Qual a importância de adequar os contratos com prestadores de serviços à LGPD?

A Lei Geral de Proteção de Dados estabeleceu as regras e diretrizes para serem observadas pelas pessoas naturais (quando possuir finalidade econômica), pessoas jurídicas de direito público ou pessoas jurídicas de direito privado quando realizarem o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais da pessoa natural, principalmente o direito à privacidade.

Nas relações contratuais que ocorrem compartilhamento de dados pessoais entre os agentes de tratamento, ambas as partes terão regras para serem observadas, sob pena de responsabilização por dano moral, patrimonial, individual ou coletivo e de sanção administrativa aplicada pela ANPD.

Os contratos de prestação de serviços são compostos por dois tipos diferentes de agentes de tratamento, o Controlador e o Operador. O Controlador é o agente responsável pelo tratamento dos dados pessoais, já o Operador é agente que realiza a atividade em nome do controlador.

O controlador deve orientar sobre as regras para o tratamento, estabelecer que o operador adote medidas técnicas e administrativas para garantir a proteção de dados, impor que comunique qualquer incidente com os dados pessoais compartilhados, determinar que auxilie quando precisar atender as solicitações dos titulares e exigir que atualize os dados pessoais quando requerido.

Diante de tais responsabilidades, depreende-se a necessidade de formalizar no bojo do contrato inicial ou através de um aditivo contratual as recomendações e regras que devem ser seguidas para garantir o integral cumprimento às normas de Proteção de Dados.

A não formalização do contrato poderá gerar alguns prejuízos para as partes, principalmente para o controlador, tendo em vista que não estarão bem definidas as determinações que o operador deve observar para o tratamento dos dados, nem os deveres que cada parte é obrigada a cumprir.

A LGPD determina que o operador responderá solidariamente pelos danos causados pelo tratamento quando não cumprir as obrigações da lei de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, neste caso o operador equipara-se ao controlador. Já o Controlador possuirá responsabilidade solidária pelos danos aos titulares quando estiverem diretamente envolvidos no tratamento.

Contudo, em que pese a responsabilidade solidária, a parte que reparar o dano ao titular, possui direito de regresso contra o responsável, na medida de sua participação no evento danoso.

Outro ponto que merece destaque é o art. 43 da LGPD, que determina as hipóteses de excludentes de ilicitude:

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

Tendo em vista os aspectos analisados, nos contratos com os prestadores de serviços, é recomendado que o Contratante estabeleça a possibilidade de auditoria do cumprimento das diretrizes pelo operador, o tempo que deverá conservar os dados e como deverá acontecer o descarte das informações pessoais, a necessidade de cooperação para atender o direito dos titulares e de comunicação em casos de incidentes ou vazamentos com os dados pessoais.

Diante dessas considerações, conclui-se que, é muito importante nas relações entre controlador e operador que esteja bem delimitado quais os deveres e responsabilidades de cada parte em relação ao adequado tratamento e proteção dos dados pessoais a fim de garantir maior segurança jurídica cumprimento da LGPD e não sofrer nenhuma consequência.