A Lei Geral de Proteção de Dados (LGPD) se tornou o tema central da compliance empresarial nos últimos anos. No entanto, muitas empresas, após implementarem o básico (como avisos de cookies e políticas internas), cometem um erro crucial: negligenciam a revisão e adequação dos seus contratos com terceiros.
O risco não está apenas na coleta de dados feita diretamente pela sua empresa, mas em como esses dados são compartilhados, processados e armazenados por fornecedores, parceiros comerciais e clientes. É nesse ponto de interconexão que reside a maior vulnerabilidade jurídica e o potencial para multas da Autoridade Nacional de Proteção de Dados (ANPD) ou para litígios.
A LGPD introduz o conceito de Controlador (quem decide sobre o tratamento) e Operador (quem realiza o tratamento em nome do Controlador). Em muitas relações comerciais, sua empresa pode ser uma ou ambas as figuras, e a lei exige que essa relação e as responsabilidades sejam formalizadas. Não basta ter um contrato de prestação de serviços; é preciso ter um aditivo ou cláusulas robustas que abordem, especificamente, o tratamento de dados pessoais.
Cláusulas essenciais para blindar seu contrato
Para garantir a segurança jurídica e a compliance, não basta incluir uma frase genérica sobre a LGPD. É fundamental que seus contratos de parceria, fornecimento e prestação de serviços contenham, no mínimo, três tipos de cláusulas específicas:
Definição Clara de Papéis e Responsabilidades
O primeiro passo é estabelecer, de forma inequívoca, se as partes estão atuando como Controladoras, Operadoras ou Co-Controladoras dos dados. Esta definição direciona todo o restante do contrato.
Por exemplo, se você contrata uma empresa de software (SaaS) para processar a folha de pagamento de seus funcionários, sua empresa é a Controladora (pois decide a finalidade) e a empresa de software é a Operadora. O contrato deve detalhar as instruções específicas dadas pelo Controlador, garantindo que o Operador só trate os dados para os fins acordados.
Se o contrato não delimita os papéis, ambas as partes correm o risco de serem responsabilizadas solidariamente em caso de vazamento ou uso indevido. O texto deve prever a obrigação mútua de seguir a LGPD, mas detalhando quem faz o quê em relação a direitos do titular (acesso, exclusão, etc.).
Mecanismos de Governança e Medidas de Segurança
A LGPD exige que Operadores e Controladores adotem medidas de segurança técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas.
Seu contrato deve prever a obrigação de o parceiro demonstrar quais são essas medidas. Isso pode incluir a exigência de certificações de segurança (como ISO 27001), a obrigação de utilizar criptografia, anonimização ou pseudonimização dos dados, e a previsão de auditorias (due diligence) para que sua empresa possa verificar o nível de segurança do parceiro.
É crucial incluir uma cláusula sobre retenção e descarte de dados. O que acontece com os dados após o término do contrato? O parceiro deve ser obrigado a deletar ou devolver os dados, de forma segura, mediante comprovação, evitando que informações sensíveis permaneçam em posse de terceiros desnecessariamente.
Gestão de Incidentes de Segurança e Indemnity (Indenização)
Nenhum sistema é 100% seguro. O que realmente importa é como as partes reagem a um incidente de segurança, como um vazamento de dados.
O contrato deve estabelecer um protocolo de ação claro. Isso inclui a obrigação de notificação imediata por parte do Operador ao Controlador (em horas, não dias) caso ocorra qualquer suspeita ou confirmação de incidente. A LGPD impõe prazos curtos para que o Controlador notifique a ANPD e os titulares dos dados afetados. Um atraso na comunicação do parceiro pode resultar na perda desse prazo e na aplicação de multa.
Por fim, a cláusula de indenização (indemnity) é a sua proteção financeira. Ela deve deixar claro que a parte que der causa ao incidente ou descumprir as regras da LGPD deve indenizar a outra por todos os custos e prejuízos decorrentes, incluindo multas da ANPD, custos de notificação de titulares e despesas com defesas judiciais.
Revisar a documentação jurídica não é apenas uma formalidade; é um investimento em resiliência e uma demonstração de compromisso com a proteção da privacidade. Empresas que ignoram a interconexão contratual da LGPD não apenas se expõem a multas que podem chegar a 2% do faturamento (limitadas a R$ 50 milhões por infração), mas perdem a confiança de clientes e parceiros.
Seu escritório de advocacia pode ser o parceiro estratégico para realizar essa auditoria contratual e garantir que sua empresa possa operar e crescer com segurança, transformando a compliance em um diferencial competitivo no mercado.
