Para alcançar um bom plano de adequação à LGPD, deve ser levado em consideração que, os dados pessoais estão presentes nas mais diversas atividades de uma empresa. Entre estas atividades está a criação e manutenção de compromissos contratuais.
A LGPD estabelece regras para o tratamento de dados pessoais, trazendo uma série de princípios, regras e procedimentos a serem seguidos por aqueles que realizam a coleta e tratamento de dados pessoais. Não há como deixar de fora a regularização contratual.
É muito importante que as empresas sigam determinadas regras e procedimentos para que os contratos estejam em conformidade com a LGPD.
Todos os contratos novos devem apresentar cláusulas que os adequem aos princípios e regras da LGPD. Para os contratos posteriores a lei, cabe a elaboração de adendo contratual. As cláusulas devem dispor de modo transparente quais são os dados coletados e tratados, qual a finalidade do tratamento e como este tratamento está adequado e limitado à finalidade expressa.
Para realizar a adequação, o primeiro passo é fazer uma verificação acerca do tratamento de dados, ou seja, antes de celebrar o contrato é necessário verificar se entre as partes haverá tratamento de dados. Em outras palavras, cabe um mapeamento de dados, sendo, uma análise dos processos, finalidades e um inventário de dados.
A LGPD é pautada em princípios com o objetivo de garantir os direitos dos titulares. Princípios como o da finalidade, previsto no art. 6°, inciso I que, quando falamos em contratos, é de suma importância.
“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;”
Com esta informação é possível definir as cláusulas necessárias. Por exemplo, se o tratamento de dados envolver dados sensíveis ou de crianças e adolescentes, os quais exigem um pouco mais de atenção.
Outro ponto importante de tratar é o compartilhamento de dados. O contrato deve definir se as partes estão autorizadas ou não a transferir e/ou compartilhar com terceiros os dados pessoais disponibilizados entre si. Se o compartilhamento for necessário, a parte que realizá-lo deve se comprometer a garantir que os terceiros se obriguem a garantir o mesmo nível de proteção aos dados.
O contrato deve mencionar os procedimentos detalhados que devem ser adotados em caso de ocorrer incidente de dados. Por fim, é importante definir multas e penalidades em eventual descumprimento das obrigações e responsabilidades.
Em suma, o contrato reflete a realidade das partes e sua relação econômica, o que deve incluir as cláusulas acerca do processo de tratamento de dados. É essencial adequar o instrumento contratual a LGPD.
Mariana Ferraz Barboza Lima é Bacharel em Direito pela Universidade Presbiteriana Mackenzie. Possui experiência em Contencioso Cível e Compliance, passando pelas áreas de LGPD, Direito Civil, Direito Tributário. Coordenadora da área de LGPD e Compliance na ZMR Advogados.
