A aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), que tem como objetivo proteger as pessoas contra usos abusivos ou prejudiciais dos seus dados pessoais por terceiros, completou cinco anos em agosto de 2023. Para tanto, a Lei criou uma série de obrigações para empresas, organizações e poder público que utilizam informações pessoais ao desenvolver suas atividades  — os chamados “agentes de tratamento”. 

Neste contexto, quando as atividades que envolvem dados pessoais são exercidas por mais de uma organização, estabelecer um contrato de tratamento de dados pessoais é essencial para definir quais atividades serão feitas por cada agente de tratamento e as respectivas responsabilidades que delas emergem. Os acordos, conhecidos como DPAs - Data Protection Agreements, são também uma forma de demonstrar o esforço das organizações em cumprir as normas aplicáveis, em conformidade com o princípio da prestação de contas. 

Ao delimitar o escopo do tratamento, indicando quais dados serão tratados, para quais finalidades e com quais controles de segurança, os riscos de uso abusivo ou ilícito dos dados pessoais e de violações de segurança são minimizados. Logo, assinar DPAs é uma forma de enforcement legal e garantia dos direitos dos titulares de dados. 

Vale dizer que as cláusulas dos contratos também podem instituir critérios e parâmetros mais objetivos para distribuir as responsabilidades entre as partes envolvidas, reduzindo as incertezas e contingências do negócio. Em outras palavras, um bom contrato de tratamento apresenta a forma de mensurar o cumprimento das obrigações impostas pela LGPD. Os DPAs são acordos de vontade como quaisquer outros, devendo ser negociados para que se chegue em um ponto comum de composição, viabilizando os negócios jurídicos. Logo, é uma forma de gerar valor e reduzir riscos para os agentes de tratamento. 

Esse texto tem como objetivo explicar os passos para uma negociação positiva dos contratos de tratamento de dados pessoais, passando, inclusive, pelas principais cláusulas que devem estar presentes no acordo.

Definições anteriores à negociação do acordo de tratamento de dados pessoais

Antes de negociar um Acordo é importante entender alguns aspectos materiais sobre a atividade operacional de tratamento de dados pessoais que ocorrerá entre as partes. Estes aspectos irão influenciar o nível de complexidade das cláusulas do acordo e o arranjo jurídico estabelecido entre os agentes de tratamento de dados.  

Nível de criticidade da atividade de tratamento entre as partes

Em primeiro lugar, é necessário determinar a importância do tratamento ao qual o contrato se refere. Os gatilhos que levam uma organização a classificar uma operação de tratamento como crítica ou de alto risco devem ser determinados de forma contextual. Por exemplo, uma atividade de tratamento pode ser considerada crítica quando estão presentes as seguintes características:

• alto volume de dados pessoais tratados entre as Partes contratantes, tendo em vista o contexto das atividades desenvolvidas;
• tratamento de dados pessoais sensíveis nas atividades de tratamento.

Sempre que uma atividade de tratamento entre agentes for considerada crítica, vale a pena considerar a negociação de um contrato com cláusulas mais robustas, para amortecer os riscos de uso abusivo ou ilícito dos dados pessoais e de violações de segurança. Em casos considerados não críticos ou de baixo risco, o acordo entre as partes pode ser mais simples, reduzindo o tempo de negociação do documento e ganhando agilidade na assinatura.    

Defina o papel de cada um no processo de tratamento de dados pessoais

Depois de definido o nível de criticidade das atividades de tratamento reguladas pelo acordo, é importante compreender o fluxo de dados pessoais entre as partes. Esta análise permitirá identificar as obrigações aplicáveis a cada uma das partes e o arranjo jurídico adequado para o negócio — ou seja, se a relação estabelecida entre as partes é entre controlador e operador; operador e suboperador; controladores conjuntos ou independentes. 

Em que pese algumas obrigações serem aplicáveis a todos os agentes — como, por exemplo, manter o registro das operações de tratamento ou implementar medidas de segurança —, as responsabilidades de cada um são distintas.

De acordo com a Lei, o controlador é o agente a quem compete as “decisões essenciais” do tratamento de dados pessoais. O Guia Orientativo para Definições dos Agentes de Tratamento da Autoridade Nacional de Proteção de dados pessoais (ANPD) explicita quais seriam estas “decisões essenciais” que tornam um agente controlador da atividade de tratamento:

• A natureza dos dados pessoais tratados (CPF, biometria, número de telefone etc);
• As formas e as finalidades das atividades de tratamento com dados pessoais (como os dados são coletados, armazenados, cruzados etc); 
• A duração do tratamento (ou seja, quando se dá o término do tratamento, nos termos do art. 15 e art. 16 da LGPD).

Nesse sentido, o controlador possui obrigações específicas, como elaborar relatório de impacto à proteção de dados pessoais, comprovar que o consentimento obtido do titular é lícito (se a base legal for o consentimento), comunicar à ANPD caso haja incidentes de dados pessoais e responder às demandas dos titulares de dados. Via de regra, o controlador é o agente responsável por ressarcir e indenizar eventuais danos gerados a terceiros ou titulares pelas atividades de tratamento de dados pessoais.

O operador, por sua vez, realiza o tratamento de dados pessoais em nome do controlador e segundo suas instruções. O operador, portanto, deve tratar os dados para as finalidades delimitadas e nas formas definidas pelo controlador. Neste sentido, o operador é considerado responsável solidário em conjunto com o controlador por danos gerados a terceiros e titulares devido atividades de tratamento em duas hipóteses: (i) quando descumprir a LGPD ou (ii) quando descumprir as instruções do controlador.

O suboperador, por fim, é o agente contratado pelo operador para realizar as atividades de tratamento de dados em nome do controlador. Como esta figura não foi definida pela lei — consta apenas no Guia supracitado da ANPD — perante as autoridades de proteção de dados, um suboperador possui papel e responsabilidades iguais às do operador. 

Diversos arranjos são possíveis entre as partes de um acordo de tratamento. É possível que o controlador dos dados seja um terceiro e o acordo de tratamento seja firmado entre operador e suboperador. Ou, ainda, que as duas partes sejam controladoras conjuntas, caso haja decisões comuns ou convergentes dos elementos essenciais do tratamento. Definido este arranjo e o tipo de contrato (mais simples ou mais complexo) aplicável ao caso, é possível iniciar a negociação das disposições do contrato.

O que deve constar em um acordo de tratamento de dados pessoais

Os contratos de Proteção de Dados devem estabelecer parâmetros objetivos das responsabilidades de cada uma das partes — ou seja, as especificidades que não são abrangidas pelo texto genérico da Lei. Dessa forma, as incertezas e os riscos das atividades de tratamento são reduzidos e mitigados. Neste sentido, é importante que o documento também compreenda os seguintes aspectos:

Vigência

Determinar por quanto tempo duram as obrigações estabelecidas no contrato, considerando a maneira como as atividades de tratamento se desenvolvem ao longo do tempo. É interessante que a vigência do contrato seja equivalente ao período de armazenamento dos dados da(s) parte(s) recipiente. 

Obrigações das partes

É importante estabelecer as obrigações de cada parte no arranjo, já que muitas obrigações podem não estar previstas em lei, como, por exemplo, diretrizes particulares de uma política de privacidade, requisitos específicos da norma ISO ou até mesmo obrigações estabelecidas por uma legislação estrangeira, caso seja aplicável. 

Colaboradores

A ocorrência de incidentes está geralmente relacionada a uma atuação humana. Por isso, é interessante que haja uma previsão de treinamento e conscientização dos profissionais que atuam em nome dos agentes de tratamento em boas práticas de Privacidade e proteção de dados no acordo entre as partes. 

Agentes de tratamento 

Esta cláusula deve refletir o arranjo estabelecido na etapa anterior. Caso uma das partes seja controladora e a outra, operadora, pode ser interessante prever que esta última deva seguir as instruções lícitas da primeira para as atividades de tratamento, reforçando o texto legal. 

Dever de cooperação 

A lei não impõe um dever de cooperação entre as Partes. Assim, é importante que se defina em quais casos estas devem colaborar. Alguns exemplos são cooperar para:

• responder, dentro do prazo legal, as solicitações de titulares de dados pessoais;
• fornecer informações e facilitar investigações sobre incidentes de dados pessoais, como vazamento de dados ou tratamento abusivo de dados, inclusive a limitar a divulgação de informações sobre eventuais incidentes de dados apenas ao que exige a lei e suas regulações; 
• quem deve atender solicitações feitas por autoridades judiciais ou administrativas, como a ANPD e os prazos para esta resposta; 
• reunir evidências de adequações aos frameworks aplicáveis para eventuais auditorias. Sendo um tratamento crítico ou de alto risco, é possível atribuir uma indenização e/ou a rescisão dos contratos entre as partes sem prejuízo para a parte lesada, caso a cooperação da outra não seja constatada.    

Dados pessoais tratados

Considerando que um dos elementos essenciais das atividades de tratamento é a definição dos tipos de dados tratados, inclusive da categoria dos titulares, é importante atribuir a responsabilidade da legitimidade dessa escolha ao controlador, limitando também as escolhas do operador ou suboperador envolvidos na atividade. 

Em alguns casos, quando há maior risco, pode ser interessante definir em contrato os tipos específicos de dados pessoais tratados para vincular ambas partes àquele conjunto. Para que a relação não fique engessada e dependente da assinatura de aditivos para acrescentar ou retirar dados desta lista, é possível acordar que estas alterações poderão ser feitas via email pelos Encarregados de Dados ou pelos times Jurídicos das Partes.   

Finalidade e base legal 

Esta cláusula segue a mesma lógica da cláusula anterior. A responsabilidade por esta definição é do controlador, limitando as atividades de operadores e suboperadores. As finalidades e base legal podem estar descritas no contrato, caso as partes entendam que isso faz sentido.   

Compartilhamento

As partes devem definir sobre a possibilidade, ou não, de compartilhar dados pessoais com outros terceiros. Por exemplo, um controlador pode querer impedir que seu operador compartilhe dados pessoais aos quais tenha acesso em razão do acordo com suboperadores. 

Porém, deve-se levar em conta que, atualmente, muitos agentes de tratamento participam da cadeia de fornecimento de serviços, especialmente quando são digitais. Logo, este impedimento pode limitar, por outro lado, os serviços que o operador oferece ao controlador. 

Outra limitação que pode ser feita nesta cláusula é em relação à finalidade do compartilhamento. Neste caso, o controlador poderia aceitar o compartilhamento, desde que a finalidade seja cumprir o próprio Acordo ou outros acordos comerciais entre as partes. 

Sendo autorizado o compartilhamento, é importante prever que devam ser assinados Acordos com os terceiros, refletindo as obrigações do Acordo original. Por fim, em um contrato entre operador e controlador, é possível prever que, caso os suboperadores deem causa a incidentes de dados, o operador deverá indenizar o controlador. 

Transferência internacional de dados pessoais

Essa cláusula segue a mesma lógica da cláusula anterior sobre compartilhamento. Porém, caso seja autorizada pelo controlador, a transferência precisa estar fundamentada em um dos instrumentos do art. 33 da LGPD. Enquanto não há regulamentação da ANPD sobre o tema, especificando quais países possuem grau de proteção adequado, ou um modelo de cláusulas padrão, ou, ainda, quais selos e certificados são válidos, o controlador precisará recorrer a uma das outras hipóteses. 

De qualquer forma, esta cláusula pode reforçar que a atribuição do instrumento adequado para a transferência é de responsabilidade do controlador, isentando o operador e/ou suboperador envolvidos.   

Exclusão

Conforme o art. 15 da LGPD, quando uma das hipóteses de término de tratamento ocorre, é necessário eliminar os dados. O término do tratamento pode ocorrer, por exemplo, pelo alcance da finalidade pretendida ou pela revogação do consentimento, caso seja esta a base legal aplicável. A definição sobre o término também é um dos elementos essenciais da atividade de tratamento. 

Logo, é de responsabilidade do controlador avaliar quando, na relação da qual trata o Acordo, ocorre o término do tratamento e se há alguma finalidade que autoriza, por outro lado, a conservação dos dados (art. 16 da LGPD). É interessante que este parâmetro esteja definido em contrato para reduzir os riscos associados ao armazenamento por tempo indeterminado de dados pessoais. 

Segurança

A lei estabelece que todos os agentes de tratamento devem implementar medidas de segurança aptas a proteger os dados pessoais. Caso haja dados pessoais sensíveis, pode ser negociado no contrato que haverá medidas específicas para sua proteção. Vale verificar se no framework definido há alguma exigência específica de segurança, que pode ser adicionada nesta cláusula, como algum processo de privacy by design ou controles específicos de alguma ISO.  

Incidentes de segurança 

Independente do arranjo jurídico entre as partes, é muito relevante definir que haja comunicação em tempo razoável sobre incidentes com os dados. A ANPD não possui normativas especificando o prazo de comunicação de operador para controlador, então é possível deixar a cláusula flexível para que, quando haja tal definição, o Acordo já esteja adequado. Caso o Acordo trate de operações de alto risco, é possível negociar um prazo específico.

O conteúdo desta comunicação pode ser equivalente aos requisitos do art. 48 da LGPD. Além do prazo e do conteúdo, nesta cláusula podem constar outros detalhes, como a entrega de um plano de correção pela parte que deu causa ao incidente e evidências que comprovam a adequação posterior; uma eventual indenização à parte inocente e possibilidade de rescisão contratual sem multa.    

Auditoria

Para casos de alto risco, podem ser negociadas cláusulas de auditoria, garantindo, no mínimo, que a parte contrária apresentará evidências suficientes de cumprimento de sua obrigação legal. 

Direitos do titular

Atender às solicitações dos titulares é papel do controlador. Porém, por vezes, os operadores recebem esta demanda diretamente do titular. Para estes casos, pode estar previsto nesta cláusula um prazo de notificação ao controlador, em consonância com a obrigação de cooperação entre as partes.  

Responsabilidade

A responsabilidade das partes está diretamente relacionada ao arranjo jurídico dos agentes de tratamento de dados. Por exemplo, caso o contrato seja entre controlador e operador, o art. 42 da LGPD prevê responsabilidade solidária em alguns casos entre as partes, mas o contrato pode explicitar quais são os limites dessa responsabilidade. Esta cláusula também pode prever quando haverá direito de denunciação à lide ou de regresso de uma parte contra a outra.

Pode ser incluída, ainda, uma multa contratual por descumprimento das cláusulas. A cláusula de responsabilidade também pode abranger os casos em que uma das partes não será responsável pela proteção dos dados - por exemplo, quando houver decisão judicial impondo compartilhamento.  

Agilize negociações contratuais

Para que os acordos sejam eficientes, enquanto representação da composição da vontade das partes, é importante, em primeiro lugar, entender os agentes de tratamento envolvidos e o fluxo de dados pessoais, pensando na operação como um todo — desde a coleta, até a exclusão dos dados, passando por todos os agentes com os quais aquela informação pode ser compartilhada. 

Caso o objetivo seja de desenvolver um modelo de contrato padrão, que será negociado com várias pessoas ou empresas diferentes, é interessante entender previamente quais são as cláusulas inegociáveis, quais podem ser negociadas e, até qual ponto é possível ceder e quais cláusulas podem ser removidas, sem risco para a organização. Entender isso gera maior agilidade no momento da negociação, trazendo eficiência para o processo de análise jurídica. 

A utilização de um assinador eletrônico, como a Clicksign, pode ser a chave para otimizar ainda mais o processo de assinatura de acordos e contratos e impactar positivamente a eficiência e a conveniência de seus processos de negociação e gestão de documentos.

Conheça nossas funcionalidades e planos ou faça um teste grátis!

Heading 1

Heading 2

Heading 3

Heading 4

Heading 5

Heading 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

Block quote

Ordered list

1. Item 1
2. Item 2
3. Item 3

Unordered list

• Item A
• Item B
• Item C

Text link

Bold text

Emphasis

^Superscript

_Subscript