Com o início da vigência da LGPD - Lei Geral de Proteção de Dados - Lei nº 13.709/2018, toda operação que envolva o tratamento de dados pessoais no Brasil estará sujeita à norma.
Conforme havíamos informado no Artigo “ LPGD : Os Primeiro Passos Para Adequar Seu Negócio à Nova Legislação”, entende-se por tratamento de dados toda operação realizada com dados pessoais, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Neste artigo, visando a adequação dos contratos à legislação, iremos tratar de algumas recomendações e procedimentos que devem ser adotados pelas empresas.
1. Mapeamento de Tratamento de Dados Pessoais Nos Contratos
Todos os contratos firmados e que serão celebrados, cujo objeto envolva tratamento de dados pessoais, deverão ser separados.
Após a triagem inicial, deverão ser identificados quais os dados tratados pela Empresa, indicando inclusive se existem dados sensíveis ou de crianças.
“Art. 5º, II da LGPD - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
2. Consentimento do Titular Para Tratamento de Dados Sensíveis e De Menores
Com exceção das hipóteses previstas no inciso II do Art. 11 da LGPD, para que ocorra o tratamento de dados, será necessário a inclusão de cláusula ou termo de consentimento do titular, constando, de forma clara, a finalidade, o período e a possibilidade dos dados serem compartilhados com terceiros.
"Art. 11, II da LGPD
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais."
3. Indicação dos Agentes de Tratamento
Ciente dos contratos que possuem tratamento de dados, será necessário identificar quem são os agentes de tratamento.
Tal conduta tem a finalidade de estabelecer as responsabilidades de cada agente, identificar os riscos potenciais e suas respectivas obrigações e deveres.
“Art. 5º da LGPD
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;”
4. Medidas de Segurança
Os instrumentos devem conter medidas de segurança que garantam a inviolabilidade, confidencialidade e integralidade dos dados tratados.
Se possível e, em razão do conteúdo do dado tratado, é aconselhável que sejam tomadas medidas de segurança como: autenticação de acesso; anonimização; pseudonimização; encriptação dos dados.
Art. 5º XI da LGPD - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Art. 13 § 4º da LGPD - Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro
É ainda aconselhável que cada setor mantenha um inventário dos acessos aos dados e registro de compartilhamento.
5. Previsão de Compartilhamento de Dados
Para que o controle de dados seja mais eficiente, é necessário definir, através dos instrumentos, se as partes estão autorizadas a transferir e/ou compartilhar os dados.
Sendo permitido, a parte será responsável e deverá cuidar para que terceiros alheios à relação contratual garantam o mesmo nível de proteção.
Mesmo não estando previsto no contrato, os dados poderão ser compartilhados nas seguintes hipóteses: cumprimento de obrigação legal ou regulatória; quando necessário para a execução de contrato; exercício regular de direitos em processo judicial; quando necessário para atender aos interesses legítimos de terceiros; dentre outros.
6. Condutas a Serem Adotadas em Casos de Incidentes
Em alguns casos, principalmente quando envolverem o tratamento de dados sensíveis e/ou de menores, é recomendável a elaboração de um plano de ação, contemplando as seguintes condutas:
Notificação à parte contendo as informações do incidente;
Medidas que serão tomadas;
Número de titulares envolvidos
7. Penalidades, Multas e Ação Regressiva
Recomenda-se:
Previsão de multas e penalidades pelo descumprimento contratual;
Constar expressamente que o descumprimento da Lei Geral Proteção de Dados, poderá ensejar o descumprimento contratual e aplicação de penalidades.
Obrigatoriedade de prestar informações perante Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e demais entidades fiscalizadoras.
Que o dano causado, de qualquer espécie, pelo descumprimento da LGPD, será ressarcido pela parte, independente da propositura de ação regressiva.
A equipe do Patrick Coutinho Advogados permanece à disposição de clientes e parceiros na busca de soluções personalizadas, sobretudo no processo de adequação à Lei Geral de Proteção de Dados.