Bruna Froes de Oliveira
Matheus Rezende Bueno
Inserir cláusulas sobre proteção de dados pessoais em contratos é uma tendência que está se consolidando no Brasil. Cada vez mais se torna comum que os instrumentos contratuais contenham um capítulo ou anexo inteiro dedicado a proteção de dados. Muito embora a LGPD (Lei Geral de Proteção de Dados) por si só não determine a adequação dos contratos, essa é uma prática recomendável, pois a contratação é o momento oportuno para as partes estabelecerem os deveres e responsabilidades quanto à proteção dos dados pessoais, inclusive para que o Controlador forneça suas instruções (lícitas) ao Operador (Art. 39, LGPD). Veja abaixo cinco erros comuns na hora de adequar um contrato à LGPD:
1) Não analisar o objeto do contrato
Logo no art. 1º da LGPD está escrito: “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” O art. 4º, por sua vez, complementa o art. 1º ao trazer hipóteses em que a legislação não é aplicável.
Como se depreende da leitura da lei, ela é aplicável quando, e se, estivermos diante de uma atividade de tratamento de dados pessoais. Diferente de outras legislações, como a Lei 12.846/2013 (Lei Anticorrupção), a LGPD está intrinsecamente ligada à natureza da atividade desempenhada.
Na hora de adequar um contrato à LGPD, portanto, o primeiro passo é entender o objeto e se ele implica em atividade de tratamento de dados pessoais. Essa é uma etapa fundamental para que o instrumento contemple cláusulas que façam sentido para relação jurídica, principalmente se considerarmos que em muitos casos as partes não possuem como principal função atividades de tratamento de dados pessoais.
2) Não classificar as partes enquanto agentes de tratamento de dados
Se o contrato tem como escopo o processamento de dados pessoais, ou dele decorra um tratamento relevante, faz-se necessário estabelecer de forma clara as responsabilidades de cada parte quanto ao cumprimento da legislação. Para tanto, é preciso compreender o papel desempenhado por cada lado, sobretudo enquanto agentes de tratamento (controlador, operador, sub-operador ou cocontroladores), uma vez que a legislação define diferentes obrigações conforme a referida qualificação.
Para que não pairem dúvidas sobre o grau de responsabilidade, bem como as obrigações de cada parte, é importante que a classificação dos agentes de tratamento seja definida desde logo no instrumento contratual, ao menos no que diz respeito às atividades principais.
3) Reproduzir dispositivos legais de forma indiscriminada
É muito comum no Brasil que os contratos reproduzam textos legais, mas na era da simplificação do direito e do visual law, essa prática deve ser repensada, principalmente porque a aplicação da lei independe de previsão em contrato.
Deve-se ter em mente que o problema não está em reproduzir alguns dispositivos legais, mas fazer isso de forma indiscriminada, sem se atentar às especificidades de cada instrumento. No caso de cláusulas de proteção de dados, como dito anteriormente, uma vez definida a classificação das partes enquanto agentes de tratamento, a própria lei estabelece obrigações específicas para cada agente, no entanto, vale disciplinar em contrato alguns deveres que podem ser compartilhados ou ainda que possam suscitar dúvidas.
Um exemplo disso é o protocolo de atendimento aos direitos dos titulares. Conforme se depreende do art. 18, o dever de atendimento de direitos previstos na LGPD compete ao controlador. Em uma relação entre operador e controlador, no entanto, nada impede que o controlador permita ao operador a recepção e até atendimento das solicitações em seu nome ou, do contrário, proíba de forma cabal o atendimento do titular de forma direta pelo operador. Já em uma relação entre dois controladores, as partes podem dividir essa obrigação conjuntamente, atuar de forma independente (cada um atendendo individualmente os titulares) ou ainda estabelecer que apenas uma das partes receba as solicitações relacionadas ao contrato.
Veja, portanto, que uma obrigação prevista na lei pode ser cumprida de diferentes modos na prática e para esses casos faz sentido discipliná-la em contrato, sem obviamente reproduzir indiscriminadamente o texto legal.
4) Listar medidas técnicas e administrativas para segurança dos dados pessoais
Sabe-se que a tecnologia está em constante evolução e isso não é diferente com as relações contratuais, que estão cada vez mais sofisticadas e dinâmicas. Nesse contexto, os instrumentos contratuais funcionam muito mais como uma moldura para as relações jurídicas, estabelecendo os limites de atuação das partes, do que uma lista prescritiva determinando exatamente o que cada um deve fazer.
Embora possa parecer de bom tom estabelecer medidas técnicas e administrativas para proteção dos dados pessoais em contrato, certo é que em pouco tempo previsões nesse sentido podem se tornar obsoletas. Tanto é assim que a própria legislação não cuidou de estabelecer quais medidas controladores e operadores devem aplicar em suas atividades, mas estabeleceu princípios a serem observados, deixando a cargo da ANPD (Autoridade Nacional de Proteção de Dados) regulamentar padrões técnicos mínimos para segurança da informação (art. 40, LGPD).
É certo que a depender da relação contratual, muitas vezes se faz necessário a definição de padrões mínimos para proteção de dados, no entanto, o que se busca esclarecer é que tais medidas não devem ser reproduzidas em contrato, considerando a rapidez com que a tecnologia se desenvolve e o ônus/morosidade de aditamentos contratuais. Como solução, as partes podem estabelecer medidas técnicas mínimas em documentos apartados ao contrato, cuja atualização seja facilitada.
5) Adotar cláusulas padrão simplificadas ou extensas demais e não admitir qualquer alteração
Sabemos que nem sempre é viável personalizar as minutas contratuais conforme especificidades de cada contrato – melhor dos mundos. Por isso, é comum encontrarmos minutas padrão que não admitem qualquer tipo de alteração ou ajuste.
Se esse for o seu caso, cuidado com a adoção de cláusulas simplificadas ou extensas demais.
Inserir uma única cláusula de respeito à legislação, além de não acrescentar nada ao contrato, não confere qualquer tipo de segurança jurídica às partes. De outro lado, adotar um modelo extenso (muitas vezes com mais de 20 cláusulas) sem qualquer vínculo ao objeto do contrato pode ser prejudicial, seja porque estabelece obrigações sem qualquer aplicabilidade prática seja por abrir margem a interpretações equivocadas quanto ao cumprimento da legislação.
Nesses casos, portanto, a dica é buscar o equilíbrio. Não há problema em adotar cláusulas padrão de proteção de dados, mas elas devem ser aplicáveis quando de fato houver alguma atividade de tratamento de dados, possibilitando ainda que as partes, de comum acordo, disciplinem o tema durante a execução do contrato.
A LGPD veio, sem dúvidas, para chacoalhar as relações sociais. Devemos ter em mente, no entanto, que a adequação dos contratos à legislação não deve ser um fim em si mesmo, senão refletir o compromisso das partes quanto à privacidade e proteção de dados pessoais. Assim, mais do que estabelecer cláusulas contratuais, o que de fato importa – e pode ser objeto de fiscalização – é o atendimento aos princípios e requisitos legais na prática, ou seja, no dia a dia. Por esse motivo, antes de sair adequando contratos, assegure-se que suas relações com parceiros, fornecedores e outros terceiros respeitem a privacidade e proteção dos dados pessoais.
