Adequação de Contratos e a LGPD- Entendendo o Fundamento

A Adequação de Contratos refere-se ao processo de ajustar, revisar ou modificar contratos existentes para garantir conformidade com leis, regulamentações ou mudanças nas circunstâncias que possam afetar as relações contratuais.

No contexto da LGPD e da GDPR a Adequação de Contratos envolve especificamente a revisão e a inclusão de Cláusulas relacionadas à Proteção de Dados Pessoais, pois ambas, estabelecem regras rigorosas sobre como as organizações devem tratar as informações pessoais dos indivíduos, visando proteger a privacidade e a integridade desses dados.

Objetivo da Adequação de Contratos

A Adequação de Contratos à LGPD e GDPR, tem como objetivo principal garantir que as Cláusulas Contratuais estejam em conformidade com as disposições legais relacionadas à Privacidade e Proteção de Dados Pessoais.

Os principais objetivos da adequação de contratos incluem:

1- Conformidade Legal: Assegurar que os contratos estejam em conformidade com as exigências legais estabelecidas pela LGPD e GDPR.

Isso envolve a inclusão de cláusulas e disposições que respeitem os princípios e direitos fundamentais previstos na legislação.

2- Proteção dos Direitos dos Titulares dos Dados: Garantir que os contratos estabeleçam mecanismos para proteger os direitos dos titulares dos dados, incluindo o direito à privacidade, consentimento informado e ações em caso de violação de dados.

3- Responsabilidades Claras: Definir claramente as responsabilidades do controlador e do operador de dados pessoais, conforme definido pela Lei.

Isso inclui estabelecer quem toma as decisões sobre o tratamento de dados e quem realiza efetivamente essas operações.

4- Segurança da Informação: Incluir cláusulas que abordem medidas de segurança adequadas para proteger os dados pessoais contra acessos não autorizados, vazamentos ou qualquer forma de processamento inadequado.

5- Notificação de Incidentes: Estabelecer procedimentos claros para notificação de incidentes de segurança de dados, em conformidade com as exigências da LGPD e GDPR.

Isso inclui prazos para comunicação de violações de dados.

6- Transferência Internacional de Dados: Se houver transferência de dados para jurisdições fora do Brasil, garantir que os contratos incluam cláusulas específicas para cumprir as regras de transferência internacional de dados.

7- Prazo de Retenção de Dados: Especificar os prazos de retenção de dados pessoais de acordo com as finalidades para as quais foram coletados, evitando a retenção excessiva e desnecessária.

8- Atualização Contínua: Estabelecer disposições para a revisão periódica e atualização dos termos contratuais, garantindo que permaneçam em conformidade com as mudanças na legislação ou nas práticas de privacidade.

Portanto, a Adequação de Contratos na LGPD e na GDPR implica em garantir que as relações contratuais estejam alinhadas com as exigências da lei em termos de privacidade e segurança de dados.

Adequação de Contratos entre Controlador e Operador na LGPD e no GDPR

A LGPD não impõem explicitamente uma obrigação legal dos Controladores e Operadores de formalizarem sua relação, mas implicitamente, diz que um contrato é necessário.

No artigo 39º – Obrigações do Operador em relação ao Controlador, é dito que: O Operador deverá realizar o tratamento segundo as instruções fornecidas pelo Controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

Apesar de no artigo 39 da LGPD não estar claramente dizendo que é necessário realizar um contrato entre ambos, Controlador e Operador, está subentendido a necessidade de haver esse contrato.

Porque está subentendido? Simplesmente pelo fato de que se o Operador tem que seguir as instruções do Controlador, e o Controlador tem que verificar se o Operador está seguindo as instruções passadas por ele, as regras e instruções deverão ser escritas e assinadas, para que tudo fique muito claro para ambos os lados.

Assim, o Controlador, só poderá comprovar que está sendo dirigente em relação aos seus Operadores, se essas instruções estiverem documentadas.

Os Operadores devem realizar o tratamento de dados pessoais, segundo informações fornecidas pelo Controlador. Se os Operadores descumprirem as instruções passadas pelo Controlador, poderão responder juntamente com o Controlador por danos causados. Poderá ser equiparado ao Controlador, tendo que assumir todas as responsabilidades de um Controlador, nos termos da LGPD.

Para que Operador possa se resguardar e comprovar que esta seguindo as instruções fornecidas pelo Controlador e que o mesmo Controlador possa ter certeza que o seu Operador esta seguindo as instruções passadas por ele, só será possível se houver um documento formalizando essas instruções.

Ou seja, a realização de um contrato entre ambas as partes faz sentido prático e comercial.

Ao estabelecerem um contrato o Controlador e o Operador estarão:

1- Declarando que cada um cumpra as normas de proteção de dados pessoais;

2- Protegem os dados pessoais de clientes,

3- E garatem que ambas as partes entenderam claramente seu papel em relação aos dados pessoais que estão sendo tratados.

No GDPR existe uma regulação muito clara em relação a Adequação de Contratos entre Controlador e Operador, o que não existe até o momento na LGPD.

No artigo 28.3 – GDPR, é dito que: O tratamento realizado pelo Operador em nome do Controlador, deve ser regido por um contrato escrito ou por um instrumento jurídico que vincule as partes.

Dessa forma, as responsabilidades de cada um estarão claras e bem definidas. Se em algum momento houver algum problema, ou tipo de dano existir , envolvendo essa relação de Operador e Controlador, será possível verificar qual lado deixou de cumprir seus obrigações.

Então, mesmo que não tenha na LGPD claramente que é necessário realizar um contrato com ambas as partes, Controlador e Operador.

Está subentendido no artigo 39 da LGPD que o Controlador deve fornecer Instruções claras para o seu Operador e garantir que ele cumpra essas instruções.

Se o Controlador não documentar essas instruções, por escrito, o mesmo não conseguirá verificar e nem garantir que seu Operador cumpra essas instruções. Será muito difícil que o cumprimento das instruções sejam cumpridas.

Então é necessário que o Controlador tenha um contrato onde todas essas instruções e obrigações estejam bem definidas e acordadas.

Assim, o Contrato entre Controlador e Operador é um documento fundamental para estabelecer as bases legais e as responsabilidades de ambas as partes no que diz respeito ao tratamento de dados pessoais.

Esse contrato é especialmente importante no contexto da lei, que exige transparência, clareza nas responsabilidades e conformidade com os princípios de proteção de dados, sendo uma forma de comprovar juridicamente de que todas as instruções foram passadas pelo Controlador e que o Operador acordou.

Adequação de Contratos entre Controlador e o Titular de Dados

Na relação entre o Controlador e o Titular dos Dados, a adequação de contratos desempenha um papel crucial para garantir a conformidade com regulamentações de privacidade, como a Lei.

Aqui estão alguns pontos relevantes sobre a adequação de contratos entre o controlador e o titular de dados:

1-Transparência e Consentimento: O contrato deve ser transparente quanto ao propósito da coleta e do processamento dos dados pessoais do titular. Deve incluir informações claras sobre como os dados serão utilizados e a necessidade de obter consentimento, se aplicável.

2- Direitos do Titular: O contrato deve abordar os direitos do titular dos dados conforme estabelecidos pela legislação de proteção de dados. Isso inclui o direito de acessar, corrigir, excluir e portar os dados pessoais.

3- Finalidade da Coleta de Dados: O contrato deve especificar claramente a finalidade para a qual os dados pessoais estão sendo coletados. Isso ajuda a garantir que a coleta de dados seja limitada ao que é estritamente necessário para atender a essa finalidade.

4- Segurança dos Dados: O contrato deve incluir disposições relacionadas à segurança dos dados pessoais. Isso envolve medidas de segurança técnica e organizacional para proteger os dados contra acessos não autorizados e garantir a confidencialidade e integridade dos dados.

5- Prazo de Retenção: Se houver um prazo específico para a retenção dos dados, o contrato deve indicar claramente esse período. A retenção de dados deve estar em conformidade com as disposições legais e as necessidades comerciais.

6- Compartilhamento de Dados: Se os dados forem compartilhados com terceiros, o contrato deve detalhar as condições desse compartilhamento, garantindo que terceiros também cumpram os requisitos de proteção de dados.

7- Responsabilidades e Obrigações: O contrato deve estabelecer claramente as responsabilidades e obrigações tanto do controlador quanto do titular dos dados. Isso inclui o dever de notificação em caso de violações de dados.

8- Atualização do Contrato: Considerando a evolução nas práticas de negócios e alterações nas leis de proteção de dados, o contrato deve incluir disposições para revisão e atualização periódica.

A adequação de contratos é essencial para estabelecer uma base legal sólida para o tratamento de dados pessoais e garantir que todas as partes envolvidas compreendam e cumpram as obrigações estabelecidas pela legislação de privacidade.