Eduardo Moises
O contrato é o meio seguro de regular os interesses em uma negociação, definindo as partes, a finalidade, as responsabilidades e obrigações que cada um se sujeita na relação ali combinada.
Portanto, em relações que envolvam o tratamento de dados pessoais, imprescindível que o contrato estes em conformidade com as diretrizes constantes na LGPD, no intuito de proteger as partes envolvidas.
Ao iniciar a redação do instrumento contratual é aconselhável definir os conceitos que serão utilizados, como os aspectos técnicos e o que se considera no Artigo 5ª da LGPD, bem como estabelecer os papéis de cada uma das partes, como os agentes de tratamento, definindo quem é o Controlador e quem é o Operador e o limite de suas responsabilidades e obrigações.
Deve constar, também, se será admitida a contratação de terceiros na realização do tratamento de dados pessoais, chamados de Suboperador e os requisitos para essa contratação.
Os tratamentos que serão realizados deverão ser especificados, assim como os dados que serão utilizados, as finalidades pretendidas e as fundamentações legais, no intuito de limitar as partes no tratamento do dado pessoal e garantir a segurança dos dados. No contrato deverá constar como e por quem serão realizados os atendimentos aos titulares dos dados que serão tratados, inclusive, para casos que houver controladores conjuntos.
É aconselhável incluir no contrato os requisitos mínimos de segurança para a realização do tratamento, como atualização de senhas de acesso aos dados, sistemas antivírus, limitações de acessos e outros. Importante também estarem definidas as condições para os casos que ocorrer um incidente de segurança, como o prazo de comunicação das partes, o prazo de comunicação aos titulares dos dados envolvidos e a comunicação a ANPD (Autoridade Nacional de Proteção de Dados), além da definição do que será de fato considerado um vazamento relevante e, portanto, tratado como um incidente de segurança.
Deverá haver previsão contratual sobre o descarte dos dados após o término do contrato, se serão eliminados e de qual forma ou devolvidos após o tratamento. Por fim, não esquecer de cláusula dispondo sobre as penalidades que serão aplicadas para a parte que não cumprir suas obrigações definidas no contrato.
Constata-se, pois, que a segurança das partes envolvidas (Controlador e Operador), que realizarão o tratamento de dados pessoais e aos titulares, que terão seus dados pessoais tratados, dependerá da elaboração correta de um contrato de acordo com as normas de privacidade e proteção de dados.