Desde agosto de 2020, com a entrada em vigor da Lei nº 13.709/2018, conhecida como LGPD (Lei Geral de Proteção de Dados), as empresas passaram a dar máxima prioridade à adaptação de suas atividades e políticas internas para cumprir as disposições desta nova legislação. Isso incluiu a realização de do mapeamento das atividades de tratamento, a implementação de programas de privacidade e a condução de treinamentos para os colaboradores.
A gestão de contratos desempenha um papel central nas operações empresariais, uma vez que os contratos são ferramentas cruciais para a condução de transações legais. É imperativo que esses contratos estejam em total conformidade com a LGPD, a fim de assegurar o devido respeito às normas que protegem os titulares dos dados pessoais envolvidos nas relações contratuais.
Consequentemente, observamos uma crescente tendência na celebração de aditivos contratuais e na elaboração de novos contratos que incorporam cláusulas relacionadas à LGPD. O objetivo é estabelecer direitos e responsabilidades de forma transparente para todas as partes envolvidas, além de definir as regras que devem ser seguidas no tratamento de dados pessoais no âmbito do cumprimento dos contratos.
Devido à ainda incipiente regulamentação da LGPD pela Autoridade Nacional de Proteção de Dados (ANPD), dada a novidade da legislação, tem-se buscado orientação nas melhores práticas adotadas na União Europeia sob o GDPR (Regulamento Geral de Proteção de Dados). Adicionalmente, uma análise minuciosa do próprio texto da LGPD tem sido conduzida para identificar as cláusulas que devem ser incorporadas nos contratos, a fim de abordar de forma abrangente todos os aspectos pertinentes à proteção de dados.
A seguir, apresentamos os tópicos mais relevantes a serem levados em conta em contratos relacionados à privacidade e à proteção de dados, considerando as melhores práticas e a LGPD.
Agentes de tratamento: É fundamental estabelecer a posição das partes como controladores ou operadores de dados pessoais, pois a lei atribui responsabilidades diferentes a cada um deles. O controlador toma as decisões sobre o tratamento de dados, enquanto o operador realiza o tratamento em nome do controlador, seguindo suas instruções. O contrato deve também abordar a possibilidade de controladoria conjunta e a figura do sub-operador, quando aplicável.
Medidas de segurança: A LGPD exige que os agentes de tratamento adotem medidas de segurança técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, acidentes e tratamento inadequado. Exemplos incluem mecanismos de autenticação, anonimização, pseudonimização e criptografia dos dados. O contrato deve incluir essas medidas e estipular as responsabilidades em caso de descumprimento.
Compartilhamento de dados: Para cumprir os contratos, muitas vezes é necessário compartilhar dados pessoais com terceiros não envolvidos no contrato. O contrato deve estabelecer regras para o compartilhamento, como a definição se as partes estão ou não autorizadas a compartilhar dados pessoais com terceiros, notificação prévia ou obtenção de consentimento, quando necessário, e garantir que terceiros apliquem medidas de proteção adequadas.
Direitos dos titulares: As partes devem estabelecer procedimentos internos para atender às solicitações dos titulares de dados pessoais dentro dos prazos legais. Isso inclui acesso, correção, anonimização, exclusão e outros direitos previstos na LGPD. O contrato pode estabelecer regras de cooperação mútua para o cumprimento desses direitos.
Incidentes de segurança: As partes devem definir procedimentos detalhados para lidar com incidentes de dados pessoais, incluindo planos de resposta e remediação. Um incidente ocorre quando ocorre um tratamento inadequado ou ilegal de dados pessoais que compromete sua segurança, expondo-os a acessos não autorizados ou situações acidentais ou ilegais de destruição, perda ou alteração.
Auditoria: O contrato pode estabelecer a realização de auditorias para verificar o cumprimento das regras contratadas. A empresa auditada deve fornecer suporte para que a equipe de auditoria conduza as análises necessárias.
Penalidades e multas: Com o objetivo de incentivar o cumprimento das obrigações, o contrato pode determinar penalidades em caso de descumprimento das disposições de proteção de dados, como a possibilidade de rescisão do contrato, além das sanções administrativas previstas na LGPD.
Comunicações: Considerando a necessidade de nomear um Encarregado de Proteção de Dados (DPO) conforme exigido pela LGPD, o contrato pode incluir os dados de contato do DPO quando aplicável.
Retenção e exclusão de dados: Ao final da relação contratual, o contrato deve estabelecer como os dados pessoais serão devolvidos ou excluídos, respeitando as retenções necessárias de acordo com a legislação.
Esses tópicos refletem as boas práticas de governança e têm o objetivo de auxiliar as partes no cumprimento da LGPD em relação ao tratamento de dados pessoais em contratos.
À medida que a lei continua a moldar a paisagem da proteção de dados no Brasil, é essencial que as empresas estejam bem-preparadas e atentas às suas obrigações contratuais, garantindo a segurança e a privacidade dos dados pessoais dos titulares. Ao adotar essas práticas, as empresas podem não apenas cumprir as regulamentações, mas também estabelecer relações comerciais mais confiáveis e transparentes.
A NowCy é especialista em GRC (Governança, riscos e compliance) e pode ajudar a sua empresa a elevar seu nível de maturidade em conformidade e Segurança da Informação.
Quero conhecer o GRC NowCy!
Autoria do artigo: Milene Yamamura.
Perfil do Autor
Últimas Postagens
- Firewall4 de setembro de 2024Firewall FortiGate é solução “Escolha dos clientes” no Gartner Peer Insights
- SentinelOne30 de agosto de 2024Endpoint SentinelOne é solução “Escolha dos clientes” no Gartner Peer Insights
- Cibersegurança2 de agosto de 2024Sentinel One: Segurança em nuvem | Elimine falsos positivos
- Cibersegurança24 de junho de 2024Zscaler Zero Trust Exchange alcança Classificação AAA no Teste SSE da CyberRatings 2024