Por que os contratos são tão importantes em um programa de conformidade a LGPD?

Roberta Rodrigues Nonato Madureira

Sócia e Head do Departamento de Proteção de Dados LNDN

Todas as organizações que realizam o tratamento de dados pessoais com objetivo de ofertar bens ou serviços, devem estar em conformidade com a LGPD. Inclusive as empresas B2B, possuem parceiros comerciais para a prestação dos mais variados serviços, naturalmente enquadrados como tratamento de dados pessoais.

Na prática, uma única organização não é capaz de realizar todas as atividades que envolvem dados pessoais. Não basta que a sua empresa tenha investido num programa de governança em privacidade interno, caso os dados de clientes sejam compartilhados com outra organização que não possui o tema como pauta e possa expor estes titulares a riscos.

Por isso, é relevante a gestão e revisão documental destas relações também em termos de proteção de dados, acrescidos de outros aspectos, validados por diligências pré-contratuais.  

É recomendável que a contratação ou renovação de contratação seja precedida de um processo de due diligence (diligência prévia), no qual são coletadas informações para subsidiar decisões quanto ao seguimento ou não em determinada negociação. Tal etapa pré-contratual busca entender de que forma o terceiro pode fornecer garantias adequadas aos dados pessoais que for tratar.

Estabelecida a relação com o terceiro, deve estar claro com qual tipo de agente de tratamento se está a lidar: se operador ou controlador. Conforme a ANPD, “a principal diferença entre o controlador e operador é o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador”. O controlador é o principal responsável pelo tratamento, enquanto o operador responderá como controlador excepcionalmente, quando descumprir a lei ou atuar em desconformidade com as instruções lícitas do controlador.

A proteção de dados impactou as relações comerciais, sugerindo que as organizações preocupadas com o respeito à privacidade tendem a fazer negócios apenas com outras que também tenham o tema como pauta, com aptidão a garantir a segurança dos dados pessoais que forem objeto de seus contratos.

Tais relações devem ser gerenciadas de acordo com as cláusulas estipuladas entre as partes, observando-se, dentre outros pontos: o objeto, duração e finalidade do tratamento, o tipo de dados pessoais, as instruções do controlador, a adoção de medidas de segurança, cooperação com o controlador em incidentes e exercício de direitos de titular, a possibilidade de contratar ou não um suboperador, o cumprimento de políticas do contratante, a existência de transferência internacional de dados, a possibilidade de realização de auditoria pelo contratante, o apagamento ou devolução dos dados pessoais, para que seja possível ter um contrato com características de governança em privacidade e proteção de dados.

Quer saber mais? O #LNDN está preparado para auxiliar no entendimento sobre este e outros assuntos importantes.

#leonardonaves #direitodenegocios #LGPD #contratos #protecaodedados #privacidade #duediligence