Se você é um controlador de dados (aquele que decide como e porque vai coletar os dados e vai dar as ordens em relação ao tratamento deles), um operador/processador de dados (tende ser a empresa de cloudy que armazena os dados) ou ambos, é importante entender a importância do contrato de processamento de dados e implementá-lo por escrito.
O contrato de processamento de dados – DPA data processing agreement, garante que todas as partes envolvidas vão manipular adequadamente os dados pessoais, principalmente estabelecendo requisitos para os operadores de dados atenderem antes de confiar nos dados fornecidos pelo controlador de dados.
Na LGDP esse tipo de contrato está previsto no art.35 e na Lei Europeia – GDPR, encontra-se entre os artigos 28 e 36.
Por exemplo, se você coletar dados pessoais dos usuários em seu site e, em seguida, usar um operador/processador armazenar esses dados, é muito importante que você tenha garantias de que esse processador de dados está operando em conformidade com a LGPD ou o GDPR, no caso de enviar os dados para a Europa, e dando a correta destinação aos dados de seus usuários.
Se o seu processador de dados não estiver em conformidade com a lei, manipular dados incorretamente ou for vítima de uma violação de dados, um contrato de processamento de dados poderá protegê-lo juridicamente, comprovando que você teve a devida diligência para garantir que a empresa com a qual você fez parceria estava os procedimentos adequados.
Sem esse contrato, responsabilidade e culpa podem recair sobre você por utilizar um terceiro sem políticas e procedimentos adequados. Isso pode abalar a confiança dos usuários que forneceram informações pessoais à você.
A falta de um Contrato de Processamento de Dados adequado é uma violação à lei.
Abaixo listamos alguns pontos que não podem faltar no contrato:
- Qual o objeto do acordo – costuma elencar todas as atividades que serão desempenhadas no relacionamento contratual entre os parceiros;
- Qual o objetivo, a natureza e a duração do processamento de dados – deve mencionar como os dados pessoais são usados, por exemplo, para analisar o comportamento do usuário em seu site ou para personalizar a experiência do usuário e qual das partes será responsável por garantir que os dados processados atendem aos requisitos do GDPR ou da LGPD (em regra isso fica com o controlador);
- Prazo do contrato e condições de rescisão do contrato – é necessário incluir informações de que os dados dos clientes do controlador devem ser removidos dos bancos de dados do processador após a rescisão do contrato e enumerar os casos em que cada parte tem o direito de rescindir o contrato (por exemplo, se o operador deixar de informar o controlador sobre uma violação de dados ou alterações não autorizadas nos procedimentos de processamento de dados, poderá configurar quebra de contrato);
- Quem são os sujeitos do processamento de dados – nesta parte deve ser definidos quem são os titulares dos dados, se são clientes bancários, clientes de loja, pacientes ou simplesmente visitantes do site, dentre outros;
- Quais os tipos de dados que serão processados – aqui devem ser elencadas as categorias de dados que serão manipuladas usando os meios do processador de dados – por exemplo, características técnicas do navegador, dados comportamentais nas atividades do site, endereços IP, etc. Importante que o controlador informe ao processador de dados se os dados enviados são sensíveis ou de menores de idade, já que esse tipo de dados requerem um tratamento mais restrito;
- Armazenamento de dados – Se os dados forem mantidos no exterior, é importante descrever as etapas que o processador de dados deve realizar para garantir um nível de segurança igual ao que é cultivado dentro do Brasil ou da Europa, no caso de ser utilizado o GDPR;
- Direitos e responsabilidades dos controladores de dados de forma pormenorizada;
- Responsabilidades dos processadores/operadores de dados, nos termos dos artigos 28 ao 36 do GDPR e/ou artigo 35 da LGPD;
- Termo de Confidencialidade – o processador de dados deve provar seus esforços para garantir a segurança total dos dados do controlador. Deve constar no contrato, por exemplo, como é ou será a estrutura do data center em que os dados ficarão armazenado, quais protocolos de controle de segurança da informação serão seguidos, se haverá algum acesso físico ou remoto, etc.
Nossa área de Relações e Negócios Digitais fica à disposição para auxiliar pessoas físicas e jurídicas a resguardar seus direitos e estabelecer programas de Compliance Digital.