Entenda a importância de identificar os agentes de tratamento da LGPD em seus contratos
Muito se fala na Lei Geral de Proteção de Dados (LGPD) atualmente. No entanto, muitas disposições da lei são de difícil compreensão e acabam fazendo com que o empreendedor e, até mesmo advogados, entrem num limbo de dúvidas sobre o que fazer para se adequar à nova lei. Assim, um ótimo ponto de partida são seus contratos. Eles são um dos ativos mais importantes de qualquer negócio e, por isso, eles não podem ficar de fora de uma análise profunda de risco à luz da LGPD.
Dessa forma, a correta definição do seu papel, como controlador ou operador, dentro do contrato é fundamental.
Então, vamos começar do básico.
O que diz essa tal de LGPD?
Se você é uma pessoa física ou jurídica que utiliza dados pessoais em seus processos, a LGPD traz uma gama de obrigações para que esses dados pessoais, sejam eles de seus clientes, colaboradores, etc, sejam preservados.
Ao contrário do senso comum, a nova lei, em vigor desde setembro de 2020, não veio trazer entraves aos negócios, mas sim garantir segurança jurídica ao empreendedor, uma vez que prevê um leque de possibilidades para justificar o tratamento de dados pessoais feito dentro da sua empresa.
E se você pensa que somente setores de tecnologia precisarão se adequar, aí que você se engana. A lei abarca desde fornecedores de matéria prima até bureau de dados. De dados em papel armazenados naquela gaveta esquecida do escritório até seus arquivos digitais.
O descumprimento à LGPD pode ser justificativa para que você enfrente um processo e/ou sofra com sanções severas pelas autoridades públicas. O art. 52, II, por exemplo, prevê a aplicação de multa, cujo valor pode atingir até 2% do faturamento da pessoa jurídica ou até R$50.000.000,00 (cinquenta milhões de reais) por infração.
De maneira geral, para evitar essas sanções e se adequar, sua empresa precisa (i) identificar todos os fluxos de dados dentro da organização; (ii) identificar riscos; (iii) definir um plano de ação; (iv) implementar uma cultura abrangente de proteção de dados através de políticas internas e externas, (v) treinamentos; e, por último, mas não menos importante (v) revisão de documentos.
E falando em revisão de documentos, é justamente neste ponto que quero tocar hoje.
Uma das tarefas mais importantes para garantir a conformidade com a LGPD é a revisão abrangente dos contratos entre as empresas, seus clientes e fornecedores. Para muitas organizações, isso pode ser uma tarefa difícil e requer atenção cuidadosa para garantir que esses contratos sigam as políticas internas, estejam em linha com a estratégia corporativa e atendam à LGPD e outros requisitos regulatórios.
Perguntas que você precisa se fazer
1 Faz diferença se eu sou controlador ou operador?
A LGPD traz duas figuras importantíssimas para que possamos minutar contratos, são eles os agentes de tratamento: controlador e operador de dados pessoais. Vamos ao que diz a lei:
Art. 5º VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria
Simples não?! Não!
Muitos profissionais, empresas e órgãos públicos ainda confundem os papéis dos agentes de tratamento e acabam metendo os pés pelas mãos.
Para não cometer os mesmos erros, você precisa determinar corretamente seu papel na relação justamente para não assumir responsabilidades que não são suas. Nas palavras de Matheus Sturari:
“A correta qualificação do agente de tratamento é crucial para a responsabilização e aplicação das disposições legais. Os graus de responsabilidade de Controlador e Operador mostram-se, na realidade, bastante distintos, no sentido de que a lei impõe maiores responsabilidades e obrigações ao Controlador do que ao Operador.” (STURARI, Matheus. Contratos e Proteção de Dados. 2020)
Com base nesse princípio fundamental, um controlador de dados inevitavelmente desejará transferir o máximo de carga possível para o operador de dados, vendo isso como uma oportunidade de delegar suas responsabilidades.
Por outro lado, como operador de dados, você deseja que o controlador seja totalmente responsável pela conformidade com a lei e não aceitará nenhuma responsabilidade adicional de conformidade além das impostas diretamente pela LGPD.
Assim, o contrato precisa ser o reflexo fiel do que acontece entre os agentes de tratamento, servindo como balança de riscos para sua empresa. Vejamos o que diz o art. 42, § 1º da LGPD:
Art. 42, § 1º A fim de assegurar a efetiva indenização ao titular dos dados: I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
Imagine a seguinte situação: Em determinado contrato, você reconhece sua empresa como operadora de dados e ela, em hipótese excepcional, responderá pelo tratamento irregular de dados quando descumprir a LGPD ou não seguir as instruções do controlador. É isso que diz o art. 42, § 1º.
Agora visualize que, na mesma situação, você negociou uma cláusula no contrato que sua empresa – operadora – somente poderia ser responsabilizada em até R$1.000,00 (mil reais). O cenário muda. Mesmo respondendo solidariamente perante o titular, caso a indenização ultrapasse o valor da cláusula de limitação de responsabilidade, isso garantirá que você cobre o excedente do controlador de dados pessoais.
A depender do valor da indenização dada pelo juiz, uma cláusula de limitação de responsabilidade pode salvar a vida do seu negócio.
“Dr, ainda não consigo identificar se sou controlador ou operador de dados pessoais.”
Vou simplificar um pouco mais trazendo alguns standards de Autoridades de Proteção de Dados ao redor do mundo:
Como identificar se você é um controlador:
- Você toma decisões importantes sobre o tratamento de dados;
- Dá opiniões profissionais ou consultorias ao tratar dados;
- Decide sobre: quais dados coletar, a finalidade do tratamento, de quais indivíduos essa coleta será feita;
- Obtém ganho sobre o tratamento;
- Seu colaboradores são os titulares de dados;
- Possui relacionamento direto com o titular de dados pessoais;
Aqui eu trago o exemplo do exercício da advocacia como atividade de controlador de dados. O advogado (i) tem liberdade de decidir se coletará mais ou menos dados para traçar determinada estratégia processual ou para prestar consultorias; (ii) possui relacionamento direto com o cliente; e (iii) obtém benefício direto sobre o tratamento.
Como identificar se você é um operador:
- Não possui interesse direto no resultado do tratamento;
- Não decide quais dados coletar dos titulares
- Segue instruções de outra pessoa sobre o tratamento de dados;
- Não decide sobre o período de retenção dos dados pessoais;
- Coleta dados a mando de terceiro ou recebe ordens para coletar dados;
- Não possui poder decisório sobre as bases legais utilizadas para justificar o tratamento;
- Não decide sobre compartilhamento de dados
Cito como exemplos de operadores os serviços de telemarketing, de nuvem, de programas de gestão de escritório, de administração de folha de pagamento, etc.
Desde já, informo que as definições não são estáticas. Em alguns contratos, você pode figurar como controlador e, em outros, como operador de dados. Por isso a importância de uma análise caso a caso por um profissional especialista para traçar as estratégias adequadas para cada situação.
Até o momento, creio eu que você já tenha se identificado como controlador ou operador de dados.
Agora, vamos falar sobre outras questões importantes na temática contratual.
2 Eu não formalizo as relações do meu negócio através de contratos. Isso é um problema?
Ignorando as questões mais gerais de não se ter um acordo por escrito e se concentrando puramente nos elementos da proteção de dados, a resposta é ‘depende’. Se você contratar um operador para tratar quaisquer dados pessoais (incluindo dados básicos como o nome de um indivíduo e detalhes de contato) em seu nome, como ocorre quando você contrata um software de gestão de escritório. Ou se for um operador agindo sob as instruções de um controlador, como uma empresa de telemarketing, deve haver um breve acordo por escrito.
Se você empreende e negligencia seus contratos, sugiro que você interrompa esta leitura e leia meu artigo anterior sobre a importância dos contratos em um negócio.
Clique aqui para acessá-lo!
3 Ok, vou confeccionar um contrato por escrito se for necessário, mas ele pode abranger apenas a cláusula de dados?
Sim, em teoria. O resto do contrato pode ser não escrito, se você quiser (embora haja riscos mais amplos associados a não confecção de um contrato por escrito).
Se até aqui você não não se convenceu da necessidade de formalização dos seus documentos, volte à pergunta anterior e leia o texto sugerido.
4 Todo contrato deve conter uma cláusula sobre proteção de dados?
Não. Somente contratos onde há fluxo de dados de uma parte para outra e a relação entre as partes é de controlador e operador de dados pessoais.
No próximo artigo, irei esclarecer quais os riscos estão atrelados na qualificação como controlador ou operador de dados e como gerir tais riscos através de cláusulas específicas no seus contratos.
Caso não tenha compreendido algum ponto deste artigo ou queira continuar conversando sobre o tema, entre em contato pelo e-mail: alexandreaglaw@outlook.com.
Leia também:
Empreendedor, fugir da burocracia jurídica pode arruinar o seu negócio
Me siga no JusBrasil para receber notificações sobre os próximos artigos
Se você achou este texto útil, clique em “👍“ e recomende para mais pessoas
via: https://alexandreaglaw.jusbrasil.com.br/artigos/1205654082/contratos-voce-e-um-controlador-ou-operador-de-dados-pessoais