Pontos de atenção na adequação de contratos à LGPD

Quando nos deparamos com a necessidade de adequação contratual à Lei Geral de Proteção de Dados Pessoais, podemos encarar situações que nos levam a alguns pontos de questionamento que merecem a atenção sempre que for necessária a elaboração ou análise de novos instrumentos contratuais.

Atenção, portanto, quanto à:

1. Definição do Agente de Tratamento de dados pessoais:

É importante estar ciente de que nem sempre a parte Contratante atuará como Controladora Exclusiva de dados e a Contratada atuará como Operadora de Dados. É perfeitamente possível que ambas as partes atuem como Controladoras, o que é denominado por Controladoria Conjunta.

Essas definições são importantes, pois implicam diretamente nos deveres de cada parte, bem como da responsabilidade de cada uma pelo tratamento.

2. Estipulação de técnicas de proteção mínima para a preservação dos dados:

É importante que a parte Contratante disponha de uma Política de Proteção e Privacidade de Dados que conte com a estipulação de critérios de proteção do tratamento de dados pessoais. Contratualmente, devem ser estipulados os parâmetros de segurança que a contratante espera por parte da contratada.

De igual forma, é importante que o contrato estipule de forma clara as obrigações das partes em relação à observância da legislação no que se refere à aplicação de métodos e práticas de segurança mínimas e disponíveis ao mercado, durante o período de tratamento de dados.

3. Estipulação de responsabilidades por eventuais incidentes:

Como referido anteriormente, as partes contratantes podem atuar de diferentes formas como Agentes de Tratamento. Portanto, o contrato celebrado deve dispor sobre o alcance da responsabilidade de cada parte diante de eventual incidente com dados pessoais.

4. Estipulação do ciclo de vida dos dados pessoais:

Enfrentamos uma cultura de retenção de informação e com isso é comum a retenção de dados pessoais de forma indiscriminada e até mesmo sem a devida base legal. Portanto, uma das alternativas é vincular o ciclo de vida dos dados pessoais obtidos ao longo da contratualidade à vigência daquele contrato e ao prazo prescricional das obrigações relativas a cada dado obtido.

5. Responsabilidade pelos dados após o término da relação contratual.

Considerando o ponto acima, mostra-se relevante que o contrato disponha sobre a responsabilidade pelo tratamento dos dados pessoais a que se teve acesso em razão do contrato firmado entre as partes.

Estando explícito que o ciclo de vida dos dados pessoais se encerra em conjunto com o contrato, é importante dispor no instrumento que a responsabilidade pelo tratamento de dados pessoais remanescentes recairá exclusivamente para aquela parte que mantiver a sua guarda.

A ZNA está à disposição para auxiliar nesse momento importante de adaptação e adequação.