Por Lucélia Bastos Gonçalves Marcondes, advogada associada no Rücker Curi Advocacia e Consultoria Jurídica
Ainda que adequar os contratos empresariais ao que dispõe a Lei Geral de Proteção de Dados Pessoais (LGPD) não seja uma tarefa das mais difíceis, muitas empresas estão padecendo pela contratação de profissionais que se dizem especialistas ou entendidos de privacidade e proteção de dados, mas que na realidade pouco conhecem ou nada sabem sobre o assunto.
A elaboração do clausulado de proteção de dados vai além da aplicação do “modelinho”, deve refletir o processo que de fato está envolvido na relação contratual e considerar corretamente os dados que serão tratados. Para isso, realizar o inventário dos dados é uma tarefa fundamental.
Com o registro das operações de tratamento de dados pessoais, obrigação estabelecida pelo artigo 37 da LGPD, é possível identificar em que posição a empresa figura como agente de tratamento, se controladora ou operadora.
Empresa controladora dos dados
Sendo a empresa considerada controladora no processamento dos dados pessoais, ela responderá por todo o tratamento, inclusive em relação aos terceiros envolvidos. Por isso, o conteúdo das cláusulas apresentará maior rigor em relação a um operador de dados pessoais.
Neste último caso, a prestação de serviços ou o fornecimento de produtos estará atrelada à manipulação de dados pessoais de clientes ou empregados, como ocorre com uma organização que contrata os serviços de uma empresa de tecnologia da informação, por exemplo. O primeiro é o controlador e o último o operador dos dados.
Tais cláusulas devem considerar, acima de tudo, as condições para o tratamento, o dever de confidencialidade de todas as informações compreendidas no ambiente do operador, o dever de cooperação à resposta aos titulares, principalmente quanto aos direitos do artigo 18 da LGPD, tratativas a serem tomadas quanto à ocorrência de incidentes, o que fazer com os dados ao final da relação contratual, entre outras previsões específicas do pacto comercial.
Empresa operadora dos dados
Por outro lado, se a empresa que está redigindo o contrato figurar como operadora, será importante apontar que todo o tratamento será realizado conforme as instruções do controlador. É necessário lembrar que a organização qualificada como operadora de dados pessoais não responderá diretamente às solicitações dos titulares. Caso tenha ciência de algum requerimento, deverá informar imediatamente ao controlador.
Nos eventos em que o operador descumprir as obrigações impostas pela LGPD ou outras normas de proteção de dados, fugir da finalidade estabelecida em contrato ou deixar de seguir as instruções lícitas do controlador, será equiparado a este e responderá diretamente pelo processamento a que estiver envolvido. Por isso, cabe aqui a devida atenção tanto quanto à parte jurídica da adequação, como à questão tecnológica, visto que também é dever do operador adotar todas as medidas de segurança, técnicas e administrativas que estejam ao seu alcance para proteger os dados pessoais.
Em uma terceira situação, quando os agentes estiverem diretamente envolvidos no tratamento do qual decorram danos ao titular de dados, serão considerados ambos controladores. Neste caso a responsabilidade será solidária e as cláusulas contratuais devem estabelecer de forma muita clara o limite do tratamento dos dados de cada uma das partes. Trata-se na verdade de um acordo de compartilhamento de dados pessoais.
O clausulado entre controladores deverá conter o motivo de o compartilhamento ser necessário para atingir os objetivos propostos, os benefícios que se espera trazer aos indivíduos ou à sociedade, os procedimentos para a inclusão de organizações adicionais no acordo, como proceder para a retirada de alguma delas e demais situações de acordo com o inventário dos dados.
Em qualquer dos casos, sendo controlador ou operador, é recomendável a inserção do compromisso com as normas relativas à privacidade e proteção de dados. A caracterização do agente de tratamento é crucial para a construção de cláusulas adequadas em um contrato empresarial. Identificar o papel da organização, se controladora ou operadora de dados, nem sempre é fácil quando não se tem conhecimento das responsabilidades apontadas pela LGPD e do ambiente organizacional da instituição. Por isso, é prudente que esse trabalho seja realizado por uma equipe especializada e com ampla experiência no assunto.