CONTRATOS NA #LGPD

é porque os contratos entre os controladores e os operadores são tão importantes a eles defender não impõe os principalmente uma obrigação legal os controladores e operadores de formalizar em sua relação mas vamos ver nesse vídeo faz todo sentido prático e comercial ter um contrato celebrado entre essas partes meu nome é denise tavares e hoje eu vou falar sobre contratos nele depender e as cláusulas mínimas que devem constar nesses documentos sumiu e ao estabelecer um contrato os controladores de operadores declaram que cada um cumprir as normas de proteção de dados pessoais protegem os dados pessoais de

clientes funcionários terceiros ou qualquer outro e garantem que ambas as partes entenderam claramente o seu papel em relação aos dados pessoais que estão tratando por incrível que pareça eu já me deparei com uma situação que mesma empresa tendo assinado um contrato indicando que ela era controladora dos dados ela ainda não havia entendido que realmente o significava e mais ainda ela afirmava que o papel dela na realidade era de operadora esse assunto só foi levantado por um questionamento da matriz da empresa na europa chegou até a pensar que as definições e responsabilidades de controlador e operador

aqui no brasil poderiam ser diferentes do que está previsto no regulamento europeu você o funcionário que não foi confortável para a empresa brasileira assumiram equívoco que pode trazer tantas consequências que ainda não teve oportunidade no vídeo anterior eu falei sobre as diferenças entre os dois conceitos e quais as implicações para as partes serem caracterizados como controlador o operador vou deixar o link do vídeo que pode ajudar nesse papa agora você pode estar se perguntando se é tão importante porque a ele já perder não põe a necessidade de ser firmado um contrato entre o controlador eo

operador bom na minha visão a lgpd implicitamente diz que o contrato é necessário está previsto na lei defender que o controlador deverá verificar se o operador está seguindo as suas instruções e como controlador irá comprovar que está sendo dirigente em relação aos seus operadores se essas instruções não estiverem documentados além disso também está previsto na lgt de que o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador e se ele descobrir essas instruções ele pode responder junto com o controlador por danos causados e ser equiparado ao controlador tendo que assumir todas as responsabilidades

de um controlador nos termos lgpd como o operador vai se resguardar e comprovar que está cumprindo as instruções do controlador se essas instruções não estiverem formalizados se vocês compartilharem do meu entendimento estamos agora no mesmo bairro sabemos que precisamos de um contrato no aditivo contratual um anexo prevendo cláusulas de proteção de dados pessoais mas o que constar neste documento aí já fica mais difícil se arrepender não dizes principalmente que é necessário haver um contrato tão pouco iremos encontrar uma indicação dos termos requeridos também não temos nenhum direcionamento da autoridade nacional de proteção de dados que

ainda não está estabelecida na minha opinião nesse cenário e já nos deparando com várias situações de empresas exigindo uma posição de seus parceiros de negócio a saída é se apegaram que diz o gpr regulamento europeu no qual lgpd foi fortemente inspirado e também o que dizem as autoridades de proteção de dados europeias mais atuantes de acordo com o gpr quando o tratamento de dados foi realizado por um operador deverá haver um contrato vinculando as partes isso significa que toda vez que o controlador uso o operador para tratar dados pessoais em seu nome deve haver um

contrato por escrito que vincule o operador ao controlador em relação às atividades de tratamento além disso gdpr também diz o que o operador contrata outro operador para executar atividades específicas de tratamento de dados pessoais chamadas de subir processadores ele também deve firmar um contrato dessa vez entre o operador e subir processador e garantir que nesse contrato conste as mesmas obrigações de proteção de dados estabelecidas no contrato firmado com o controlador essa prática de um controlador contrataram operador para tratar dados pessoais em seu nome é bem comum e geralmente acontece pela expertise o operador em determinado

tipo específico de operação de tratamento de dados no vídeo anterior eu dei vários exemplos mas para ilustrar aqui é como uma empresa que contrata um terceiro para processar a folha de pagamento dos seus funcionários ou que contrata uma empresa de marketing para envio de mala direta para seus clientes o operador por sua vez pode querer usar os serviços de um terceiro para ajudar na operação que está sendo realizada é em nome do controlador pelo gtr essa situação exige prévia e expressa autorização do controlador se autorização for concedida o operador deve celebrar um contrato com o

sub processador como mencionei anteriormente além de definir claramente obrigatoriedade de haver um contrato entre controlador e operador o gt-r detalhes requisitos mínimos que devem constar nesses documentos que são o objeto ea duração do tratamento a natureza ea finalidade do tratamento o tipo de dados pessoais envolvidos as categorias dos titulares envolvidos e as obrigações e direitos do controlador controlador portanto precisa ser muito claro desde o início sobre a extensão do tratamento que está contratando além dos requisitos mínimos gdpr também determina que os contratos devem estipular que o operador deve agir apenas de acordo com as instruções

e pintadas do controlador deve garantir que as pessoas autorizadas a tratar os dados estejam sujeitas a um dever de confidencialidade deve tomar as medidas apropriadas para garantir a segurança no tratamento dos dados deve apenas envolver terceiros com autorização prévia do controlador e mediante um contrato por escrito deve ajudar o controlador a cumprir sua obrigação de atender as demandas dos titulares deve ajudar o controlador a cumprir suas obrigações em relação à segurança dos dados a notificação de incidentes de privacidade e as avaliações de impacto da proteção de dados deve afanar ou devolver conforme definido pelo controlador

todos os dados pessoais ao final do contrato e deve disponibilizar o controlador todas as informações necessárias para demonstrar o cumprimento de suas obrigações e se submeter a auditorias e inspeções kondo o controlador ou por quem o controlador indicar essas são as cláusulas mínimas mas o controlador e o operador podem concordar em complementá-las com seus próprios termos vamos falar de cada uma dessas principais cláusulas para deixar ainda mais claro esse assunto a primeira delas é obrigação do operador de agir somente de acordo com as instruções documentários do controlador essas instruções podem estar incluídas no contrato ou

podem ser fornecidas separadamente desde que sempre estejam documentados pode ser um formulário escrito ou um e-mail o cuidado é que deve ser um formato capaz de ser salvo para que haja um registro da instrução um exemplo de instrução é sobre a possibilidade ou não de ser realizada uma transferência internacional de dados essa cláusula do contrato deve deixar claro que é o controlador e não operador que tem controle geral do que acontece com os dados pessoais e o dever de confidencialidade quer dizer que o operador deve garantir que seus funcionários ou terceiros que tenham acesso aos

dados pessoais tenham assinado um termo de confidencialidade ou estejam sob um dever estatutário de confidencialidade sobre as medidas de segurança que devem ser tomadas a eles defender só determina que deve ser medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição perda alteração comunicação ou qualquer outra forma de tratamento inadequado ou ilícito por ser tão abrangente a lgpd ainda abre espaço para que a autoridade nacional disponha sobre os padrões técnicos mínimos considerando a natureza das informações tratadas as características específicas do tratamento e o

estado atual da tecnologia especialmente no caso de dados pessoais sensíveis em prática alguns controladores já definem os padrões de segurança que entendem adequados para seu negócio segundo as normas de segurança como a iso por exemplo e até indicam que os operadores devem cumprir o que a npd eventualmente dispuseram sobre o assunto códigos de conduta certificação também podem ajudar os operadores a demonstrar garantias suficientes de que seu tratamento estará em conformidade ainda não temos nenhum selo ou certificação específico para privacidade e proteção de dados pessoais mas acredito que esse seja um caminho interessante para facilitar a

vida dos controladores na gestão de seus operadores falando sobre a contratação do sub processadores a cláusula deve indicar que o operador não deve contratar outro operador sem a prévia e expressa autorização do controlador essa autorização pode ser específica em relação ao subir processador ou uma autorização geral indicando que o e pode realizar esse tipo de contratação é importante ter o cuidado de incluir se o operador por contratar um sub processador mediante uma autorização geral o controlador deve ser informado sobre essa contratação e ter a chance de se opor além disso deverá estabelecer um contrato que

impõem as mesmas obrigações de proteção de dados ao subir processador isso deve incluir que subir processador também forneça garantias suficientes sobre as medidas de segurança adotadas para proteger os dados pessoais a redação dessas obrigações não precisa refletir exatamente o que está estabelecido no contrato entre o controlador eo operador mas deve oferecer um nível equivalente de proteção para os dados pessoais também é essencial deixar claro que o operador é responsável perante controlador pelo cumprimento das obrigações do sub processador em relação à proteção de dados depois temos as ações de ajuda do operador para que o controlador

cumpra suas obrigações entre elas de responder à demanda dos titulares os titulares têm direitos como de solicitar acesso o correção de seus dados pessoais se o controlador utiliza operadores ele precisa que esses operadores tão bem se comprometam adotar medidas apropriadas para ajudá-lo nesse sentido se o controlador precisar corrigir um dado o operador também deverá corrigir no em sua base o mesmo caso titular peça para excluir um dado ou até revolve o seu consentimento o mesmo acontece em relação a outras obrigações do controlador como de manter os dados pessoais seguros notificar e se sente de privacidade

autoridade nacional e aos titulares e elaborar relatório de impacto a proteção de dados pessoais quando necessário é preciso que o contrato seja o mais claro possível sobre como operador ajudar a um controlador acum e obrigações em relação às disposições de rescisão ou término do contrato o contrato deve indicar que o operador por opção do controlador exclua o retorne ao controlador todos os dados pessoais que ele tiver tratando para ele e exclua cópias existentes dos dados pessoais a menos que ele tem uma obrigação legal de manter os dados armazenados deve-se observar que a exclusão de dados

pessoais também deve ser feita de maneira segura além disso também pode ser prever se for o caso qualquer dificuldade de exclusão imediata dos dados de backup ou arquivos que é uma realidade prática para as empresas no entanto é preciso que tem o salvaguardas apropriadas como que os dados serão colocados imediatamente fora de uso e que os dados serão excluídos posteriormente mais rápido possível por exemplo o próximo ciclo de eliminação tô falando sobre auditorias e inspeções o contrato deve exigir que o operador forneça o controlador todas as informações necessárias para demonstrar que as suas obrigações estão

sendo cumpridas além de permitir e contribuir para auditorias e inspeções realizadas pelo controlador ou para o auditor nomeado pelo controlador essa cláusula obrigo operadora demonstrar conformidade sob o ponto de vista dos operadores é importante ter cautela com as obrigações que está sumindo pois como já mencionei se ele diz cumprir uma instrução do controlador poderá ser responsabilizado a hora de fazer qualquer ressalva em relação à sua capacidade técnica o organizacional de cumprimento de uma obrigação é essa indicar o controlador eventuais limitações desde que não esteja em desacordo com uma norma de privacidade pode evitar problemas futuros

sumiu