A revista LEC conversou com DPO’s sobre a base legal de execução contratual, uma das mais utilizadas e debatidas hipóteses de justificativas para o tratamento de dados pessoais oferecidas pela LGPD.
Decorrido um ano da entrada em vigor da Lei Geral de Proteção de Dados, a escolha das bases legais mais adequadas para o tratamento de dados pessoais pelas empresas segue sendo alvo de muitas discussões. Não porque exista uma resposta única e certeira. Cada mercado e empresa enfrenta uma realidade distinta e isso já é mais do que suficiente para que a decisão sobre o que seria uma base mais adequada para uma empresa, numa determinada situação, não seja para outra companhia, ainda que a situação possa ser similar. Assim como acontece com os programas de Compliance, quando o assunto é a LGPD, não existe um tamanho único capaz de vestir a todos.
Mas o ponto que ainda pode ser considerado mais relevante, ao menos nesta fase inicial, é que nem todas as empresas têm uma visão clara sobre como sustentar a escolha por cada base e avaliar corretamente os riscos que cada uma delas impõe. Em especial, as bases cujo senso comum vem colocando como “mais óbvias”, podem esconder nessa obviedade, pegadinhas e riscos não tão óbvios assim.
De acordo com dados da pesquisa do anuário Compliance ON TOP – que pela primeira vez consultou lideranças da área de privacidade e proteção de dados pessoais para traçar um panorama dos desafios dessa área nas empresas –, as bases de “obrigações legais” e “execução de contratos” são as mais utilizadas pelas empresas dentre as dez hipóteses legais de tratamento estabelecidas pelo texto da LGPD. A primeira foi citada por 70,1% dos respondentes, enquanto a segunda, por 63,2% dos líderes da área de proteção de dados nas empresas. Apesar de aparentemente não oferecerem grandes problemas, as empresas precisam atentar muito bem para os limites da sua aplicação de acordo com a situação da companhia frente à execução de cada lei e contrato.
A hipótese de tratamento baseada na obrigação legal é mais indicada em casos nos quais o tratamento de dados pessoais é justificado por exigências de outras leis. São os cenários nos quais uma empresa precisa utilizar ou armazenar dados pessoais para cumprir obrigações exigidas pelas Leis vigentes. No caso de obrigações relacionadas aos dados de funcionários, por exemplo, em que as leis trabalhistas impactam diretamente o tratamento de dados pessoais, exigindo desde o envio de informações até o armazenamento de determinados dados por longos períodos de tempo.
Já a base legal de execução de contrato vem se destacando entre as mais utilizadas em tratativas contratuais devido à sua ampla aplicabilidade, dentro do contexto apresentado pela LGPD. Por abranger várias operações de tratamento de dados pessoais, seja a coleta, o armazenamento ou compartilhamento de dados, é possível valer-se dessa base para legitimar o tratamento de dados realizado sempre que um titular estiver presente na relação (ou que este o tenha requisitado) que o objetivo seja a execução de um contrato. Sua aplicação, no entanto, assim como outras bases legais, requer muita atenção. Primeiro, por ser uma das hipóteses que não podem ser utilizadas em casos que esbarram em dados sensíveis, ferindo o artigo 11 da LGPD. E na fase pré-contratual, apenas é permitido o uso de dados pessoais se a manifestação de interesse partir do próprio titular.
Sua utilização será válida sempre que houver a necessidade da manipulação de informações pessoais pelo controlador para o cumprimento de uma obrigação contratual dele com o titular do dado, ou vice-versa, considerando que as informações requeridas sejam aquelas necessárias para atingir a finalidade da prestação do serviço.
Para a head da área de Privacy & Data Protection da fabricante de papel e celulose Suzano, Remilina Yun, é muito coerente que as bases legais de “obrigação legal” e “execução de contrato” sejam as mais utilizadas pelas empresas, como acontece aliás, dentro “Não da sua própria organização. “Existe de fato uma grande concentração de tratamento de dados baseado na “execução de contratos”, por conta da maior facilidade de buscar uma adequação sobre esse tema”, diz. Por outro lado, a executiva da Suzano aponta que, no seu caso, isso implica em uma dependência da área de Privacidade e Proteção de Dados junto aos times de Suprimentos e de Contratos. “Hoje, nós somos um advisor, dando apoio ao time de contrato. Mas, havendo essa sinergia que estamos conseguindo fazer aqui na empresa, é possível fazer uma linha de corte nos contratos e fazer adequação às novas minutas e revisões e dar entrada nos novos instrumentos jurídicos. Para a nossa estratégia aqui, trabalhar com execução de contrato tem sido positiva”, acredita Yun.
Na opinião de Charles Carvalho, DPO da companhia de meios de pagamento Cielo, a utilização da base legal de obrigação contratual depende muito do segmento de cada empresa. No caso da empresa, a base mais utilizada também é a de execução de contrato, isso porque são mais de um milhão de clientes. “Certos dados pessoais representam informações que são de suma importância para a operação, o que deixamos bastante claro no contrato de credenciamento”, explica o executivo da Cielo.
Assim como é norteado em todo o texto da Lei, os dados utilizados no contrato devem observar os princípios da finalidade, necessidade e adequação. Não sendo permitido o processamento de dados que possam, de alguma forma, exceder esses limites, o que demanda uma atenção redobrada na redação de um contrato para assegurar que o documento é, de fato, transparente com o titular dos dados. “Se eu deixo claro no contrato que os dados dos meus clientes não vão ser compartilhados, eu não posso compartilhar uma informação e utilizar como base legal a questão contratual. É um risco que eu enxergo aqui dentro e não sei se é muito diferente em outras empresas. Por isso que a escolha da base é tão sensível”, declara Charles Carvalho.
É possível estabelecer num contrato todas premissas necessárias para o seu tratamento de dados. “Mas, se você não tiver todos os princípios de adequação da proteção desses dados bem estabelecidos no próprio contrato, você vai correr riscos”, alertou Paulo Watanabe, CISO e DPO da fabricante de produtos de limpeza Química Amparo. Como bem observa, não importa qual a hipótese escolhida, sem uma estruturação adequada, a escolha sempre acaba incorrendo em riscos para o tratamento de dados. Até por isso, a lei já prevê dez tipos de bases. “É mais fácil você correlacionar um tratamento de dados por execução de contrato no caso, por exemplo, de uma relação empregatícia. Quando você estabelece um contrato com um colaborador para conceder um benefício ou regular qualquer outro tipo de conduta, é lógico que é mais fácil enquadrar o tratamento dos dados pessoais dos funcionários dentro da base de execução de contrato, pois você já tem uma relação contratual estabelecida com essas pessoas”, reforçou Watanabe.
