Proteção e privacidade de dados são temas que ganharam força e uma preocupação natural do mercado brasileiro com a Lei Geral de Proteção de Dados (LGPD) – e são muitos os motivos que justificam tal movimento.
No âmbito contratual, a máxima de que “por onde os dados passam, pode haver uma responsabilização” esclarece e muito a razão pela qual outras empresas tendem a exigir a formalização de regras específicas relacionadas ao tratamento de dados pessoais – e justifica também porque sua empresa deveria buscar o mesmo para mitigação de riscos na contratação de colaboradores, parceiros e fornecedores.
Neste artigo, sem a intenção de esgotar o assunto, separamos alguns pontos de atenção que vale você saber sobre contratos e a LGPD, sobretudo para evitar problemas no processo de conversão de clientes na sua empresa, que tem sido uma situação bastante comum no mercado.
Pré-contrato: due diligence de fornecedores
Antes de comentar sobre os aspectos contratuais que tendem a ser considerados com a LGPD, vale falar rapidamente sobre um possível procedimento preliminar que tem justificado o atraso ou até a inviabilização de diversos negócios: etapa de due diligence de fornecedores.
Due diligence de fornecedores se trata do processo de investigação e análise de informações de uma empresa antes de fechar um determinado negócio. Com a LGPD, esse mecanismo pré-contratual tem sido cada vez mais frequente e relevante. Inclusive, já existem diversas plataformas focadas justamente em ajudar outras empresas no gerenciamento de riscos de proteção de dados e segurança cibernética causados por terceiros, resultando em uma nota para eventuais fornecedores. CyberGRX e UpGuard são exemplos de plataformas.
No contexto da LGPD, é possível que uma due diligence siga com a análise de múltiplas linhas investigativas buscando ajudar uma empresa a ser mais assertiva na sua tomada de decisão sobre o seguimento ou não de uma parceria a partir de uma perspectiva de riscos financeiros e reputacionais.
Tal análise geralmente busca reconhecer eventuais vulnerabilidades por meio da identificação da implementação de medidas de segurança da informação e proteção de dados adotadas pela possível empresa parceira. Não é incomum a solicitação complementar de evidências da existência de medidas sinalizadas como existentes.
Assim, para maior eficiência no seu processo comercial e para evitar problemas como atrasos na etapa de conversão de um cliente ou até a perda de um ou mais negócios, é importante que sua empresa esteja preparada para passar por essa análise, cumprindo com os requisitos legais que competem ao seu negócio e tendem a ser exigidos pelo mercado a partir da LGPD.
Entre em contato com um dos nossos especialistas, caso você não saiba quais são os requisitos mínimos de proteção de dados exigidos para o seu negócio no contexto da LGPD. Realizamos esse diagnóstico de forma gratuita e sem nenhum compromisso.
Vale destacar que: A possibilidade de auditoria para verificar se um parceiro está adequado com a LGPD e/ou cumpre com as melhores práticas de proteção de dados não necessariamente acontecerá somente uma vez, no momento da contratação. Há empresas que realizam auditorias periódicas para verificar essa aderência. Tal periodicidade dependerá do tipo de acesso a dados realizado pelo parceiro, da categoria de dados tratada, dentre outros fatores de riscos.
Quais contratos adequar à LGPD?
Toda empresa que está se adequando à LGPD tem como parte do seu esforço a revisão ou criação de cláusulas/contratos para a definição de regras relacionadas ao tratamento de dados pessoais.
A LGPD não especifica o tipo de contrato que deve ser adequado. Contudo, para se evitar ou amenizar eventuais consequências pelo tratamento inadequado de dados, são exemplos de documentos que se recomenda a revisão:
- NDA / Termos de Confidencialidade;
- Contratos de cloud;
- Contratos de prestação de serviços com colaboradores;
- Contratos que envolvam tratamento de dados pessoais por terceirizados;
- Contratos com gestão de dados/captura de dados em mídias sociais; e
- Contratos relacionados ao uso de big data, analytics, inteligência artificial, etc.
Contrato de prestação de serviços e a LGPD
No contexto da relação com outras empresas, algumas cláusulas podem ser exigidas ou devem ser consideradas para alinhamento de uma relação que envolve o tratamento de dados. São exemplos:
- Cláusulas que especifiquem quais dados serão compartilhados e qual é a finalidade do compartilhamento;
- Cláusulas que estabeleçam os agentes de tratamento de dados envolvidos e a sua posição na relação existente (se a empresa é controladora ou operadora de dados, por exemplo);
- Cláusulas que determinam se o contratado pode subcontratar terceiros para tratar os dados compartilhados.
- Cláusulas referentes ao cumprimento das garantias e direitos dos titulares de dados;
- Cláusulas acerca da necessidade ou não da coleta do consentimento para o tratamento de dados e, se positivo, de que forma ele deve ser colhido;
- Cláusulas sobre procedimentos para a retificação, anonimização e eliminação de dados após o tratamento ou o encerramento do contrato;
- Cláusulas sobre a transferência internacional de dados;
- Cláusulas acerca dos procedimentos no caso de incidentes de segurança da informação;
- Cláusulas de atribuição de responsabilidade específicas e possíveis limitações a partir do acesso a dados; e
- Determinações sobre transferência internacional de dados.
Se estas cláusulas por acaso não foram incluídas, nunca é tarde para elaborar um termo aditivo para integrar o contrato com essas disposições e submetê-lo para a apreciação da outra parte.
Nos casos de Startups, Health Techs e Fintechs que lidam com processos inovadores ou muitos dados confidenciais e sensíveis que exijam medidas extras de proteção, a adoção de cláusulas específicas e detalhadas sobre como cada dado deve ser transmitido, tratado e armazenado é ainda mais recomendável. Saiba o que são dados sensíveis e como protegê-los.
Planos de conformidade e Privacy by Design
Ao fim e ao cabo, enquanto a adequação direta de contratos à LGPD por meio de cláusulas especiais são medidas interessantes, a gestão dos contratos de uma empresa só poderá ser realizada de maneira eficiente se a empresa estruturar e implementar um plano de adequação com a LGPD e as normas internacionais de segurança da informação.
Isto envolve a criação de políticas de segurança da informação, mapeamento dos dados e ativos informacionais da empresa, o treinamento de seus colaboradores em boas práticas de proteção de dados e segurança da informação, e inclusive a prática do privacy by design – ou privacidade por design -, um novo paradigma que estabelece que a privacidade dos dados do consumidor deve ser pensado desde a concepção do produto ou serviço.
O profissional incumbido de gerenciar planos de conformidade e a proteção dos dados de empresas se chama de Encarregado da Proteção de Dados Pessoais, também conhecido como Data Protection Officer (DPO). Atuando em uma área multidisciplinar que reúne segurança da informação, proteção de dados e o direito, o DPO com certeza é o mais indicado a ajudar na adequação de seus contratos à LGPD.
A contratação de um DPO exclusivamente dedicado à sua empresa traz alguns benefícios, mas é potencialmente cara para uma Startup em seus estágios iniciais. Se a proteção de dados for um atrativo à sua Startup, pode ser que serviços de DPO as a service sejam a melhor opção para assegurar que seu negócio, e seus contratos, estejam alinhados com a Lei Geral de Proteção de Dados. Para saber mais sobre os DPOs, é só conferir o nosso material!
Autores: Heitor Ferreira Gonzaga e Taynara Rodrigues