BlogA LGPD vem aí.

Prepare seu negócio para a LGPD e ajuste seus contratos.

A Lei Geral de Proteção aos Dados Pessoais – LGPD (Lei n.º 13.709/2018) vem aí. E vem, como já amplamente noticiado pela mídia, com tudo!

Com previsão para valer nos próximos meses, deve mudar significativamente a cultura de tratamento de dados pessoais (físicos e digitais) no país, realizados tanto por pessoas físicas, como pessoas jurídicas, sejam elas de direito público ou privado.

Entre seus objetivos principais, encontra-se o de proteger os direitos fundamentais da liberdade, privacidade e livre desenvolvimento do ser humano na atual sociedade da informação, em que os dados pessoais tem incomensurável importância.

O que é considerado dado pessoal para a LGPD

Os conceitos adotados pela LGPD são amplos. É considerado como dado pessoal qualquer núcleo informacional vinculado a uma pessoa natural identificada ou identificável. Como tratamento, por sua vez, entende-se todas as operações realizadas com dados pessoais, desde  coleta, arquivamento, classificação e eliminação, apenas para citarmos alguns exemplos.

A LGPD vem fortalecer sobremaneira o arsenal legal já existente e se somar, em especial, às regras legais do Código de Proteção e Defesa do Consumidor, do Marco Civil da Internet e do Cadastro Positivo. Por isso, contar com o suporte de um advogado empresarial especializado em LGPD é tão importante.

Consideramos que um de seus pontos de preocupação mais relevantes é a autodeterminação informativa. A idéia é que o titular possa (e ninguém melhor do que ele para isso!) controlar a difusão e entender as metodologias aplicadas no tratamento de seus dados pessoais, assim como obstar todos e quaisquer tratamentos ilícitos, isto é, com vícios de finalidade, inadequados, desnecessários, inexatos, sem transparência e/ou inseguros.

Quem será impactado pela LGPD e quais os cuidados que se deve ter

Com novas exigências de conformidade jurídica, a LGPD impactará todos os setores e atividades econômicas, não apenas aplicativos, portais de comércio eletrônico e redes sociais. De pequenas imobiliárias à grandes companhias negociadas no mercado público, tratando dados pessoais de modo ingênuo ou em bancos de dados complexos, físicos ou digitalmente, todos precisarão se adequar.

Além de preocupações com indenizações judiciais, vazamentos, fiscalizações e multas administrativas, a reformulação de contratos, com inclusão de cláusulas específicas, até então impensáveis, é medida de prevenção amplamente recomendável.

Quais contratos?

Na verdade, todos. E é aí que uma auditoria jurídica bem feita ganha importância, com o desafio de mapear e analisar todo o fluxo informacional do negócio e suas estruturações jurídico-documentais.

Acreditamos que primeiro devam ser revistos os contratos com clientes, seja de prestação de serviços, licenciamento de software ou fornecimento, para se verificar, principalmente, se há ou não o consentimento válido do titular dos dados para os tratamentos propostos ou se, para dados não sensíveis, é defensável o legítimo interesse do controlador ou terceiros.

Não se pode deixar de analisar também se os dados coletados ou tratados não estão exagerados ou incompatíveis com os propósitos legítimos, específicos, explícitos e informados ao seu titular.

Será que o consentimento do titular dos dados se deu da forma legal? O ônus desta prova cabe ao controlador dos dados, que é a quem compete as decisões referentes aos tratamentos realizados, com ou sem a intermediação de operadores.

O consentimento pode ser conferido por escrito ou outro meio idôneo, sempre registrado pelo controlador ou operador. Se for por escrito, deverá constar de cláusula destacada, referindo-se a finalidades determinadas. Autorizações genéricas ou meramente passivas tendem a ser consideradas nulas. Se for por ferramentas digitais, como biometria ou assinatura eletrônica, devem efetivamente comprovar a opção consciente do titular dos dados e sua manifestação válida.

Sou Controlador ou Operador?

Esta é uma das perguntas mais importantes a ser respondida, pois é a partir daí que todo o trabalho de conformidade jurídica se inicia. Nada obsta, no entanto, que para certo tratamento seu negócio seja visto como controlador e, para outros, como operador, simultaneamente.

E se já não bastasse tudo isso, há a obrigação de manter registro das operações de tratamento realizadas, especialmente quando não autorizadas expressamente e fundamentadas no legítimo interesse.

Em relação aos contratos com fornecedores não seria diferente, pois eles trazem riscos especiais em razão da previsão legal de que controladores e operadores que causarem danos patrimoniais, morais, individuais ou coletivos, desrespeitando às exigências trazidas pela LGPD, com culpa ou não, serão solidariamente obrigados a repará-los ao titular dos dados pessoais lesado, exceto se:

• não realizaram o tratamento que lhes é atribuído;
• inexistir violação legal; ou
• o dano identificado é decorrente de culpa única e exclusiva do titular de dados e/ou de terceiros.

Cláusulas especiais para LGPD

Ao revisar os contratos, sugerimos a inclusão de algumas cláusulas específicas, sobretudo se seus fornecedores realizam subcontratações. Eles precisarão se comprometer:

• na implementação de programas de segurança da informação eficientes e com tônica preventiva, mantendo o histórico completo dos tratamentos realizados e comunicando todo e qualquer incidente de segurança ou solicitação/ reclamação de titulares dos dados;

• fiscalizar e não permitir a utilização dos dados pessoais recebidos para finalidades diversas das explicitamente autorizadas;

• em assumir integralmente a responsabilidade jurídica pela prestação de serviços de seus subcontratados; e

• a imediatamente cessar os tratamentos realizados ou a eliminar e/ou anonimizar os dados pessoais, salvo quando autorizada a sua conservação para finalidades prevista em lei.

Contratos de emprego e a LGPD

Os contratos de emprego não estão distantes do regramento legal, ainda mais se considerarmos a extensa troca de informações costumeiramente havida entre empregador e empregadores nas fases que lhe são próprias, quais sejam, de pré-contratação, contratação, execução do contrato de trabalho em si e demissional. Muitas destas informações são tidas pela LGPD como sensíveis, a exemplo da filiação sindical e da motivação do desligamento.

E estes dados pessoais habitualmente não ficam só no empregador, que é seu controlador, mas também são circularizados com terceiros em geral, tais como planos de saúde, seguradoras e empresas de vale alimentação, trazendo maior exposição a riscos legais.

Transparência e boa fé

Enfim, sob os primados legais da transparência e da boa-fé, os contratos com clientes, fornecedores e de emprego devem ser aditados e adequados aos novos direitos e obrigações que a LGPD nos traz, tudo com clareza e bastante ostensividade.

Não adianta pensar que a inclusão de uma ou outra cláusula isolada, como as tão comuns obrigações de sigilo e confidencialidade, atenderá às exigências dos novos tempos. É preciso mais. É preciso trabalhar a cultura da organização, adequar seus contratos corretamente e estar em conformidade.

Para alcançar a tão desejada conformidade em relação à LGPD é fundamental contar com o apoio de bons advogados, com profundo conhecimento sobre o tema para que suas políticas, contratos e cultura organizacional estejam alinhadas com as exigências da Lei Geral de Proteção de Dados.

Cláudio Demeterco

Advogado OAB/PR 29045

Sócio Fundador

Leia também o artigo LGPD, os desafios do consentimento clicando aqui.

Quer ter acesso à integra da Lei Geral de Proteção de Dados? Clique aqui e baixe o e-book que preparamos sobre este tema.