Quando nos deparamos com a necessidade de adequação contratual à Lei Geral de Proteção de Dados Pessoais (LGPD), podemos encarar situações que nos levam à alguns pontos de questionamento.
Destes, destacamos alguns que merecem atenção sempre que for necessário rever algum contrato, e até mesmo firmar novos instrumentos, o que não significa que se trata de problemas, mas sim pontos de atenção.
De acordo com Gustavo Tonet Fagundes, advogado e atuante na área de direito digital e proteção de dados, que escreveu com exclusividade para o blog da JusCompliance, os pontos que merecem atenção, portanto, quanto a:
1. Definição do Agente de Tratamento de dados pessoais:
É importante estar ciente de que nem sempre a parte Contratante atuará como Controladora Exclusiva de dados e a Contratada atuará como Operadora de Dados. É perfeitamente possível que na relação contratual ambas as partes atuem como Controladoras, o que é denominado por Controladoria Conjunta.
Estas definições são importantes, pois implicam diretamente nos deveres de cada parte, bem como da responsabilidade pelo tratamento de cada uma.
2. Estipulação de técnicas de proteção mínimas para a preservação dos Dados:
É importante que a parte Contratante disponha de uma Política de Proteção e Privacidade de dados que conte com a estipulação de critérios de proteção do tratamento de dados pessoais, o que contratualmente deve ser referido para que a parte Contratada observe e aplique na sua organização os parâmetros de segurança que a Contratante espera.
De igual forma, é importante que o contrato disponha da obrigação das partes à observância da legislação no que se refere à aplicação de métodos e práticas de segurança mínimas e disponíveis ao mercado, durante o período de tratamento de Dados.
3. Estipulação de responsabilidades por eventuais incidentes:
Como referido anteriormente as partes contratantes podem se adequar de diferentes formas como Agentes de Tratamento. Portanto, a responsabilidade diante de eventual incidente com dados pessoais, além de observar o que dispõe a legislação sobre cada Agente de Tratamento, também é importante que o contrato celebrado disponha sobre o alcance de responsabilidade de cada parte.
4. Estipulação do ciclo de vida dos dados pessoais:
Enfrentamos uma cultura de retenção de informação, com isso é comum que retenhamos dados pessoais de forma indiscriminada e até mesmo sem a devida base legal. Portanto, umas das alternativas é vincular o ciclo de vida dos dados pessoais à vigência do contrato.
5. Responsabilidade pelos dados após o término da relação contratual.
Considerando o ponto acima, mostra-se extremamente relevante que o contrato disponha sobre a responsabilidade pelo tratamento dos dados pessoais que se teve acesso em razão do contrato firmado entre as partes.
Estando explicito que o ciclo de vida dos dados pessoais se encerra em conjunto com o contrato, é importante dispor no instrumento que a responsabilidade pelo tratamento de dados pessoais remanescentes recairá exclusivamente em razão daquele que os mantiver.
Gustavo Tonet Fagundes
Advogado atuante na área de direito digital e proteção de dados