Obrigações que muitas Empresas ainda ignoram
A Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/18) — está em vigor há mais de quatro anos. Ainda assim, boa parte das empresas brasileiras segue celebrando contratos sem qualquer cláusula que discipline o tratamento de dados pessoais. O equivoco é compreensível: a LGPD é frequentemente associada a políticas de privacidade em sites e ao consentimento do consumidor final. Na prática, porém, sua incidência vai muito além disso — e alcança, com força, as relações contratuais entre empresas.
Fornecedores de tecnologia, prestadores de serviços contábeis, parceiros comerciais, operadores de folha de pagamento, plataformas de CRM: qualquer terceiro que acesse dados pessoais no contexto de uma relação contratual está sujeito às exigências da lei. E a empresa que contrata — chamada de controladora pela LGPD — pode responder solidariamente por falhas desse terceiro. A gestão contratual da proteção de dados não é, portanto, apenas uma questão de conformidade legal: é governança e gestão de risco.
Este artigo explica, de forma clara e aplicada, quais são essas obrigações, como devem ser refletidas nos contratos e quais os riscos práticos de ignorá-las.
Antes de tratar de cláusulas contratuais, é essencial compreender as figuras definidas pela lei, pois delas decorrem responsabilidades distintas:
Controlador: quem decide por que e como os dados serão tratados — em geral, a empresa contratante.
Operador: quem realiza o tratamento em nome do controlador, tipicamente o fornecedor ou prestador de serviço que acessa dados pessoais para executar o contrato.
Suboperador: o terceiro contratado pelo próprio operador para auxiliar no tratamento.
Essa distinção tem consequência direta na responsabilidade: nos termos do art. 42 da LGPD, o operador responde solidariamente com o controlador quando descumpre as obrigações da lei ou não segue as instruções lícitas do controlador. Em termos práticos: se um fornecedor vazar dados de clientes da empresa contratante, ambos podem ser responsabilizados perante os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
A LGPD não exige instrumento contratual separado para proteção de dados. Exige, sim, que suas obrigações estejam refletidas nas relações entre controlador e operador — o que significa incluir cláusulas adequadas nos contratos de prestação de serviço, fornecimento ou parceria. Os pontos essenciais são:
a) Finalidade e limitação do uso dos dados: o contrato deve especificar para qual finalidade o operador poderá tratar os dados e vedar o uso para fins próprios ou não autorizados. Uma cláusula genérica como “o fornecedor deverá observar a LGPD” é juridicamente insuficiente.
b) Obrigações de segurança: deve-se prever medidas técnicas e administrativas de proteção — criptografia, controle de acesso e registro de incidentes —, proporcionais à sensibilidade dos dados tratados.
c) Sigilo e confidencialidade: os colaboradores do operador que acessem dados pessoais devem estar submetidos a obrigações de sigilo, garantidas contratualmente pelo fornecedor.
d) Subcontratação: o contrato deve disciplinar se o operador pode subcontratar o tratamento e, se sim, em quais condições — exigindo que o suboperador assuma as mesmas obrigações.
e) Comunicação de incidentes: é imprescindível estabelecer prazo e procedimento para que o operador notifique o controlador sobre qualquer incidente de segurança. A ANPD recomenda comunicação em até 72 horas — prazo que só é cumprível com fluxo interno previamente definido.
f) Devolução ou eliminação dos dados: ao término do contrato, os dados devem ser devolvidos ou eliminados de forma segura, com prazo e método definidos pelas partes.
g) Cooperação em auditorias: o contrato deve prever o direito de o controlador verificar o cumprimento das obrigações pelo operador, seja por auditoria ou fornecimento de evidências documentais.
A LGPD prevê ação regressiva do controlador em face do operador (art. 42, §4º), mas essa previsão é genérica. Um contrato bem estruturado deve ir além e estabelecer: quem arcará com os custos de notificação dos titulares; limites de responsabilidade — ou sua exclusão em casos de dolo ou culpa grave; multas contratuais pelo descumprimento das obrigações de proteção de dados; e quem responderá perante a ANPD em caso de autuação.
Essas previsões não eliminam a solidariedade prevista em lei, mas criam mecanismos internos de ressarcimento que reduzem o impacto financeiro sobre o controlador e orientam o comportamento das partes preventivamente.
As sanções previstas na LGPD incluem advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), publicização da infração e suspensão do banco de dados. Mas o risco vai além: empresas que não demonstram ter adotado medidas contratuais adequadas enfrentam ações civis de titulares, ruptura de parcerias e dano reputacional de difícil reparação — agravados em setores regulados como saúde e financeiro.
Um exemplo prático: empresa que terceiriza a folha de pagamento para um sistema em nuvem. Se o fornecedor sofrer um vazamento e o contrato não prever obrigações de segurança e responsabilidade, a empresa contratante estará exposta juridicamente — mesmo sem ter causado o incidente.
A adequação à LGPD nos contratos empresariais é, antes de tudo, uma questão de governança. Com cláusulas bem redigidas ou um DPA adequado, é possível reduzir significativamente a exposição jurídica sem onerar as relações comerciais. Esse trabalho preventivo, conduzido com apoio jurídico especializado, é substancialmente menos custoso do que responder a um incidente sem amparo contratual — seja diante da ANPD, dos titulares dos dados ou dos próprios parceiros de negócio.