ARTIGOS

A LGPD e os contratos

12/05/2021 - José Fernando Marucci - OAB/PR 24.483

O Regulamento Geral sobre a Proteção de Dados 2016/679 (GDPR – General Data Protection Regulation), no seu artigo 28, estabelece a obrigatoriedade da existência do contrato firmado entre o controlador e o operador, e apresenta uma série de outras obrigações, que devem constar nos contratos, tais como:

  • a) tratar os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento;
  • b) assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade;
  • c) prestar assistência ao responsável pelo tratamento, para que possa atender aos pedidos dos titulares;
  • d) devolver ou apagar os dados, finda a prestação de serviços.

De outro lado, a nossa Lei Geral de Proteção de Dados – LGPD não regulamenta a obrigatoriedade da existência de contrato, que se refere aos tratamentos de dados realizados pelos operadores a mando e ordem do controlador. Apenas no artigo 39, diz que: “O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.”

De toda sorte, a melhor prática para o compliance com a LGPD, será aplicar a feitura de contratos, nos termos do Regulamento Europeu (GDPR) retro expendido, para que as partes possam delimitar suas responsabilidades e obrigações, no que se refere ao tratamento de dados pessoais.

Torna-se imperioso, definir se o contratado é um operador, que segue as determinações do contratante, ora controlador, ou é um controlador conjunto que igualmente tomará decisões sobre o tratamento de dados. Por exemplo, uma empresa de plano de saúde é um controlador conjunto, posto que também tomará decisões sobre os tratamentos de dados pessoais.

Além disso, há uma série de outras questões importantes, que o controlador deve exigir do operador, tais como: a) não compartilhar os dados com terceiros; b) limitar o acesso somente as pessoas que necessitem e garanta que estas pessoas tenham assinado um termo de confidencialidade; c) manter segurança técnicas e administrativas para proteger os dados pessoais; d) responder solidariamente com a controladora, quando não seguir suas orientações e legislação de proteção de dados; e) comunicar a controladora imediatamente em caso de incidente de segurança, que possa violar dados pessoais. E várias outras, que possam garantir ao controlador que o operador irá cumprir com as suas determinações e, principalmente, com a legislação de proteção de dados.

Nunca é demais, aplicar uma due diligence no operador, para avaliar sua aderência a LGPD, garantindo ao controlador, que efetivamente os dados pessoais transferidos ao operador serão tratados com as melhoras praticas para sua proteção.

< Ver todos os artigos