A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, com início de vigência em 14 de agosto de 2020, tem por objetivo central a proteção de direitos fundamentais como a liberdade e privacidade e livre desenvolvimento da personalidade da pessoa natural.
Neste contexto a LGPD estabelece regras para o tratamento de dados pessoais, trazendo uma série de princípios, regras e procedimentos a serem seguidos por aqueles que realizam a coleta e tratamento de dados pessoais.
A legislação traz uma definição de dado pessoal como sendo “informação relacionada a pessoa natural identificada ou identificável”, assim temos que todos os dados relacionados com uma pessoa poderão ser considerados como “dado pessoal”, dependendo do contexto, não apenas, o nome, sobrenome ou número de documentos, mas poderá abranger o histórico de compras e crédito de um cliente, ou ainda, salário e benefícios pagos a um empregado, e assim por diante.
No que diz respeito as relações contratuais em geral, em primeira análise pode-se ter a errônea impressão de que não haverá troca de dados pessoais, por exemplo, quando estamos diante de um contrato de fornecimento ou de prestação de serviços entre duas pessoas jurídicas.
Contudo, os cuidados relacionados ao cumprimento da legislação devem ser seguidos em todas as modalidades de contratação, inclusive, quando entre duas pessoas jurídicas, porque inevitavelmente haverá em pequena ou grande medida o troca de dados pessoais entre as partes. Vejamos, alguns exemplos.
Na celebração de contratos entre pessoas jurídicas, uma parte poderá ter acesso a documentos societários da outra parte (contrato social, procurações, estatuto social, entre outros) e tais documentos são fontes de dados pessoais dos representantes legais e procuradores das respectivas pessoas jurídicas.
Ou ainda, no âmbito de um contrato de prestação de serviços de controladoria de acesso ou recepção, a empresa contratada manterá em seus sistemas o registro de entrada e saída com dados pessoais dos empregados, contratados e visitantes da empresa contratante.
Assim sendo, as empresas precisam adequar seus procedimentos e contratação e contratos para atender a LGPD. Vejamos.
Cinco pontos de atenção nas relações contratuais para atender a LGPD:
1. Consentimento expresso e específico para tratamento de dados pessoais
O inciso I, do art. 7º da LGPD determina que o tratamento de dados pessoais somente poderá ser realizado mediante o consentimento pelo titular do dado.
Neste ponto, a lei exige o cuidado por parte das empresas contratantes de que obtenham de terceiros (pessoas físicas) envolvidos na execução do contrato, a expressa e específica autorização para compartilhamento de dados pessoais entre as empresas.
2. Dados necessários para execução do contrato ou procedimentos preliminares de contratação
De acordo com o art. 7º, inciso V da LGPD, se a coleta e tratamento de dados pessoais for necessária para a própria execução do contrato ou para procedimentos preliminares do contrato, por exemplo, análise de crédito, coleta de dados para confecção do contrato, etc, o consentimento expresso não será necessário, contudo, a parte titular dos dados pessoais deve ser uma das partes contratantes.
3. Faça uma auditoria nos contratos em vigor
As empresas devem estar preparadas para entrada em vigor da LGPD realizando uma auditoria nos contratos em vigor, identificando quais os contratos que implicam na coleta, transferência e tratamento de dados pessoais e qual o nível de exposição em cada caso, para então realizar a adequação de seus termos e condições para que atendam a previsão legal.
Deve-se ter especial atenção com os contratos que possuam em seus escopos a troca de dados sensíveis , como contratos de prestação de serviços de medicina e segurança do trabalho, serviços médico-hospitalares, seguro saúde, entre outros.
4. Avalie a empresa com quem está contratando
Todos os fornecedores e prestadores de serviços devem cumprir os requisitos da LGPD, dessa forma, importante avaliar o nível de segurança de empresas que receberão e farão o tratamento de dados pessoais.
Assim, a fase de pré-contratação ganha um elemento adicional, pois, além da validação da idoneidade e regularidade fiscal e jurídica da empresa, a existência de programas de compliance voltados para política anticorrupção, agrega-se a análise da existência e consistência dos procedimentos para o tratamento de dados pessoais, ou seja, um programa de governança de dados.
5. Estabeleça cláusulas contratuais para cumprimento da LGPD
Como a LGPD – Lei Geral de Proteção de Dados prevê a responsabilidade solidária entre controlador e operador de dados pessoais (art. 42), indispensável o cuidado na elaboração das cláusulas contratuais, delimitando as responsabilidades de cada uma das pessoas jurídicas contratantes.
As cláusulas contratuais devem ser redigidas, ainda, com a fixação de regras claras a serem seguidas pelas partes, inclusive, para cooperação e atuação conjunta com caso de questionamento e solicitações por parte de titulares de dados pessoais.
Essas cláusulas devem contemplar, por exemplo:
• dever de cumprimento das obrigações legais, tais como autorização para coleta, processamento e uso do dado e sua finalidade clara e objetiva.
• quais os tipos de dados que serão coletados e tratados no escopo do contrato;
• forma de obtenção e registro do consentimento para tratamento de dados;
• responsabilidade de cada uma das partes na coleta e tratamento de dados;
• a possibilidade de acesso ao dado coletado armazenado, bem como os procedimentos para correção e exclusão por pedido do interessado ou por limite de tempo;
• a auditoria dos dados armazenados, bem como os responsáveis pelo uso, acesso e tratamento dos dados;
• medidas de proteção e segurança dos dados e procedimento em caso de vazamento.
Assegure-se que sua empresa possua contratos adequados e em conformidade com a Lei Geral de Proteção de Dados Pessoais, sendo que uma assessoria jurídica especializada é grande aliada neste momento, pois auxilia tanto na revisão ou elaboração das políticas internas de conformidade e governança de dados, quanto na auditoria, revisão e elaboração dos instrumentos contratuais.
Cristiane Tomaz é advogada, sócia-fundadora do Molina Tomaz, Sociedade de Advogados. Especialista em Direito Administrativo e Mestre em Direitos Difusos e Coletivos. Atua no contencioso, consultoria e assessoria preventiva de demandas judiciais empresariais. [email protected]