Preciso adequar meus contratos à LGPD?

 Serão compartilhados dados pessoais? (ex. nome, CPF, endereço de clientes ou colaboradores)

Caso sim, deve adequar! Por quê?

Mitiga riscos: ao definir regras contratuais sobre o compartilhamento de dados pessoais com terceiros, evita-se o descumprimento da legislação de proteção de dados por parte desses terceiros e, consequentemente, a aplicação de uma responsabilidade solidária.

Boa prática: de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), estabelecer obrigações específicas para os envolvidos no tratamento de dados é considerada uma boa prática.

Reduz sanções: nos termos da LGPD, será levada em consideração a adoção de boas práticas no processo de fixação das sanções administrativas, possibilitando a redução de penalidades para empresas que adotarem boas práticas.

Prestação de contas: conforme a LGPD, os agentes de tratamento devem adotar medidas capazes de comprovar o cumprimento das normas de proteção de dados pessoais. Assim, os contratos podem auxiliar esse processo de prestação de contas.

O que devo observar antes de contratar?

Política de contratação com terceiros:

Antes de contratar, é necessário avaliar se os terceiros, com os quais os dados serão compartilhados, possuem requisitos mínimos e aptos a garantir a segurança da informação e a proteção de dados.

É possível proceder a essa avaliação da seguinte forma:

Critérios de Avaliação: definir critérios de avaliação de acordo com as atividades contratadas e com o risco envolvido no processo de compartilhamento de dados utilizando uma matriz de riscos (baixo, médio e alto).

Due Diligence e Auditoria:

Verificar junto ao terceiro:

* aviso/política de privacidade;

* políticas (a) de segurança da informação e (b) de retenção e descarte;

* canal de comunicação com os titulares dos dados;

*canal de contato com o Encarregado (DPO)

*plano de ação a incidentes;

*diretrizes internas.

Adoção de Medidas Técnicas: estruturar processos de compartilhamento de dados com terceiros, garantindo sua segurança e definindo diretrizes técnicas e operacionais.

Como adequo meus contratos?

Antigos

Aditivo: quando já existe um contrato em andamento, é recomendado firmar um aditivo a este contrato, a fim de inserir as regras referentes à proteção de dados de acordo com cada contrato específico (i.e. observando o grau de risco no compartilhamento de dados pessoais envolvidos na relação).

Contrato de Compartilhamento: quando não há um contrato escrito, é aconselhável, no mínimo, celebrar um contrato de compartilhamento de dados, de modo a regular tal compartilhamento.

Novos

Definir Cláusulas: é recomendável definir modelos de cláusulas de acordo com o risco envolvido na contratação, definindo se será utilizado um (a) modelo simplificado (risco baixo-médio) ou um (b) modelo robusto (risco alto).

 

Quais cláusulas devo incluir nos meus contratos?

Definição dos agentes de tratamento: definir quem é o controlador, o qual toma decisões sobre o tratamento de dados, e o operador, que executa as decisões do controlador. Ou se há uma controladoria conjunta ou singular.

Finalidade do tratamento: indicar, especificamente, o motivo pelo qual  os dados estão sendo tratados e porquê serão compartilhados com o terceiro e os limites de uso.

Lista dos dados compartilhados: listar quais dados serão compartilhados, incluindo, as categorias desses dados, por exemplo: dados financeiros, dados pessoais sensíveis…

Observância às leis de proteção de dados: indicar quais legislações e normativas deverão ser observadas durante o cumprimento do contrato, inclusive, aquelas publicadas pela Autoridade Nacional de Proteção de Dados (“ANPD”)

Medidas de segurança: estabelecer padrões mínimos quanto à segurança da informação.

Notificações e incidentes de segurança: definir diretrizes sobre a comunicação de incidentes de dados. Por exemplo, estabelecer um prazo de 24 horas para que o operador informe o controlador sobre o acontecimento de algum incidente de segurança da informação.

Registro de processamento: definir obrigações pelas partes em justificar o tratamento de dados a partir de uma base legal prevista na LGPD.

Atendimento aos direitos dos titulares:  estabelecer garantias quanto ao exercício do direito dos titulares, como indicar canais de comunicação disponíveis para os titulares.

Responsabilidade civil: estipular regras sobre a responsabilidade extracontratual das partes.

Transferência internacional de dados: instituir medidas de controle sobre a transferência internacional de dados, quando necessário. As medidas devem proteger os dados que estão sendo transferidos, de acordo com as determinações da ANPD.

Auditoria: determinar como se dará o processo de auditoria a ser conduzido pelas partes ou por terceiros contratados.

Subcontratação: fixar regras sobre a subcontratação de terceiros para realizar uma ou mais operações de tratamento, de modo que os suboperadores ofereçam segurança de forma equivalente ao contrato principal.

Eliminação e descarte: estipular regras sobre o descarte e eliminação dos dados compartilhados após a rescisão do contrato ou término do tratamento dos dados, observando as regras de manutenção dos dados por fundamento legal/judicial.

baixar cartilha
*

compartilhe

LinkedInFacebookTwitterWhatsApp
*

conteúdo relacionado

notícias

CT Lança Tech Talks

continue lendo
cartilhas e infográficos

Fintechs: LGPD e Legislação do Setor Financeiro

continue lendo
cartilhas e infográficos

Fintechs: FIF e FIDC – Impactos da 175 e investimentos em cripto

continue lendo

áreas de atuação relacionadas

Privacidade, Proteção de Dados e Cybersecurity

newsletter

Inscreva-se em nossa newsletter e receba em primeira mão todos os nossos informativos

    Ao informar meus dados, concordo com a Política de Privacidade.
    contato@camposthomaz.com
    *

    R. Funchal, 551, conjunto 51
    Vila Olímpia, São Paulo – SP
    04551-060

    11 3044-4906

    © Campos Thomaz & Meirelles Advogados política de privacidade