Neste artigo vamos discutir a importância de se estabelecer cláusulas contratuais com parceiros e fornecedores para garantir que cada parte assuma o seu papel de acordo com as responsabilidades que estão estabelecidas na lei geral de proteção de dados.
A Lei Geral de Proteção de Dados – Lei 13.709/2018 (“LGPD”) regulamenta o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de todas as pessoas.
Esta lei impõe uma obrigação legal aos controladores e operadores de dados e isso se reflete nos contratos entre empresas de forma prática e comercial.
Compreender seu papel em relação aos dados pessoais que é processado é crucial para garantir a conformidade e proteção em relação à Lei Geral de Proteção de Dados (LGPD).
As obrigações da sua empresa variam dependendo do perfil, ou seja, se tratamos com um controlador, controlador conjunto ou até mesmo um operador.
Para determinar se o perfil é de um controlador ou operador, será necessário considerar cada função e responsabilidades em relação às respectivas atividades de processamento de dados.
Quem são os controladores?
Conforme dispõe o artigo 5º, VI, da LGPD, o “controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
O elemento distintivo e determinante para caracterizar o controlador é o seu poder de decisão sobre as finalidades e sobre a forma de tratamento de dados pessoais.
Não é necessário que todas as decisões sejam tomadas pelo controlador, bastando apenas que ele tome as principais decisões relativas aos elementos essenciais para o cumprimento da finalidade do tratamento, como:
a) finalidade do tratamento,
b) definição da natureza dos dados pessoais tratados,
c) duração do tratamento e eliminação dos dados.
Controladores conjuntos
Se dois ou mais controladores determinarem conjuntamente as finalidades e a forma de tratamento dos mesmos dados pessoais, eles são controladores conjuntos.
Neste ponto é importante observar que, nos termos do artigo 42, §1º, II, a LGPD determina que a responsabilidade entre os agentes de tratamento de dados é solidária.
Por esse motivo, quando determinada empresa for realizar um contrato com outra empresa e o objeto do contrato envolver o tratamento e compartilhamento de dados pessoais, é de suma importância estabelecer cláusulas contratuais que deixem bem claras o papel de cada parte em relação à tomada das decisões sobre o uso dos dados pessoais.
Quem são os operadores?
Os operadores agem em nome e somente sob as instruções do controlador. De acordo com o artigo 5º, VII, da LGPD, “operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
A LGPD também define responsabilidades para os operadores de dados pessoais. Cabe ressaltar que esta responsabilidade também é atribuída pela LGPD aos controladores.
Segundo o artigo 42, §1º, I, da LGPD, o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não observar as instruções lícitas do controlador.
Deste modo, ainda que a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, tal ajuste se mostra como uma boa prática de tratamento de dados, uma vez que as clausulas contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas decorrentes da operação.
A importância de definir os papeis
A responsabilidade de reparar os danos causados aos titulares dos dados é solidária entre as empresas que compartilham dados pessoais. Por isso, avaliar a conformidade do fornecedor antes de fazer qualquer contratação é essencial para garantir a segurança da organização e diminuir os riscos das operações relacionados ao tratamento de dados pessoais que são compartilhados com estes fornecedores.
É preciso garantir que cada parte esteja em conformidade com a LGPD, e estabelecer cláusulas para proteger os dados pessoais de clientes, funcionários e terceiros e garantir que ambas as partes sejam claras sobre seu papel em relação aos dados pessoais que estão sendo processados.
Uma mesma empresa poderá́ ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento. Para evitar que sua empresa seja responsabilizada indevidamente, é preciso reservar um tempo para avaliar e documentar as atribuições de cada parte na relação contratual.
Neste sentido, é essencial ter em mãos o mapeamento de processos realizado durante o processo de adequação à LGPD.
Conclusão
Embora a LGPD estipule obrigações diferentes para controladores e operadores, o papel de controlador e operador pode ser definido em obrigações estipuladas em instrumentos legais ou em contrato firmado entre as partes.
Este é o risco de assinar contratos que contenham cláusulas genéricas sobre as responsabilidades em relação à LGPD, sua empresa pode assumir riscos e responsabilidades que não seriam devidas.
O que reforça a importância de passar por todo o processo de adequação em ter bem mapeado todos os processos da empresa.