A Lei Geral de Proteção de Dados (LGPD) nasceu a partir do anseio em gerar um ambiente seguro para dados pessoais, tanto em meio físico quanto digital, conforme expõe o art. 1º da lei 13.709/18.
Dentro deste novo cenário as relações comerciais entre empresas são atingidas, visto a necessidade de adequação a norma supramencionada.
Neste espectro os contratos firmados entre pessoas jurídicas, e entre físicas com jurídicas, adquirem necessidade de adequação, posto que, de acordo com o Art. 5º, X da referida lei:
Art. 5º Para os fins desta lei, considera-se:
(...)
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Ou seja, em uma relação jurídica empresarial a inevitabilidade de movimentação de dados pessoais entre empresas força a constituição de contrato baseado na nova norma.
Sendo assim, ambas as partes da relação adquirem responsabilidade por qualquer vazamento de dados, dados estes trocados de forma regular nas conversações corporativas.
O Art. 42 da lei 13.709/18 expõe que: “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”.
Além da responsabilidade dupla, outro ponto a ser notado dentro das relações empresariais ( à luz da LGPD ) está nos meios de excludente de responsabilização expostas no Art. 43:
“Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.”
Portanto, a clara indicação de quais tipos de dados serão movimentados entre as duas empresas deve estar nítida e cristalina no instrumento contratual. Indicação de possíveis terceirizações para monitoramento e operabilidade de tais dados também devem ser indicados no instrumento pactual.
No caminho da clareza contratual está o Art. 46 indicando a seguinte medida: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
Neste diapasão, vale indicar que a LGPD se refere à proteção de dados pessoais de pessoa natural, conforme o inciso I do artigo 5º. Ou seja, o respeito a legislação deve ser amplificado em transferência de dados de usuários de uma empresa para uma agência de marketing, por exemplo.
Conclui-se então que o alvo da LGPD é evitar vazamento de dados pessoais de pessoas naturais e a relação entre duas empresas deve preconizar tal proteção, caso seja seu objeto de negociação ou seu instrumental relacionado a sua atividade.
Conclui-se que, as relações empresariais devem ser pautadas, além de outras normas em vigor, na LGPD, com a clara indicação em contrato, do modo como dados pessoais serão movimentados entre as partes e, consequentemente, os meios para a sua proteção.