K

kompar.ti

Plano de análise de contratos com foco na LGPD

A elaboração de um plano de análise e adequação de contratos é uma etapa crucial na governança de privacidade, pois garante que as responsabilidades sobre os dados pessoais sejam formalizadas entre as partes, mitigando riscos legais e financeiros.

A assinatura de um contrato digital entre duas empresas

Abaixo, apresento um plano estruturado em 5 fases para analisar e adequar os aspectos de privacidade e proteção de dados em todos os contratos da organização:

FASE 1: Mapeamento e Triagem dos Contratos

Antes de analisar as cláusulas, é necessário identificar o universo de contratos vigentes e a natureza do fluxo de dados.

Levantamento por Áreas:

  • Solicite aos setores (RH, TI, Compras, Marketing, Comercial) a relação de todos os fornecedores, parceiros e prestadores de serviço atuais.

  • Definição dos Papéis (Agentes de Tratamento): Para cada contrato, a equipe jurídica ou de privacidade deve classificar a relação entre a sua organização e a contraparte:

  • Controlador x Operador: Sua empresa decide a finalidade do tratamento e a contraparte apenas executa (ex: provedor de nuvem, agência de marketing, folha de pagamento).

  • Controlador x Controlador Independente: Ambas as partes decidem de forma autônoma sobre os dados (ex: parcerias comerciais, fornecimento de ferramentas antifraude).

  • Controladores Conjuntos (Co-controladores): As partes decidem conjuntamente sobre a finalidade e os meios do tratamento (ex: lançamento de um produto em conjunto).

  • Matriz de Criticidade: Classifique os contratos por nível de risco (alto, médio, baixo), priorizando a análise daqueles que envolvem dados sensíveis, dados de menores, ou transferência internacional.

FASE 2: Criação de Padrões e do DPA (Data Processing Agreement)

Para agilizar a análise e a negociação com as diversas áreas, o escritório/empresa deve criar um documento padrão denominado DPA (Acordo de Processamento de Dados) ou um Anexo de Privacidade para ser acoplado aos contratos.

Este documento padrão deve prever:

  • Definição clara dos limites de atuação de cada parte.

  • Finalidade específica e duração do tratamento dos dados.

  • Regras para a eliminação ou devolução dos dados ao final do contrato.

  • Pontos de contato (dados do DPO/Encarregado).

FASE 3: Análise e Inserção de Cláusulas Específicas

Na análise individual dos contratos ou na elaboração de Termos Aditivos para os contratos já vigentes, as seguintes cláusulas devem ser avaliadas e inseridas, a depender do papel das partes:

1. Cláusulas para Operadores (Fornecedores que tratam dados em seu nome):

  • Dever de obediência: O operador deve tratar os dados estritamente de acordo com as instruções lícitas do Controlador.

  • Medidas de Segurança: Exigência de adoção de medidas técnicas e administrativas aptas a proteger os dados (criptografia, controle de acessos, antivírus).

  • Subcontratação (Sub Operadores): Regras claras sobre se o operador pode ou não contratar terceiros para ajudar no tratamento, exigindo autorização prévia e garantindo que o sub operador tenha as mesmas obrigações.

  • Auditoria: Direito do controlador de realizar inspeções ou exigir relatórios que comprovem o cumprimento das regras de segurança.

2. Cláusulas de Resposta a Incidentes (Vazamentos):

  • Obrigação da contraparte de notificar o seu Comitê de Crise/DPO imediatamente ou em prazo contratualmente estipulado caso ocorra um incidente de segurança.

  • Cooperação mútua na investigação e na resposta a Autoridades (como a ANPD) e aos titulares.

3. Cláusulas de Atendimento aos Direitos dos Titulares:

  • Estabelecer prazos e fluxos para que o Operador coopere com o Controlador caso um titular de dados solicite acesso, correção ou eliminação de seus dados.

4. Cláusulas de Responsabilidade e Indenização:

  • Previsão de que a parte que violar a LGPD deverá reparar os danos (patrimoniais, morais ou sanções administrativas) causados à outra parte ou aos titulares, lembrando que a LGPD prevê responsabilidade solidária em caso de descumprimento de obrigações pelo operador.

FASE 4: Avaliação de Cenários Especiais

Durante a análise dos contratos das áreas, atente-se a contextos que exigem cláusulas altamente específicas:

  • Transferência Internacional de Dados: Se o contrato envolver um fornecedor estrangeiro (ex: nuvem fora do Brasil), é obrigatório incluir as Cláusulas-Padrão Contratuais aprovadas pela ANPD (Resolução nº 19/2024), garantindo que o país de destino ofereça nível de proteção equivalente ao da LGPD.

  • Contratos envolvendo Inteligência Artificial (IA): Se a empresa contratar ferramentas de IA, é essencial inserir cláusulas garantindo que o fornecedor obedece a estruturas de governança, realiza avaliações de viés, e, principalmente, vedando que os dados pessoais da sua empresa sejam utilizados indiscriminadamente para treinar os algoritmos do fornecedor para outros clientes sem autorização.

  • Contratos de Trabalho (RH):Os contratos de colaboradores devem conter cláusulas de confidencialidade (sigilo), regras de “Mesa Limpa” e termos claros sobre a política de uso de dispositivos e internet corporativa.

FASE 5: Governança, Negociação e Manutenção

Termos Aditivos: Para os contratos antigos que não possuem regras de LGPD, envie Termos Aditivos de Privacidade (Addendums) para assinatura.

  • Privacy by Design em Compras: Integre o DPO e a equipe de privacidade ao processo de “Suprimentos/Compras”. A partir de agora,nenhum novo contrato deve ser assinado na organização sem passar por uma avaliação prévia (due diligence) de privacidade.

  • Monitoramento (PDCA): A adequação de contratos não é um evento único. Mantenha avaliações periódicas para garantir que os fornecedores (operadores) estão de fato cumprindo as cláusulas de segurança assinadas.

Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: