Recentemente, a LiciJur foi procurada pelo cliente para verificar um aditivo contratual encaminhado pela empresa Petróleo Brasileiro S.A – Petrobrás, cujo objeto, para além de outras cláusulas de praxe, resumia-se à previsão de cláusulas a respeito da proteção de dados pessoais, com base na Lei Geral de Proteção de Dados, a tão conhecida LGPD.
O início do aditivo é bem didático, demonstrando de forma clara quem será o controlador e operador dos dados pessoais, bem como a necessária observação das finalidades legítimas, explícitas e específicas, estritamente relacionadas com a execução do objeto previsto na cláusula primeira do contrato principal.
Em razão do objeto do contrato, o que chamou a atenção foram as espécies de dados ora tratados na execução do contrato: os dados de saúde (ASO, peso, doenças); de identificação (nome, CPF, RG); de contato (correio eletrônico, telefone, endereço), de localização, financeiros e das seguintes categorias de titulares: Prestadores de serviços. Tais espécies de dados pessoais ora tratados traz ainda mais ao contratado um senso de responsabilidade, por se tratar de dados sensíveis.
Outro ponto que chamou a atenção foi o fato de que no contrato há previsão de que as partes, ou seja, incluindo a empresa CONTRATADA, deverão tomar providências quanto às medidas de segurança da informação, devendo, pois, atuar diretamente na área técnica, jurídica e administrativa aptas a proteger os dados pessoais de acessos não autorizados ou de qualquer forma de tratamento inadequado ou ilícito, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, observando-se os padrões definidos pela Autoridade Nacional de Proteção de Dados (ANPD) e o disposto na legislação de proteção de dados e privacidade aplicáveis.
Ademais, o aditivo é claro ao prever a necessidade de a empresa contratada comunicar imediatamente a empresa contratante caso haja algum incidente no que diz respeito ao dados pessoais. conforme cláusula, está previsto que:
Quaisquer incidentes de segurança, incluídos, mas não limitados aos ataques por hackers e/ou invasões de qualquer natureza e/ou vulnerabilidades técnicas que exponham ou tenham o potencial de expor dados pessoais tratados em decorrência do presente contrato, deverão ser imediatamente comunicados por escrito pela CONTRATADA à PETROBRAS, mesmo que se trate de meros indícios. A CONTRATADA deverá guardar todos os registros (inclusive logs, mandados e outras evidências dos incidentes), informar as providências adotadas e os dados pessoais eventualmente afetados, bem como prestar toda a colaboração e fornecer toda a documentação necessária a qualquer investigação ou auditoria que venha a ser realizada.
Por fim — e o que se entende como mais importante — está previsto que caso haja algum descumprimento das cláusula do aditivo que envolva a questão dos dados pessoais, a empresa contratada está sujeita a (i) Aplicação das medidas contratualmente aplicáveis em caso de descumprimento, incluindo, mas não se limitando às multas contratuais, na forma da cláusula específica deste Contrato; (ii) Rescisão contratual, se vigente o Contrato e (iii) Responsabilidade por perdas e danos, não se aplicando quaisquer limites de valor previstos neste Contrato.
A tradução literal de compliance é estar em conformidade. O questionamento ora instigado por meio desse breve informativo é se as empresas estão em conformidade com a Lei Geral de Proteção de Dados (LGPD), ou seja, se estão cumprindo com as exigências legais, sobretudo quando o objeto da atividade econômica da empresa é a relação contratual com o Poder Público.
Sua empresa já tem cronograma de implantação de segurança da informação quando o assunto é proteção de dados pessoais?
MAURICIO GAZEN
OAB/RS 71.456
JAILSON SOARES
OAB/RS 115.168