Cláusulas Contratuais de Proteção de Dados entre Empresas
Cláusulas contratuais de proteção de dados entre empresas são essenciais para garantir conformidade com a LGPD e evitar responsabilização solidária em caso de incidentes de segurança.
Por que as cláusulas de proteção de dados são indispensáveis nas relações B2B
Quando duas empresas firmam um contrato que envolve o compartilhamento de dados pessoais, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) impõe obrigações a ambas as partes. Não importa se estamos diante de um contrato de prestação de serviços, de parceria comercial ou de terceirização: sempre que houver tratamento de dados pessoais, as responsabilidades precisam estar claramente definidas em cláusulas específicas. Ignorar essa exigência pode resultar em sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), além de ações judiciais movidas por titulares prejudicados.
Observamos na prática que muitas empresas ainda tratam as cláusulas de proteção de dados como mero apêndice contratual, inserindo disposições genéricas que não refletem a real operação de tratamento. Essa abordagem é insuficiente. A LGPD exige que controladores e operadores estabeleçam, de forma transparente e detalhada, as finalidades do tratamento, as categorias de dados envolvidos, os prazos de retenção, as medidas de segurança aplicáveis e os procedimentos para notificação de incidentes. Cláusulas vagas ou padronizadas sem aderência à realidade operacional criam uma falsa sensação de conformidade que se desfaz rapidamente diante de uma fiscalização ou de um vazamento.
Precisamos considerar também o cenário de responsabilização. A LGPD prevê, em seu artigo 42, que o controlador ou o operador que causar dano patrimonial, moral, individual ou coletivo em violação à legislação de proteção de dados é obrigado a repará-lo. Na hipótese de tratamento irregular por parte de um operador, o controlador pode ser chamado a responder solidariamente se não tiver adotado as providências contratuais e técnicas adequadas. Portanto, cláusulas bem redigidas não são apenas boas práticas: são instrumentos de proteção jurídica para ambas as partes.
Elementos essenciais de uma cláusula contratual de proteção de dados
Para que uma cláusula contratual de proteção de dados cumpra sua função, precisamos estruturá-la com elementos obrigatórios e recomendados. O primeiro ponto é a definição precisa dos papéis de cada parte. A LGPD distingue o controlador (quem toma as decisões sobre o tratamento) do operador (quem realiza o tratamento em nome do controlador). Essa definição deve constar expressamente no contrato, pois dela decorrem obrigações distintas. Em muitas relações comerciais, ambas as partes atuam como controladoras independentes, o que exige uma abordagem contratual diferente daquela aplicável à relação controlador-operador.
O segundo elemento fundamental é a descrição das atividades de tratamento. Precisamos especificar quais categorias de dados pessoais serão compartilhados (dados cadastrais, financeiros, sensíveis), quais as finalidades do tratamento, qual a base legal aplicável (consentimento, execução de contrato, legítimo interesse, entre outras previstas no artigo 7º da LGPD) e qual o volume estimado de dados e titulares envolvidos. Essa descrição permite que ambas as partes compreendam exatamente o escopo do tratamento e possam implementar medidas de segurança proporcionais aos riscos identificados.
Devemos incluir ainda cláusulas sobre medidas técnicas e administrativas de segurança. A parte que recebe os dados precisa se comprometer com padrões mínimos de proteção, como criptografia, controle de acesso, registro de logs, treinamento de colaboradores e realização periódica de testes de vulnerabilidade. Recomendamos que o contrato preveja o direito de auditoria, permitindo que o controlador verifique, mediante aviso prévio razoável, se o operador está cumprindo as obrigações de segurança acordadas.
Tratamento de suboperadores
Uma questão frequentemente negligenciada nas cláusulas contratuais diz respeito ao uso de suboperadores. Quando o operador contratado precisa subcontratar terceiros para executar parte do tratamento de dados, o contrato deve prever essa possibilidade de forma expressa, estabelecendo se há necessidade de autorização prévia do controlador (específica ou genérica) e determinando que o suboperador esteja vinculado a obrigações de proteção de dados equivalentes. Sem essa previsão, criamos uma cadeia de responsabilidade opaca que dificulta a rastreabilidade e aumenta o risco de incidentes.
Transferência internacional de dados
Se a relação contratual envolver o envio de dados pessoais para fora do território brasileiro, as cláusulas devem contemplar os mecanismos de transferência internacional previstos no artigo 33 da LGPD. Isso inclui a verificação de que o país destinatário oferece grau de proteção adequado ou, na ausência dessa adequação, a adoção de cláusulas-padrão contratuais, normas corporativas globais ou outros instrumentos reconhecidos pela ANPD. Esse aspecto ganha especial relevância quando empresas brasileiras utilizam serviços de computação em nuvem cujos servidores estão localizados no exterior.
Cláusulas contratuais de proteção de dados não são formalidade burocrática: são a principal linha de defesa jurídica das empresas diante de incidentes envolvendo dados pessoais compartilhados.
Gestão de incidentes e notificação: o que o contrato deve prever
Um dos aspectos mais críticos das cláusulas de proteção de dados entre empresas é a previsão de procedimentos para gestão de incidentes de segurança. A LGPD determina, em seu artigo 48, que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. Para que o controlador consiga cumprir esse dever dentro do prazo regulamentar, o operador precisa estar contratualmente obrigado a notificá-lo de forma imediata (ou dentro de um prazo máximo específico, como 24 ou 48 horas) após tomar conhecimento de qualquer incidente que afete os dados objeto do contrato.
O contrato deve detalhar o conteúdo mínimo dessa notificação: natureza dos dados afetados, número estimado de titulares envolvidos, consequências prováveis do incidente, medidas já adotadas para conter o dano e ponto de contato responsável pela comunicação. Além disso, recomendamos que as cláusulas prevejam a obrigação de cooperação na investigação do incidente, incluindo o fornecimento de logs, relatórios técnicos e acesso aos sistemas afetados.
Outro ponto que merece atenção é a definição contratual das consequências de um incidente causado por negligência de uma das partes. Cláusulas de indenização, limitação de responsabilidade e direito de regresso são instrumentos legítimos para distribuir o risco econômico de forma proporcional. Entretanto, precisamos ter cautela: cláusulas que limitem excessivamente a responsabilidade do operador podem ser questionadas judicialmente, especialmente quando os titulares afetados forem consumidores protegidos pelo Código de Defesa do Consumidor.
Due diligence de dados: avaliando o parceiro antes de contratar
Antes mesmo de redigir as cláusulas contratuais, recomendamos que as empresas realizem uma due diligence de proteção de dados sobre o potencial parceiro comercial. Essa avaliação prévia permite identificar o nível de maturidade da outra parte em relação à LGPD e dimensionar os riscos envolvidos no compartilhamento de dados. Uma due diligence eficaz abrange diversos aspectos: verificação da existência de um programa de governança em privacidade, análise das políticas de segurança da informação, conferência do histórico de incidentes, avaliação das certificações de segurança (como ISO 27001) e verificação da nomeação de um encarregado de proteção de dados (DPO).
Identificamos três níveis de profundidade para essa due diligence, conforme o risco envolvido na operação. Para compartilhamentos de dados cadastrais básicos em volume reduzido, um questionário padronizado de avaliação pode ser suficiente. Para operações que envolvam dados sensíveis ou grande volume de titulares, recomendamos a realização de entrevistas técnicas com a equipe de segurança da informação e a análise documental das políticas internas. Nos casos de maior criticidade (como a terceirização completa de operações que envolvam dados de saúde ou dados financeiros), a due diligence deve incluir visitas técnicas e testes de segurança nos ambientes do parceiro.
Os resultados da due diligence alimentam diretamente a redação das cláusulas contratuais. Se a avaliação revelar que o parceiro possui um programa de proteção de dados imaturo, as cláusulas devem ser mais restritivas, prevendo obrigações adicionais de segurança, auditorias mais frequentes e prazos de notificação de incidentes mais curtos. Já quando a due diligence demonstra alto nível de maturidade, as cláusulas podem ser proporcionalmente menos detalhadas em aspectos técnicos, concentrando-se nas obrigações regulatórias essenciais.
Vigência, retenção e término do tratamento de dados
As cláusulas contratuais precisam disciplinar com clareza o que acontece com os dados pessoais ao término do contrato. A LGPD estabelece, nos artigos 15 e 16, as hipóteses de término do tratamento e as regras sobre eliminação de dados. Portanto, o contrato deve prever se os dados serão devolvidos ao controlador, eliminados pelo operador ou mantidos para cumprimento de obrigação legal ou regulatória. Em qualquer caso, é fundamental estabelecer prazos específicos para cada uma dessas providências.
Recomendamos que o contrato contenha uma cláusula de retenção que especifique os prazos máximos de armazenamento para cada categoria de dados, vinculando-os às respectivas bases legais. Dados mantidos para cumprimento de obrigação fiscal, por exemplo, têm prazos de retenção definidos pela legislação tributária, enquanto dados mantidos exclusivamente para a execução do contrato devem ser eliminados assim que a finalidade for alcançada. A cláusula deve prever também o método de eliminação (destruição segura, anonimização irreversível) e a emissão de um certificado de eliminação pelo operador.
Um aspecto que frequentemente gera conflitos é a sobrevivência de certas obrigações após o término do contrato. As cláusulas de confidencialidade, de cooperação em caso de fiscalização pela ANPD e de indenização devem permanecer vigentes por período razoável após o encerramento da relação contratual. Analisamos que um prazo de cinco anos é compatível com os prazos prescricionais aplicáveis à maioria das pretensões envolvidas, embora cada caso mereça avaliação específica.
Perguntas Frequentes
Qual a diferença entre controlador e operador de dados na relação entre empresas?
O controlador é a empresa que toma as decisões sobre o tratamento de dados pessoais, definindo as finalidades e os meios utilizados. O operador é a empresa que realiza o tratamento em nome do controlador, seguindo suas instruções. Essa distinção é fundamental porque cada papel carrega obrigações e responsabilidades diferentes sob a LGPD, e a definição incorreta no contrato pode gerar disputas sobre responsabilização em caso de incidentes.
O que deve conter a cláusula de notificação de incidentes no contrato entre empresas?
A cláusula de notificação de incidentes deve estabelecer o prazo máximo para comunicação (recomendamos entre 24 e 48 horas), o conteúdo mínimo da notificação (natureza dos dados afetados, número estimado de titulares, medidas adotadas) e o canal de comunicação a ser utilizado. Também é recomendável prever a obrigação de cooperação na investigação do incidente, incluindo o compartilhamento de logs e relatórios técnicos entre as partes.
É obrigatório realizar due diligence de dados antes de contratar um parceiro comercial?
A LGPD não exige expressamente a realização de due diligence de dados, mas o princípio da responsabilização e prestação de contas (artigo 6º, inciso X) impõe ao controlador o dever de demonstrar a adoção de medidas eficazes para proteger os dados pessoais. Na prática, a due diligence é o instrumento mais adequado para cumprir esse dever, pois permite avaliar a maturidade do parceiro em proteção de dados antes de compartilhar informações pessoais e dimensionar as salvaguardas contratuais necessárias.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
