: ADEQUAÇÃO DOS CONTRATOS

Com o início da vigência da LGPD - Lei Geral de Proteção de Dados - Lei nº 13.709/2018, toda operação que envolva o tratamento de dados pessoais no Brasil estará sujeita à norma.


Conforme havíamos informado no Artigo “ LPGD : Os Primeiro Passos Para Adequar Seu Negócio à Nova Legislação”, entende-se por tratamento de dados toda operação realizada com dados pessoais, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.


Neste artigo, visando a adequação dos contratos à legislação, iremos tratar de algumas recomendações e procedimentos que devem ser adotados pelas empresas.



1. Mapeamento de Tratamento de Dados Pessoais Nos Contratos


Todos os contratos firmados e que serão celebrados, cujo objeto envolva tratamento de dados pessoais, deverão ser separados.


Após a triagem inicial, deverão ser identificados quais os dados tratados pela Empresa, indicando inclusive se existem dados sensíveis ou de crianças.


Art. 5º, II da LGPD - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;


2. Consentimento do Titular Para Tratamento de Dados Sensíveis e De Menores


Com exceção das hipóteses previstas no inciso II do Art. 11 da LGPD, para que ocorra o tratamento de dados, será necessário a inclusão de cláusula ou termo de consentimento do titular, constando, de forma clara, a finalidade, o período e a possibilidade dos dados serem compartilhados com terceiros.


"Art. 11, II da LGPD

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais."


3. Indicação dos Agentes de Tratamento


Ciente dos contratos que possuem tratamento de dados, será necessário identificar quem são os agentes de tratamento.


Tal conduta tem a finalidade de estabelecer as responsabilidades de cada agente, identificar os riscos potenciais e suas respectivas obrigações e deveres.


“Art. 5º da LGPD

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;”


4. Medidas de Segurança


Os instrumentos devem conter medidas de segurança que garantam a inviolabilidade, confidencialidade e integralidade dos dados tratados.


Se possível e, em razão do conteúdo do dado tratado, é aconselhável que sejam tomadas medidas de segurança como: autenticação de acesso; anonimização; pseudonimização; encriptação dos dados.


Art. 5º XI da LGPD - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

Art. 13 § 4º da LGPD - Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro


É ainda aconselhável que cada setor mantenha um inventário dos acessos aos dados e registro de compartilhamento.


5. Previsão de Compartilhamento de Dados


Para que o controle de dados seja mais eficiente, é necessário definir, através dos instrumentos, se as partes estão autorizadas a transferir e/ou compartilhar os dados.


Sendo permitido, a parte será responsável e deverá cuidar para que terceiros alheios à relação contratual garantam o mesmo nível de proteção.


Mesmo não estando previsto no contrato, os dados poderão ser compartilhados nas seguintes hipóteses: cumprimento de obrigação legal ou regulatória; quando necessário para a execução de contrato; exercício regular de direitos em processo judicial; quando necessário para atender aos interesses legítimos de terceiros; dentre outros.


6. Condutas a Serem Adotadas em Casos de Incidentes


Em alguns casos, principalmente quando envolverem o tratamento de dados sensíveis e/ou de menores, é recomendável a elaboração de um plano de ação, contemplando as seguintes condutas:


  • Notificação à parte contendo as informações do incidente;

  • Medidas que serão tomadas;

  • Número de titulares envolvidos

7. Penalidades, Multas e Ação Regressiva


Recomenda-se:


  • Previsão de multas e penalidades pelo descumprimento contratual;

  • Constar expressamente que o descumprimento da Lei Geral Proteção de Dados, poderá ensejar o descumprimento contratual e aplicação de penalidades.

  • Obrigatoriedade de prestar informações perante Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e demais entidades fiscalizadoras.

  • Que o dano causado, de qualquer espécie, pelo descumprimento da LGPD, será ressarcido pela parte, independente da propositura de ação regressiva.


A equipe do Patrick Coutinho Advogados permanece à disposição de clientes e parceiros na busca de soluções personalizadas, sobretudo no processo de adequação à Lei Geral de Proteção de Dados.