A LGPD (lei 13.709/18) trouxe regras para coleta, uso e armazenamento de dados pessoais, transformando as relações jurídicas, especialmente contratuais. Sua adequação é indispensável para empresas e indivíduos, a fim de assegurar privacidade, segurança das informações, conformidade legal e mitigação de riscos.
A legislação exige que as partes estabeleçam, de forma clara, quais dados serão coletados, para quais finalidades serão utilizados, os limites de compartilhamento, bem como as responsabilidades de cada parte quanto à guarda, ao uso e à eliminação dessas informações. Isso se aplica tanto a contratos de prestação de serviços e fornecimento de produtos quanto a instrumentos trabalhistas e de parceria empresarial.
Definição de papéis e responsabilidades
É fundamental que o contrato estabeleça de forma inequívoca a qualificação de cada parte envolvida no tratamento de dados: a) Controlador: responsável pelas decisões referentes ao tratamento de dados pessoais); ou b) Operador: quem realiza o tratamento em nome do controlador. É a parte que executa as operações de tratamento de acordo com as instruções do controlador.
É crucial que o contrato especifique quem assume cada papel para evitar ambiguidades e garantir a atribuição correta de responsabilidades em caso de incidentes ou não conformidade. Essa definição deve ser explícita e detalhada, abrangendo todas as etapas do ciclo de vida dos dados.
O contrato deve estabelecer de forma clara e específica a finalidade para a qual os dados pessoais serão tratados. A LGPD exige que o tratamento de dados seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular. Portanto, a cláusula deve detalhar a razão pela qual os dados estão sendo coletados e processados, quais dados serão tratados e em que contexto e, a base legal que justifica o tratamento dos dados, conforme previsto nos arts. 7º, 11 e/ou 14 da LGPD.
É fundamental que o operador se comprometa a tratar os dados exclusivamente para as finalidades descritas no contrato e de acordo com as instruções do controlador, sendo vedada qualquer utilização para outros fins sem autorização expressa.
A transparência quanto à finalidade é um dos pilares da LGPD, garantindo que o titular dos dados compreenda o porquê e como suas informações serão utilizadas. Qualquer tratamento de dados que fuja da finalidade estabelecida no contrato pode configurar um ilícito.
O contrato deve prever mecanismos que garantam o exercício dos direitos dos titulares dos dados, como o acesso, correção, eliminação, portabilidade, entre outros, conforme o art. 18 da LGPD. O operador deve se comprometer a implementar processos simples e eficazes para facilitar o exercício desses direitos pelos titulares, atuando em conjunto com o controlador.
Medidas de segurança e confidencialidade
A segurança dos dados pessoais é um pilar central da LGPD. O contrato deve prever a implementação de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Essas medidas podem incluir criptografia para proteger os dados, restrição de acesso aos dados apenas a pessoas autorizadas, anonimização de dados. Também podem prever a realização periódica de auditorias e testes de segurança, como uma forma de identificar e corrigir vulnerabilidades, bem como o treinamento dos colaboradores acerca das políticas de privacidade e segurança da informação.
Em caso de incidentes de segurança que possam comprometer a integridade, disponibilidade ou confidencialidade dos dados pessoais, é imprescindível que o contrato estabeleça a obrigação de notificação mútua em caso de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. A LGPD exige que o controlador comunique à ANPD - Autoridade Nacional de Proteção de Dados e ao titular a ocorrência de tais incidentes em prazo razoável, e a cooperação entre as partes contratuais é fundamental para o cumprimento dessa obrigação.
O contrato deve definir o tempo máximo para o operador comunicar o incidente ao controlador, recomenda-se que a comunicação ocorra em até 24 horas após a descoberta. Deve conter quais informações deverão ser compartilhadas no momento da comunicação do incidente de segurança, tais como os detalhes sobre os incidentes, a natureza dos dados afetados, medidas de segurança que foram utilizadas, entre outras informações. Também deverá estabelecer a obrigação de cooperação das partes, bem como boa-fé na investigação, mitigação e comunicação do incidente, incluindo a coordenação para quaisquer declarações públicas ou avisos necessários aos titulares ou à ANPD.
Subcontratação e transferência internacional de dados
Caso haja subcontratação de serviços que envolvam tratamento de dados pessoais ou transferência internacional de dados, o contrato deve prever condições claras para essas operações, garantindo que os subcontratados e os destinatários dos dados no exterior também estejam em conformidade com a LGPD e que as garantias de proteção sejam mantidas.
O contrato pode prever o direito de uma parte auditar a outra para verificar a conformidade com as obrigações de proteção de dados. Isso reforça o princípio da responsabilização e prestação de contas, permitindo que o controlador, por exemplo, verifique se o operador está cumprindo as medidas de segurança e as diretrizes estabelecidas.
Rescisão contratual e retenção de dados
As condições para a rescisão do contrato e o destino dos dados pessoais após o término da relação contratual devem ser claramente definidas. O contrato deve especificar se os dados serão eliminados, anonimizados ou devolvidos ao controlador, e em que prazo, respeitando as disposições da LGPD sobre o término do tratamento de dados.
O não cumprimento dessas disposições pode gerar consequências jurídicas relevantes. A ANPD - Autoridade Nacional de Proteção de Dados é responsável pela fiscalização e aplicação das sanções administrativas, que variam conforme a gravidade da infração, o porte da entidade e o benefício auferido. Assim, contratos que não tratem adequadamente da retenção ou eliminação de dados podem expor as partes a penalidades e litígios.
Para reduzir riscos, torna-se indispensável que as empresas implementem programas de compliance em proteção de dados, com medidas como revisão periódica de contratos, adequação de processos internos e capacitação de equipes. Além de demonstrar compromisso com a privacidade, essas ações podem servir como atenuantes em caso de incidentes e reforçam a confiança dos titulares e do mercado.
Conclusão
As consequências do descumprimento da LGPD não se limitam às esferas administrativa e civil. A publicização de infrações e a repercussão negativa de incidentes de segurança de dados podem causar danos irreparáveis à reputação e à credibilidade de uma empresa. A perda de confiança dos clientes, parceiros de negócios e do mercado em geral pode resultar em prejuízos financeiros significativos e na dificuldade de manter ou atrair novos negócios. Em um cenário onde a privacidade é cada vez mais valorizada, a conformidade com a LGPD torna-se um diferencial competitivo e um fator essencial para a sustentabilidade de qualquer organização.
Dessa forma, a adequação à LGPD é um processo contínuo que exige atenção e diligência na elaboração e revisão de contratos. A inclusão das cláusulas obrigatórias e a adoção das melhores práticas apresentadas neste documento são essenciais para garantir a proteção dos dados pessoais, a segurança jurídica das partes e a conformidade com a legislação. É recomendável que as empresas busquem assessoria jurídica especializada para garantir que seus contratos estejam plenamente alinhados com as exigências da LGPD e com as particularidades de suas operações.
_________________
Este artigo foi elaborado a partir de contribuições escritas e dos debates realizados no Grupo de Estudos em Proteção de Dados MBA, coordenado por Vander M. Cristaldo – advogado e DPO, membro da CEA-LGPD e do Comitê Técnico para implementação da LGPD da OAB/MS.
BRASIL, Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Danos Pessoais – LGPD) https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
NETO, Luiz Augusto Santa Cruz Machado. Direito Contratual e Proteção de Dados Pessoais: A Influência da Lei Geral de Proteção de Dados LGPD nos Contratos. https://www.ebradi.com.br/blog/direito-contratual-e-protecao-de-dados-pessoais-a-influencia-da-lei-geral-de-protecao-de-dados-lgpd-nos-contratos/
CONJUR. Com dano presumido, STJ adota posição mais rigorosa sobre compartilhamento de dados. https://www.conjur.com.br/2025-set-09/com-dano-presumido-stj-adota-posicao-mais-rigorosa-sobre-compartilhamento-de-dados/
ANPD. Guia Orientativo: Atuação do Encarregado pelo tratamento de dados pessoais. https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/copy_of_guia_da_atuacao_do_encarregado_anpd.pdf