NEWS

LGPD – meu negócio precisa de um Contrato de Processamento de Dados?

Compartilhe esse conteúdo

Compartilhar no facebook
Facebook
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn
Compartilhar no whatsapp
WhatsApp
Compartilhar no email
Email

Se você é um controlador de dados (aquele que decide como e porque vai coletar os dados e vai dar as ordens em relação ao tratamento deles), um operador/processador de dados (tende ser a empresa de cloudy que armazena os dados) ou ambos, é importante entender a importância do contrato de processamento de dados e implementá-lo por escrito.

O contrato de processamento de dados – DPA data processing agreement, garante que todas as partes envolvidas vão manipular adequadamente os dados pessoais, principalmente estabelecendo requisitos para os operadores de dados atenderem antes de confiar nos dados fornecidos pelo controlador de dados.

Na LGDP esse tipo de contrato está previsto no art.35 e na Lei Europeia – GDPR, encontra-se entre os artigos 28 e 36.

Por exemplo, se você coletar dados pessoais dos usuários em seu site e, em seguida, usar um operador/processador armazenar esses dados, é muito importante que você tenha garantias de que esse processador de dados está operando em conformidade com a LGPD ou o GDPR, no caso de enviar os dados para a Europa, e dando a correta destinação aos dados de seus usuários.

Se o seu processador de dados não estiver em conformidade com a lei, manipular dados incorretamente ou for vítima de uma violação de dados, um contrato de processamento de dados poderá protegê-lo juridicamente, comprovando que você teve a devida diligência para garantir que a empresa com a qual você fez parceria estava os procedimentos adequados.

Sem esse contrato, responsabilidade e culpa podem recair sobre você por utilizar um terceiro sem políticas e procedimentos adequados. Isso pode abalar a confiança dos usuários que forneceram informações pessoais à você.

A falta de um Contrato de Processamento de Dados adequado é uma violação à lei.

Abaixo listamos alguns pontos que não podem faltar no contrato:

  • Qual o objeto do acordo – costuma elencar todas as atividades que serão desempenhadas no relacionamento contratual entre os parceiros;
  • Qual o objetivo, a natureza e a duração do processamento de dados – deve mencionar como os dados pessoais são usados, por exemplo, para analisar o comportamento do usuário em seu site ou para personalizar a experiência do usuário e qual das partes será responsável por garantir que os dados processados atendem aos requisitos do GDPR ou da LGPD (em regra isso fica com o controlador);
  • Prazo do contrato e condições de rescisão do contrato – é necessário incluir informações de que os dados dos clientes do controlador devem ser removidos dos bancos de dados do processador após a rescisão do contrato e enumerar os casos em que cada parte tem o direito de rescindir o contrato (por exemplo, se o operador deixar de informar o controlador sobre uma violação de dados ou alterações não autorizadas nos procedimentos de processamento de dados, poderá configurar quebra de contrato);
  • Quem são os sujeitos do processamento de dados – nesta parte deve ser definidos quem são os titulares dos dados, se são clientes bancários, clientes de loja, pacientes ou simplesmente visitantes do site, dentre outros;
  • Quais os tipos de dados que serão processados – aqui devem ser elencadas as categorias de dados que serão manipuladas usando os meios do processador de dados – por exemplo, características técnicas do navegador, dados comportamentais nas atividades do site, endereços IP, etc. Importante que o controlador informe ao processador de dados se os dados enviados são sensíveis ou de menores de idade, já que esse tipo de dados requerem um tratamento mais restrito;
  • Armazenamento de dados – Se os dados forem mantidos no exterior, é importante descrever as etapas que o processador de dados deve realizar para garantir um nível de segurança igual ao que é cultivado dentro do Brasil ou da Europa, no caso de ser utilizado o GDPR;
  • Direitos e responsabilidades dos controladores de dados de forma pormenorizada;
  • Responsabilidades dos processadores/operadores de dados, nos termos dos artigos 28 ao 36 do GDPR e/ou artigo 35 da LGPD;
  • Termo de Confidencialidade – o processador de dados deve provar seus esforços para garantir a segurança total dos dados do controlador. Deve constar no contrato, por exemplo, como é ou será a estrutura do data center em que os dados ficarão armazenado, quais protocolos de controle de segurança da informação serão seguidos, se haverá algum acesso físico ou remoto, etc.

Nossa área de Relações e Negócios Digitais fica à disposição para auxiliar pessoas físicas e jurídicas a resguardar seus direitos e estabelecer programas de Compliance Digital.

Paula Melina Firmiano Tudisco

Paula Melina Firmiano Tudisco é advogada, formada em 2009 pela UNOPAR (Universidade Norte do Paraná). Possui expertise em Direito Digital, pós graduanda em direito eletrônico e atua no Núcleo de Relações e Negócio Digitais do escritório Küster Machado. É membro da Associação Brasileira de Tecnologia e Direito e membro da Comissão de Direito Digital da OAB Londrina/PR.
Küster Machado Advogados
Küster Machado Advogados Com mais de 30 anos de atuação nacional, o Küster Machado Advogados oferece soluções jurídicas abrangentes nas esferas contenciosas e consultivas em mais de 20 áreas do Direito a nível nacional. Possui unidades nas cidades de Curitiba, Blumenau, Londrina, Florianópolis e São Paulo e desks na Suécia, China e Estados Unidos.

Últimos posts desse autor

LGPD: 5 ajustes prioritários para se adequar.

LGPD EM VIGOR A LGPD finalmente está em vigor desde o dia 18/09/2020. Agora é hora de eleger prioridades e entender onde os ajustes são necessários. Adequação contratual A LGPD

O WhatsApp pode ser usado como prova?

Tão popular nos dias de hoje, o aplicativo desperta uma dúvida muito comum:  é possível utilizar uma conversa no WhatsApp num processo? Sim, caso haja um conflito na justiça, podem