Contrato LGPD: como respeitar a lei e veja erros frequentes

Contrato LGPD

Com certeza você já ouviu falar sobre a LGPD, afinal, ela impacta diretamente você e sua privacidade. Mas, o que ela significa e o que é contrato LGPD? 

LGPD é a Lei Geral de Proteção de Dados, que nada mais é que um conjunto de normas de como as empresas, as pessoas e os órgãos públicos devem guardar, proteger e usar dados coletados de forma online. 

Hoje em uma organização, os dados são altamente valiosos, porém devem ser tratados com todo cuidado. Agora, com o respaldo da Lei, a empresa pode até ser multada ao usar esses dados de forma errada. 

Como usuário você já deve ter recebido no seu WhatsApp mensagem de uma empresa que você nunca interagiu, fazendo publicidade. Isso ocorre graças a esses vazamentos de dados que empresas má intencionadas divulgam. 

Neste conteúdo vamos falar um pouco como respeitar a lei e erros frequentes que sua empresa pode estar cometendo. 

Entenda a LGPD

Para que você entenda de maneira mais simples, a LGPD foi criada com a finalidade de prevenir o uso indevido de dados pessoais. Como base para a criação da LGPD, o Governo Brasileiro usou a General Data Protection Regulation (GDPR) – legislação para a proteção de dados dos países integrantes da União Europeia (UE).

Antes da aprovação da lei nacional, não era incomum, entre algumas empresas, a prática de utilizar informações de clientes – sem o consentimento e conhecimento deles. Após aprovada, a LGPD apresentou princípios importantes para que essa situação seja evitada.

Um deles é o princípio da segurança que significa utilizar medidas administrativas e técnicas para a proteção de dados pessoais, acessos não autorizados, situações ilícitas ou acidentais de perda, destruição, comunicação, difusão ou alteração. 

Outros princípios importantes são:

  • Finalidade – as empresas precisam justificar a utilização de dados pessoais;
  • Adequação – os dados coletados devem ser compatíveis com a finalidade informada ao titular;
  • Necessidade – as informações pessoais tratadas devem ser apenas as essenciais para o desenvolvimento do negócio;
  • Livre acesso – os titulares precisam ter acesso fácil aos seus próprios dados;
  • Qualidade – os dados pessoais devem ser atualizados, exatos e claros;
  • Transparência – os titulares precisam saber quem são os responsáveis pelo tratamento dos dados (também chamados de agentes de tratamento);
  • Prevenção – as organizações devem planejar medidas preventivas para eventuais problemas na gestão dos dados (vazamentos, ataques cibernéticos e perdas);
  • Não discriminação – as informações pessoais não podem ser usadas para objetivos discriminatórios;
  • Responsabilização – aplicabilidade das normas legais e dos mecanismos de segurança, visando a proteção dos dados.

Se quiser conhecer as normas legais mais a fundo, este conteúdo explica de maneira completa para você. 

Contrato LGPD: como se adequar 

Um dos itens mais importante para se adequar é realizar um contrato LGPD completo. Ao estabelecer um contrato entre controlador e operador é necessário garantir que cada um cumpra as normas de proteção de dados pessoais, proteja os dados pessoais dos clientes, funcionárias, terceiros ou qualquer outro e garantir que ambas as partes entendam seu papel. 

A começar alguns princípios a serem seguidos. 

  • Princípio da finalidade: o recolhimento e tratamento (uso) de um dado devem ter um fim estipulado que justifique sua necessidade;
  • Princípio da adequação: os dados colhidos, solicitados e armazenados precisam ser relacionados à finalidade apontada. Um bom exemplo é diz respeito à sexualidade do colaborador, algo que não é necessário para qualquer tipo de ação interna;
  • Princípio da necessidade: os dados devem se limitar àqueles necessários para a finalidade indicada.
  • Princípio da transparência: a empresa deve demonstrar quais dados são armazenados, a justificativa para isso e o tempo de armazenamento;
  • Principio da não discriminação: os dados não podem ser utilizados para qualquer tipo de discriminação nas ações da empresa ou de terceiros;
  • Princípio do consentimento: o cidadão a quem os dados se referem deve consentir com o uso de suas informações.
  • Agentes de tratamento: o contrato é firmado pelo operador e controlador.
  • Medidas de segurança: deverá constar o objeto e duração do tratamento, além da natureza e finalidade do mesmo. 
  • Compartilhamento de dados: quais serão os dados pessoais envolvidos. 
  • Direitos dos titulares: quais os direitos do proprietário dos dados. 
  • Incidentes 
  • Auditoria: agir de acordo com as instruções do controlador, dever de confidencialidade, medidas de segurança apropriadas, utilização de subprocessos. 
  • Retenção e exclusão dos dados
  • Penalidades 
  • Comunicações 

Contrato LGPD: erros a serem evitados 

Agora, temos alguns erros que devem ser evitados para que não haja nenhum problema. 

Não se atentar ao objeto do contrato 

No Art. 1º da LGPD está escrito: “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” 

O Art. 4º, por sua vez, complementa o Art. 1º ao trazer hipóteses em que a legislação não é aplicável. Na hora de adequar um contrato à LGPD, o passo mais importante é entender o objeto e se ele implica em atividade de tratamento de dados pessoais. 

Essa é uma etapa fundamental para que o instrumento contemple cláusulas que façam sentido para relação jurídica, principalmente se considerarmos que em muitos casos as partes não possuem como principal função atividades de tratamento de dados pessoais.

Tomar medidas técnicas para segurança dos dados pessoais 

Os instrumentos contratuais funcionam como um respaldo para as relações jurídicas, estabelecendo os limites de atuação das partes, do que uma lista prescritiva determinando exatamente o que cada um deve fazer.

Com o avanço da tecnologia diariamente o contrato acaba ficando mais antigo.  Como solução, as partes podem estabelecer medidas técnicas mínimas em documentos apartados ao contrato, cuja atualização seja facilitada.

Reproduzir dispositivos legais indiscriminadamente 

Alguns contratos no Brasil contém textos legais para simplificação. Em uma relação entre operador e controlador, no entanto, nada impede que o controlador permita ao operador alguma função que seria obrigatoriedade do controlador. 

No entanto, isso pode ser discriminado no contrato e não reproduzido indiscriminadamente no texto legal.

Replicar políticas de privacidade de outras organizações

É comum que se utilize alguns contratos padronizados, porém, nesses casos, a dica é buscar o equilíbrio. Não há problema em adotar cláusulas padrão de proteção de dados, mas elas devem ter relação ao seu tipo de negócio e como vai ser gerida a área de LGPD na sua empresa. 

Ou seja, deve ser garantindo que todas as partes que estão envolvidas não sejam prejudicadas futuramente durante e execução do contrato. 

Conheça o curso de Introdução à Proteção de Dados da Doutorize!

A Doutorice está construindo uma nova forma de aprender Proteção de Dados e Tecnologia. Conteúdos altamente especializados explicados por quem entende, de forma simples e direta.

Atendemos estudantes e profissionais que sabem a importância da educação em suas vidas e que se encontram no momento de virada profissional, buscando iniciar de fato suas trajetórias, ou potencializá-las para um novo nível. 

Nossa principal oferta é educação de qualidade, desenvolvida junto a professores qualificados e com foco no resultado efetivo da formação.

O curso de Introdução à Proteção de Dados tem como objetivo ensinar os primeiros passos sobre a área de Proteção de Dados e a carreira de Data Protection Officer.

O que vou aprender?

  •  Introdução à Lei Geral de Proteção de Dados
  •  Como funciona a carreira de Data Protection Officer
  •  Requisitos para se tornar Data Protection Officer

Saiba mais sobre este curso.

Torne-se um DPO com a Doutorize! 

Para conseguir a certificação DPO, Data Protection officer, da Doutorize o profissional terá 56 horas de atividades. As atividades estão divididas em videoaulas, leitura do material que é recebido, atividades práticas obrigatórias de desenvolvimento, além dos simulados. 

O curso é feito em 3 módulos principais: 

  • 1º módulo – Information Security Foundation (ISFS) – no primeiro módulo o objetivo é o conhecimento sobre a segurança da informação e tudo sobre esse universo.  
  • 2º módulo- Privacy & Data Protection Foundation (PDPF) – o segundo módulo tem como objetivo o conhecimento sobre a proteção de dados em que o profissional vai aprender muito sobre legislação e sobre a lei europeia GDPR que é a inspiração para a lei de proteção de dados aqui do Brasil. 
  • 3º módulo – Privacy & Data Protection Practitioner (PDPP) – o terceiro módulo tem como objetivo o conhecimento sobre a proteção de dados de modo prático, o profissional vai aprender as boas práticas da proteção de dados em qualquer organização que vá atuar. 

Cadastre-se agora mesmo no curso de Data Protection Officer da Doutorize. Quer entender um pouco mais sobre a LGPD? Acesse nossos conteúdos e entre nesse universo. 

Deixe um comentário