Dados pessoais são valiosos nos dias de hoje. Como tal, os titulares devem possuir direitos sobre como, quando e por quem seus próprios dados são utilizados. É exatamente isso que a Lei Geral de Proteção dos Dados (LGPD) fez: reconheceu os direitos dos cidadãos brasileiros sobre seus dados pessoais. Dentre diversas áreas, a LGPD organiza a gestão de contratos empresariais.
A LGPD já não é nenhuma novidade. Aprovada em 2018, a lei já está em vigor desde 2020, ameaçando organizações que não cumprirem seus requisitos de sofrerem altas penalidades. No entanto, a adequação ao regulamento ainda é baixa entre as empresas brasileiras, com muitas tendo dúvidas sobre como e quando devem se adequar.
Uma dessas questões gira em torno dos dados pessoais presentes em um contrato. Qualquer contrato possui o registro dos dados pessoais das partes envolvidas. Como guardião do contrato, sua empresa deve garantir que esses dados sejam bem armazenados e tratados de acordo com uma das bases legais estabelecidas pela LGPD.
No artigo de hoje, explicaremos o que diz a LGPD para que você saiba como fazer a gestão de contratos e cumprir com os requisitos da norma! Acompanhe:
LGPD: o que diz a lei?
A Lei Geral de Proteção dos Dados foi criada como forma de garantir a privacidade e o controle dos dados pessoais aos seus titulares brasileiros. Ela estabelece uma série de regras para o tratamento e armazenamento desses dados. Para isso, a LGPD define dados pessoais como “informação relacionada a pessoa identificada ou identificável”.
Em outras palavras, dado pessoal é toda informação através da qual podemos definir a identidade de uma pessoa. Isso inclui, mas não se restringe a, informações como nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, etc.
De acordo com a LGPD, organizações que fizerem uso em qualquer nível de algum desses dados, seja de clientes, fornecedores ou parceiros, devem seguir regras para garantir a privacidade e transparência no tratamento das informações.
Podemos resumir as regras e requisitos da LGPD em quatro pontos:
1. O tratamento dos dados precisa ter uma base legal
As bases legais são as hipóteses de uso dos dados permitidas de acordo com a LGPD. Existem diferentes bases, e o uso de cada dado pessoal deve ser sustentado por pelo menos uma delas. Abaixo, listamos as bases legais mais comumente utilizadas:
- Consentimento;
- Legítimo interesse;
- Cumprimento de obrigação legal ou regulatória;
- Tratamento pela administração pública;
- Realização de estudos e de pesquisa;
- Execução ou preparação contratual;
- Exercício regular de direitos;
- Tutela de saúde do titular;
- Proteção de crédito.
Seja qual for a base legal, ela deve estar clara para o titular dos dados no momento em que a coleta dos dados é realizada.
2. O tratamento deve ter prazo de validade
Nenhuma organização pode armazenar dados pessoais indefinidamente em seus servidores. Isso significa que, além de ter uma base legal, é preciso especificar um prazo de validade para o uso das informações.
Este prazo deve ser informado de forma clara e concisa juntamente com a base legal de uso no momento da coleta de dados. Após o fim do prazo, a base legal deve ser renovada ou os dados devem ser deletados dos registros da empresa.
3. Os direitos dos titulares devem ser respeitados
A LGPD deu aos titulares dos dados direitos sobre eles. Cabe à empresa que realiza o tratamento dos dados garantir o respeito a esses direitos, que incluem:
- Confirmação da existência de tratamento. Caso solicitado à empresa pelo titular, aquela deve informar se, atualmente, trata ou não os dados pessoais deste;
- Acesso aos dados. Caso solicitado, a empresa deve passar ao titular uma relação dos dados que são tratados;
- Correção dos dados. Os titulares também podem solicitar que dados incompletos, inexatos ou desatualizados sejam corrigidos;
- Anonimização ou bloqueio. De dados desnecessários, excessivos ou tratados em desconformidade com a LGPD devem ser anonimizados ou bloqueados;
- Portabilidade dos dados. Os titulares também podem pedir que os dados sejam transferidos a outro fornecedor de serviço ou produto;
- Eliminação dos dados. Dados pessoais também devem ser excluídos dos bancos da empresa, caso o usuário solicite a eliminação em qualquer momento do tratamento;
- Revogação do consentimento. Por último, o usuário pode retirar o consentimento para o tratamento no momento em que achar conveniente.
4. Os dados devem ser protegidos contra terceiros
Os dados pessoais presentes em um contrato também devem ser protegidos contra o acesso desautorizado de terceiros. Isso é especialmente crítico quando falamos de contratos digitais.
Os contratos digitais têm seus dados armazenados em servidores na nuvem, o que os torna suscetíveis a ataques hackers. Por isso, é preciso pensar nas medidas de segurança da informação que garantirão a integridade desses servidores e do acesso aos softwares que guardam os contratos.
Caso haja um vazamento, a empresa detentora dos dados poderá ser responsabilizada e penalizada.
Como fazer a gestão de contratos de acordo com a LGPD
O artigo 42 da LGPD estabelece que a responsabilidade pelo cumprimento dos requisitos da lei é compartilhada entre controladores e operadores dos dados pessoais. De acordo com a legislação, controlador é aquele a quem compete as decisões sobre o tratamento dos dados, enquanto operador é quem executa as decisões em nome da operador.
Em um exemplo simples, sua empresa é controladora do dados pessoais dos clientes armazenados em seu CRM, enquanto o fabricante do software é o operador em seu nome.
No caso da gestão de contratos, é importante que haja o entendimento de quem são o(s) controlador(es) e operador(es), uma vez que neste tipo de acordo podem haver múltiplas partes envolvidas no uso dos dados.
Dito isso, existem alguns passos que devem ser seguidos para realizar a gestão de contratos de acordo com a LGPD, sendo:
1. Faça um levantamento dos dados já existentes
O primeiro passo é saber o que você tem. O mapeamento dos dados presentes nos contratos atuais é fundamental para que você saiba o que precisa proteger.
Quem já possui os contratos bem organizados terá facilidade neste passo — se este não for o seu caso, o mapeamento não só ajudará na adequação à LGPD como também na gestão futura dos seus documentos.
Lembre-se de identificar, para cada contrato, controladores e operadores de cada dado pessoal. Mesmo que o contrato aconteça entre duas pessoas jurídicas, haverá no mesmo dados pessoais dos representantes dessas, por isso tenha atenção neste momento.
2. Crie um sistema de coleta de consentimento
A principal e mais utilizada base legal da LGPD é o consentimento. Isso porque, assim, não há dúvidas sobre a legalidade do tratamento.
Ao criar um sistema de coleta de consentimento, é preciso ter em mente que ele deve ser: (1) livre, (2) informado, (3) inequívoco e (4) atrelado a uma finalidade.
Isso significa que:
- O titular deve dar seu consentimento espontaneamente;
- As cláusulas de consentimento devem ser claras e objetivas;
- Não podem haver dúvidas quando a cessão do consentimento;
- Ao titular deve ser informada qual a finalidade e o prazo de uso dos dados.
No caso da gestão de contratos, este sistema de consentimento deverá tomar a forma de cláusulas específicas contratuais.
3. Defina cláusulas contratuais específicas
É claro, todo contrato já possui cláusulas de privacidade — no entanto, é preciso acrescentar agora cláusulas específicas que tratem dos requisitos da LGPD.
As cláusulas contratuais específicas deverão ser criadas pelo seu departamento de tecnologia em conjunto com seu departamento jurídico.
Ao criá-las, lembre-se de que elas devem estar facilmente acessíveis para fins de conformidade em caso de auditorias. Isso significa que quem lida com contratos apenas em papel deve pensar na digitalização dos documentos.
Algumas dessas cláusulas podem incluir, mas não se limitam a:
- Cláusula sobre como a empresa coleta os dados e quais dados são coletados;
- Cláusula apresentando os direitos dos titulares de acordo com a LGPD;
- Cláusula sobre a possibilidade da revogação do consentimento. Ou sobre o que muda no contrato caso isso seja solicitado;
- Cláusula sobre os procedimentos para a correção, bloqueio ou eliminação de dados;
- Cláusula sobre o procedimento para que o titular acesse os dados tratados.
4. Revise os contratos existentes e adicione as cláusulas nos novos
Os contratos já existentes que não constarem as cláusulas específicas devem ser retificados com a criação de adendos que devem ser devidamente assinados pelos titulares dos dados. E, claro, essas cláusulas deverão fazer parte integral dos seus novos contratos.
A gestão de contratos sob a LGPD pode ser desafiadora no início, especialmente para aquelas empresas que não tiverem seus contratos bem mapeados. Para facilitar sua vida, vale utilizar uma solução de gestão na nuvem que facilite o acesso aos contratos da organização e permita assinatura e validação digital dos mesmos.
Ficou interessado? Conheça o site do iGree e veja o que nossa solução pode fazer pela gestão de contratos!