Luiz Carlos Gomes Filho

Um dos objetivos da Lei Geral de Proteção de Dados (LGPD) é fomentar um ambiente empresarial de transparência e governança em privacidade. Para que isso seja possível, além das interações entre empresas e pessoas titulares de dados, é necessário se atentar às relações comerciais. Em outras palavras, para toda a rede negocial e contratual que mantém possível a operação das empresas. Nesse contexto, corporações com a tecnologia e o conhecimento necessários para realizar todo tipo de processamento das informações de forma independente são a absoluta exceção. Com isso, o estabelecimento de relações de parceria e o comércio de soluções tecnológicas é a alternativa lógica. Assim, nascem as figuras de “Controlador” e “Operador” de dados pessoais.

No campo da proteção de dados, contratos entre “Controladores” e “Operadores” são conhecidos pelo termo “DPA” (Data Processing Agreement). Contudo, diferentemente do que vemos no regulamento europeu – a grande inspiração da lei brasileira –, não há, na LGPD, uma menção ou exigência expressa para a realização de um “DPA” enquanto instrumento contratual que estabeleça as condições, limites e responsabilidades de cada uma das partes para a proteção de dados pessoais.

Essa lacuna tem sido um dos principais pontos de discussão entre negócios e seus parceiros e fornecedores. Parte das empresas acredita que a existência de um aditivo ou contrato próprio é indispensável, considerando que, da leitura da Lei, podem resultar diferentes interpretações para a mesma situação. Para outra parcela, no entanto, a existência da LGPD confere, por si só, proteção adequada às suas relações comerciais, e o fato de não haver uma exigência expressa à formalização, torna o acordo contratual (DPA) desnecessário. O resultado dessa divergência de entendimentos é a ida e vinda de incontáveis revisões contratuais entre as empresas e seus representantes jurídicos.

Em nossa visão – alinhada com a primeira parcela –, é preciso cautela com o assunto. Ainda que a LGPD aponte regras gerais sobre as responsabilidades e as premissas que devem ser observadas durante o tratamento de dados, cada relação comercial e cada negócio possui suas peculiaridades próprias. Isto é, por mais que o serviço prestado por uma empresa seja repetível no mercado, por vezes as condições e os detalhes de cada prestação são únicas. Consequentemente, a existência de um Data Processing Agreement permite que as empresas estejam menos sujeitas a diferentes interpretações da Lei, e que estabeleçam, entre si, acordos sobre situações específicas para o seu relacionamento, trazendo maior segurança e previsibilidade para as operações de ambas as partes – e sabemos que, no universo corporativo, previsibilidade jurídica é um ativo extremamente valioso.

No mesmo sentido, devemos lembrar que regulamentações dessa natureza buscam (e premiam) ações proativas e preventivas. Um bom indício desse posicionamento é o recente guia sobre agentes de tratamento lançado pela própria Autoridade Nacional de Proteção de Dados, que traz diversos apontamentos e menções sobre o contrato entre Controladores e Operadores, indicando que a sua existência será levada em consideração em eventuais fiscalizações ou ocorrências de incidentes de segurança. Com isso em mente, e sabendo que a LGPD é uma lei baseada em princípios e conceitos por vezes abstratos (que necessitam complementação ou contextualização), a relevância do Data Processing Agreement ganha ainda mais espaço e força.

Os contratos sobre processamento de dados podem ser vistos como acordos particulares sobre a interpretação e a aplicação da LGPD a partir da realidade das empresas contratantes, estabelecendo limites próprios ao tratamento de dados, nivelando expectativas sobre métodos de segurança a serem implementados, prevendo a possibilidade de auditorias, incluindo penalidades contratuais privadas, e assim por diante. Por mais que pareça complexo, é um contrato que busca responder como a lei se aplica àquele relacionamento comercial.

Por esse motivo, a recomendação de cautela vale também para contratos com natureza de “adesão”, ou seja, severamente padronizados. Ao se deparar com o envio de aditivo ou contrato por parte de um parceiro comercial, é indispensável que a leitura seja capaz de prever o maior número de cenários futuros possíveis, garantindo que aquele contrato não trará ônus inesperado para alguma das partes, ou que a sua interpretação não resulte em um potencial litígio. Para que essas situações sejam preservadas, e para garantir que o Data Processing Agreement cumprirá com seus objetivos iniciais, é importante que o documento seja confeccionado – ou, quando menos, adaptado – para a realidade das empresas contratantes. Dessa forma, evitam-se discussões sobre a (in)aplicabilidade de determinadas cláusulas e obrigações.

Em suma, ainda que não expressamente previstos pela LGPD, contratos sobre o processamento de dados pessoais seguramente atendem aos princípios de (i) segurança, (ii) prevenção e (iii) responsabilização e prestação de contas – esses, sim, presentes no corpo da Lei. Quanto à segurança, em um contexto tecnológico, onde a segurança absoluta é sabidamente inatingível, fica o benefício de estabelecer em conjunto as medidas de segurança, ou seja, as regras do jogo para o tratamento de dados. Quanto à prevenção, prevalece a benesse de pactuar os limites operacionais, e a possibilidade de estabelecer penalidades contratuais para o descumprimento do acordo. Quanto à responsabilização, a existência desse tipo de contrato será por certo notada e considerada, especialmente em casos de vazamentos de informações, dadas as recentes sinalizações por parte da Autoridade Nacional de Proteção de Dados. Ao fim e ao cabo, e pela força de interpretação dos princípios, o que se nota sobre os contratos de processamento de dados pessoais é que, muito embora não previstos no texto legal, a sua ausência poderá, por ironia, destelhar o abrigo daqueles que defendem que a LGPD já os protege de maneira suficiente.