A nova Lei Geral de Proteção de Dados (LGPD/ Lei nº 13.709/18) entrou em vigor em agosto de 2020 e dispõe sobre o tratamento de dados pessoais, nos meios físicos e digitais, com o objetivo de proteger os direitos fundamentais da liberdade e de privacidade e o livre desenvolvimento da personalidade natural.
Apesar de Constituição Federal, Código Civil e Código de Direito do Consumidor já versarem sobre a matéria, havia a necessidade de haver um marco legal em proteção de dados no Brasil, sobretudo em tempos em que os vazamentos de informações se tornam cada vez mais presentes na vida dos cidadãos brasileiros.
Esse marco regulatório obriga as empresas a revisitarem seus processos e procedimentos de maneira a garantirem um gerenciamento de dados que se atenha aos requisitos de segurança e governança corporativa, em conformidade com a LGPD.
Neste artigo iremos nos ater aos desafios quanto à necessidade de adequação dos contratos comerciais diante das exigências trazidas pela LGPD, mas para isso será necessário um olhar atento, que envolve compreender inicialmente a natureza da relação contratual, já que será ela a base para: 1) entender os tipos de dados; 2) decidir o tratamento que será dispensado às informações; e 3) descobrir quem desempenhará o papel de controlador e operador, agentes de tratamento na relação jurídica.
Aliás, é primordial conceituar os agentes de tratamento que, segundo definição trazida pela LGPD, será controlador a pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referente ao tratamento de dados pessoais.
Já o operador de dados é a pessoa física ou jurídica, de direito público ou privado, que recebe os dados e realiza o tratamento de dados em nome do controlador [1]. Esse é um importante ponto a ser visto, eis que a responsabilidade é delimitada pela lei de acordo com os papéis desenvolvidos por cada agente e, quanto ao operador, a lei o coloca na qualidade de responsável solidário quando não atende às instruções do operador, desde que lícitas [2].
A LGPD não trouxe qualquer menção ao documento que deve ser celebrado entre as partes para adequação às regras por ela impostas, diferente da General Data Protection Regulation (GDPR), lei de proteção de dados da União Europeia, que instituiu o Data Processing Agreement (DPA) [3], que tem como objetivo estabelecer os direitos e obrigações de cada player em relação à proteção de dados pessoais.
Dessa forma, caberá a cada envolvido avaliar a complexidade dos dados que serão tratados e, a depender do caso, formalizar o contrato/aditivo de modo a regular as especificidades da relação, garantindo que as partes estejam tratando os dados de maneira adequada e atendendo a todas as medidas de segurança, inclusive se há transferência de dados internacionalmente, ponto de extrema relevância.
Dessa forma, apesar de ser necessário analisar a especificidade de cada caso, existem pontos primordiais em qualquer relação e que a partir deles deverá ser desenhado o contrato. São eles: 1) conceito do controlador e operador; 2) definição dos papéis dos agentes de dados; 3) obrigações de cada agente; 4) estabelecer as regras de compartilhamento de dados com terceiros, inclusive se há ou não transferência internacional de dados; 5) estabelecer claramente a finalidade de uso das informações; 6) destinação dos dados após término da relação.
Muito ainda teremos a acrescentar, mas é importante pensar que essa adequação aos contratos, além de necessária para evitar aplicação de sanções administrativas — que vai de advertência a multa de R$ 50 milhões —, pode ser um grande instrumento de competitividade de modo a garantir segurança ao titular de dados, segurança essa que se apresenta cada vez mais escassa atualmente.
[1] "Artigo 5º - Para os fins desta Lei, considera-se: (...) VI — controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII — operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador".
[2] "Artigo 42 - (...) I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no artigo 43 desta Lei".
