LGPD – O que é e como fazer o Contrato para Tratamento de Dados (DPA)

LGPD – O que é e como fazer o Contrato para Tratamento de Dados (DPA)

Você já deve ter ouvido falar sobre o Controlador e o Operador, mas aqui vamos te ensinar como elaborar o contrato entre esses dois agentes: o Contrato para Tratamento de Dados – DPA.

Em 2018, foi publicada a Lei nº 13.709, Lei Geral de Proteção de Dados (LGPD), com o objetivo de regulamentar o tratamento de dados pessoais. 

Desde então, começou a corrida para a implementação das da LGPD nas empresas. 

Conforme já explicamos em outros artigos aqui no Blog da Juddi, existem fases fundamentais para realizar a implementação da LGPD, a começar pelo mapeamento dos dados utilizados pela empresa. 

Além das regras para a coleta e uso de informações pessoais, a legislação criou também os chamados agentes responsáveis pelo tratamento de dados, quais sejam: o controlador e operador.

Controlador e Operador: manda quem pode, obedece quem tem juízo

O controlador é pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. 

Já operador, pessoa natural ou jurídica, de direito público ou privado, realiza o tratamento de dados pessoais em nome do controlador.

Em outras palavras, o Controlador é o responsável pelo tratamento de dados pessoais coletados e pode contratar um terceiro, denominado operador, para realizar o tratamento desses dados, que também tem responsabilidades quanto à proteção dos dados pessoais coletados.

Para garantir segurança para todas as partes envolvidas na realização do tratamento dos dados, torna-se indispensável elaborar um contrato de serviço entre o controlador e o operador.

Onde entra o DPA nessa história toda?

Como Controlador e Operador vão estabelecer uma relação de responsabilidades e obrigações mútuas, é necessário formalizar isso através de um contrato.

Na lei europeia sobre tratamento de dados, a GDPR – General Data Protection Regulation, esse contrato estabelecido entre Controlador e Operador é o DPA – Data Processing Agreement.

Adaptando esse documento à realidade brasileira, movida pelo início da vigência da Lei Geral de Proteção de Dados Pessoais, nós chegamos ao Contrato para Tratamento de Dados.

O que não pode faltar no Contrato para Tratamento de Dados

O Contrato para Tratamento de Dados é atípico. Isso significa que as partes podem ajustar a forma e o conteúdo desse contrato livremente.

Vamos listar aqui alguns dos itens essenciais a este documento, de modo que você possa aplicar na sua empresa ou para seus clientes sem receio de ter esquecido alguma coisa.

Em suma, o contrato deve conter: 

  1. os objetivos organizacionais pretendidos pelo Controlador; 
  2. os objetivos estabelecidos pela LGPD;
  3. cláusulas de proteção de dados pessoais indicando natureza dos dados pessoais, base legal do tratamento, objetos e resultados do tratamento, duração do tratamento, requisitos de segurança envolvidos, aspectos do tratamento dos dados pessoais.

Logo, o contrato deve conter os seguintes itens:

  1. Natureza dos dados pessoais, Finalidade e Bases legais do tratamento de dados pessoais;
  2. Operações a serem realizadas com os Dados Pessoais:
    1. Definir e regular as operações de tratamento de dados pessoais, estabelecendo as finalidades, necessidades e limites do tratamento dos dados pessoais, com a correspondente informação ao Titular dos dados pessoais;
    2. Término do Processamento, periodo de posse dos dados pessoais pelo Operador, necessário e suficiente para executar o tratamento, critérios de seleção dos dados pessoais, salvo para cumprimento de obrigações legais;
    3. Definição de legítimo interesse para a manutenção dos dados pessoais na posse do Operador;
    4. Definição da necessidade de transferência dos dados pessoais para Sub-operadores;
  1. Direitos do Titular dos Dados Pessoais:
    1. Cláusulas que, caso necessário, possibilite o Titular dos dados pessoais acessar os seus dados de posse do Operador;
    2. Estabelecer a responsabilidade para correção e eliminação de dados pessoais caso ocorra solicitação do Titular dos dados pessoais;
  1. Segurança:
    1. Requisitos de segurança para o tratamento dos dados pessoais, sendo indicado a existência por parte do Operador de políticas de proteção de dados, e procedimentos de proteção contra violação, com as melhores práticas e medidas técnicas apropriadas para proteger os dados pessoais;
    2. Medidas sobre violação de dados pessoais, e informações suficientes para atender ao Titular dos dados pessoais e ao Órgão Regulador;
  1. Comprovação de Conformidades:
    1. Prever capacidade do Controlador de atestar a conformidade do Operador com a LGPD;
  1. Termos Gerais do Tratamento de Dados Pessoais:
    1. Prescrição de condições diversas entre as partes pactuantes (confidencialidade, publicidade, avisos, etc).

A corrida começou e você não pode ficar para trás!

A corrida para a implementação da LGPD em empresas que utilizam dados pessoas de clientes, colaboradores, funcionários já começou.

A LGPD já está em vigor no Brasil e suas regras se aplicam a todos que fazem tratamento de dados pessoais.

A adaptação dos contratos à Lei é apenas uma pequena parte do processo de adequação.

Não fique para trás! 

A Juddi disponibiliza documentos inteligentes e adequados à LGPD para que você possa criar e utilizar em sua empresa ou aplicar para seus clientes.

Lucas Mantovani

Um comentário em “LGPD – O que é e como fazer o Contrato para Tratamento de Dados (DPA)

Deixe uma resposta

%d blogueiros gostam disto: