Mariana Sbaite Gonçalves*
Compartilhar dados pessoais é uma atividade diária e, para que essa ação seja feita de forma segura, é importante estabelecer regras e a adoção de medidas de segurança, para que seja possível atuar de forma assertiva caso ocorra um incidente que envolva dados pessoais.
Consideremos, então, que adotar boas práticas (artigo 50 da LGPD) é salutar para a preservação da privacidade e da proteção de dados pessoais, bem como para mitigar riscos.
É curioso pensar que, se procurarmos na Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, não encontraremos nenhum artigo expresso sobre a obrigatoriedade da existência de um contrato entre Controlador e Operador. No entanto, podemos utilizar o referido instrumento como boa prática e ferramenta de organização e limitação de riscos.
Como o contrato entre Controlador e Operador ajuda na preservação da privacidade
O intuito é nivelar as obrigações e resguardar os agentes. Por esse motivo, é imperioso definir, de imediato, quem é o Controlador e quem é o Operador, para que direitos e deveres sejam elencados de forma precisa.
Ter a ciência exata de quais serão suas ações e responsabilidades cooperará para que os Agentes de Tratamento cumpram o instrumento contratual de forma correta.
A título de exemplo, trazemos o fato de que o Controlador será o Agente que definirá a finalidade do tratamento, a base legal e atenderá às requisições dos titulares de dados pessoais.
O Operador, por sua vez, seguirá as instruções lícitas do Controlador e ajudará nos temas voltados à preservação da privacidade, como por exemplo, notificar sobre incidentes com dados pessoais (estabelecer o prazo é essencial!) e sobre o recebimento de demandas dos titulares.
O que deve conter no contrato?
Na celebração de contrato entre Controlador e Operador, pensando de forma prática, alguns pontos são fundamentais, como por exemplo:
- Definições de termos, categorias dos dados pessoais, finalidades e suas limitações, subcontratações, atendimento aos titulares;
- Notificações sobre incidentes que envolvam dados pessoais, transferências internacionais (quando cabível), medidas de segurança, responsabilidades das partes, legislações vigentes e aplicáveis, possibilidade de auditoria, dentre outros.
Obviamente, os contratos serão diferentes de acordo com o que estabelecerem e necessitarem as partes.
Ainda, é essencial que as partes se comprometam com o disposto na LGPD, como ter bases legais definidas, elaborar e atualizar o ROPA (Recording of Processing Activities), realizar os tratamentos de dados pessoais de forma regular etc.
O ponto de atenção é: a existência do contrato facilitará e resguardará as atuações dos Agentes de Tratamento, bem como definirá a carga exata de responsabilidades de cada um, que será de suma importância não somente para prestação de contas, mas também em caso de ocorrência de incidente envolvendo dados pessoais e danos ao titular de dados pessoais.
Leia outros artigos da autora:
O mal compreendido consentimento
A utilização de war room nos incidentes com dados pessoais
Mariana Sbaite Gonçalves: Líder do Núcleo de DPO do PG Advogados. Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS).
Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Coautora do livro: “Mulheres na Tecnologia”. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).
