[Checklist]

Como adequar seus

contratos à LGPD?

Sumário
Introdução

1. O que muda com a LGPD?

2. Responsáveis pelo tratamento de dados

3. Checklist para adequar seus contratos!

Conclusão
Introdução
A Lei Geral de Proteção de Dados (Lei Federal 13.709/18), foi criada com o intuito
de assegurar a livre concorrência, e a privacidade e proteção de dados pessoais,
garantindo os direitos dos seus titulares.

A LGPD vale tanto para dados obtidos por meios digitais, quando de forma física,
e estabelece uma série de regras que fortalecem a proteção de dados pessoais.
Para muitas empresas, a vinda dessa legislação pode ser motivo de receio,
e dúvidas sobre os desafios para implementá-la podem surgir, pois o não
cumprimento pode resultar em penalidades e multas.

Setores que lidam com contratos, como os jurídicos, administrativos e de gestão

de pessoas, são alguns dos que mais serão impactados com as mudanças, já
que lidam com grande volume de documentos que contém dados pessoais, de
funcionários, clientes e terceiros.

Para ajudar a alinhar seus processos com as normas da LGPD, neste ebook
iremos explicar um pouco mais sobre as mudanças que estão acontecendo
e apresentaremos um checklist para adequar os contratos da empresa à
legislação!

Capítulo 1:
O que muda com a LGPD?

A LGPD aplica-se a qualquer operação de tratamento realizada por pessoa

natural ou jurídica, independentemente do país onde fica sua sede ou onde
estejam localizados os dados, desde que os dados pessoais tenham sido
coletados em território nacional.

É importante frisar que, dados provenientes de fora do território brasileiro, ou

conteúdos jornalísticos, artísticos, acadêmicos e com fins de segurança pública
e nacional não se aplicam à lei.

2
A partir das novas normas, a coleta e armazenamento de dados pessoais só
poderá ser realizada mediante o consentimento do titular, que pode ser feito
por escrito ou por outro meio que demonstre a manifestação da sua vontade
(formulários digitais, cláusulas contratuais, termos específicos para essa
finalidade, etc). Ao concordar, significa que o titular autoriza a empresa a coletar
os dados fornecidos.

Em caso de alteração dos termos de tratamento os dados, o titular deverá ser

informado, podendo revogar seu consentimento e reivindicar seus dados, caso
ele discorde da alteração.

O titular possui também, o direito a anonimização, bloqueio ou eliminação de

dados pessoais desnecessários ou tratados em desconformidade com a LGPD,
a qualquer momento que desejar.

A LGPD diz respeito a dados pessoais no geral, mas dois tipos deles tem um
tratamento um pouco diferente. São eles:

1. Dados sensíveis: os dados sensíveis são informações que

podem ser utilizadas de forma discriminatória e, portanto,
carecem de proteção especial. Podem-se destacar: informações
sobre origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dados referentes à saúde, genética ou vida
sexual do titular.

2. Dados de crianças e adolescentes: a coleta desse tipo de

dados exige o consentimento por escrito de pelo menos um dos
pais ou pelo responsável legal, e em nenhum caso poderão ser
repassados a terceiros sem consentimento. A atenção a isso é
fundamental, por exemplo, em setores de recursos humanos,
onde é comum o arquivamento de dados pessoais de menores,
nos casos de contratação de aprendizes ou quando algum
funcionário tem filhos que usufruam de benefícios da empresa.

SUMÁRIO
3
Capítulo 2
Responsáveis pelo tratamento de dados
Para colocar a LGPD em prática, primeiro é necessário entender que ela define
agentes de tratamento, ou seja, pessoas atuantes no processo de tratamento
dos dados.

Por tratamento entende-se todas as etapas pelas quais os dados podem

passar: desde a coleta, produção, classificação, utilização, distribuição,
arquivamento, eliminação, entre outros.

Resumidamente, podemos definir os agentes de tratamento da seguinte

forma:

• Titular: pessoa natural a quem se referem os dados;

• Controlador: pessoa natural ou jurídica, a quem competem as decisões

referentes ao tratamento dos dados. Quem determina as finalidades e os
meios que serão utilizados para o tratamento de dados;

• Operador: pessoa natural ou jurídica, que realiza o tratamento de dados

em nome do controlador. Essa pessoa poderá tratar os dados somente para
a finalidade previamente autorizada e utilizando os meios de tratamento
também definidos anteriormente pelo controlador. Não possuem autonomia
para tomar decisões que alterem o que foi preestabelecido;

• Encarregado: pessoa natural, indicada pelo controlador, que atua como

canal de comunicação entre o controlador, titulares e a autoridade nacional.
Esta função nem sempre é exigida, dependendo do porte e natureza da
empresa e do volume de dados tratados por ela.

O controlador e o operador
podem ser responsabilizados
por incidentes de segurança da
informação ou de uso indevido
das informações. Porém,
ao controlador compete a
responsabilidade principal sobre
o tratamento dos dados pessoais,
e ao operador será limitada
somente a responsabilidade
referente ao cumprimento das
suas obrigações contratuais.

Por isso, é necessário definir claramente quando alguém é controlador,

operador, ou ambos. Assim é possível traçar os limites da responsabilidade
de cada um. Exemplificamos mais a seguir:

SUMÁRIO 4
1
Quando o tratamento de dados pessoais é restrito a um profissional pessoa
física – como por exemplo um dentista, ou um fotógrafo autônomo –, essa
pessoa será enquadrada como controladora ou operadora dos dados,
dependendo do seu ramo e atividades. Alguém que lida diretamente com
as etapas dos processos de tratamento dos dados, como um advogado ou
contador, por exemplo, é definido como operador.

2
Quando os dados são tratados por uma empresa ou organização, ela deverá
assumir o papel de controladora ou operadora dos dados pessoais, ainda que
os atuantes diretos do tratamento de dados sejam seus funcionários. E caso
essa empresa utilizar um software de armazenamento de dados, por exemplo,
a empresa será a controladora e o software será o operador de tratamento.
Empresas do ramo de call center são consideradas operadoras, pois adquirem
os dados pessoais conforme orientação da empresa (controladora) que as

3
contrataram.

É possível, também, que uma empresa seja ao mesmo tempo, controladora

e operadora de tratamento de dados pessoais. Um exemplo disso é uma
empresa que fornece serviço de banco de dados em nuvem.

Mas e quanto ao encarregado? Esta função está gerando muitas dúvidas

nos setores responsáveis pela gestão de documentos e contratos, pois o
encarregado será o representante da empresa diante da Autoridade Nacional
de Proteção de Dados. As atividades do encarregado - ou DPO (Data Protection
Officer) na sigla original - consistem em:

Aceitar reclamações e solicitações dos titulares e prestar

esclarecimentos aos mesmos;

Receber os comunicados dos órgãos nacionais e se

reportar a eles;

Comunicar os contratados da empresa quanto às

medidas que devem ser tomadas para estar de acordo
com a LGPD;

A princípio, a LGPD define que todas as empresas e profissionais autônomos

precisam ter um encarregado (DPO). Porém, quem irá decidir se essa função
pode ou não ser dispensada em sua empresa será a Autoridade Nacional de
Proteção de Dados (ANPD).

Após conhecer os agentes de tratamento, é necessário definir quem fará cada

papel em sua empresa. Caso encontre dificuldades nesta etapa, é interessante
contar com um apoio jurídico.

5
Capítulo 3
Checklist para adequar seus contratos!
Agora que você já conhece as principais exigências da LGPD e sabe qual o
papel de cada agente de tratamento, acompanhe um checklist com o passo
a passo para alinhar seus contratos com a legislação!

1. Obtenha o consentimento dos usuários:

Para adequar-se às leis, é necessário obter o consentimento dos
titulares. O primeiro passo nessa etapa é a revisão os contratos
antigos, pois caso não existirem informações falando sobre a
coleta de dados, será necessário incluir.

Isso pode ser feito incluindo uma cláusula sobre coleta de

dados no contrato, ou com a confecção de um termo de
consentimento e tratamento de dados. É necessário que esse
documento explique detalhadamente para que finalidade estão
sendo coletados os dados pessoais do titular. Isso precisa estar
especificado de forma clara, pois os dados não podem ser
utilizados de outra forma que não ali declarada.

Também é necessário explicar que procedimento e aplicação

serão feitos com os dados pessoais do titular. Se serão
armazenados, excluídos, utilizados para criação de indicadores
ou envio de comunicados sobre determinado assunto, por

2. Mantenha o titular bem informado

A LGPD assegura segurança para os titulares, exigindo que os

contratos possuam cláusulas claras e transparentes. Quando
isso não é cumprido, está aberto a possibilidade de multas por
infração.

Exclua de seus novos documentos termos generalizados como

“etc, entre outros” nas cláusulas. Isso pode se classificar como
uma informação incompleta e futuramente essa ausência de
limites pode causar prejuízos.

Para que as exigências não passem despercebidas, é ideal que

se faça uma padronização das regras, assim elas se tornarão
únicas e transparentes.

SUMÁRIO 6
3. Garanta uma consulta facilitada e gratuita

Como explicado no capítulo anterior, o titular tem direito de

remover seus dados pessoais do banco de dados da sua
empresa sempre que quiser.

Então é importante que ele tenha acesso aos seus dados, e à

informações sobre a forma que estão sendo armazenados, e
o período que ficarão assim. Deixe na Política de Privacidade e
Tratamento de Dados, por exemplo, o meio de contato para que
o titular entre em contato com o responsável da empresa, sobre
determinado assunto, por exemplo.

4. Cuidado com os dados compartilhados

Se por alguma finalidade, sua empresa compartilha dados

de titulares com algum parceiro, é importante verificar se ele
também está seguindo as normas da LGPD. Caso a política dele
esteja fora das normas, isso pode causar problemas para sua
empresa.

Aqui novamente é fundamental reforçar que, a informação de

compartilhamento de dados com parceiros deve estar presente
no documento que pede o consentimento do titular, quando
tratar de “finalidade”.

5. Otimize a segurança dos dados

Como as normas da LGPD são rigorosas, é necessário adotar

medidas de segurança da informação aptas a proteger os dados
pessoais. A proteção contra acessos não autorizados e situações
acidentais ou ilícitas - como ataques cibernéticos - é um fator
essencial para se levar em conta.

Neste aspecto, documentos físicos correm riscos maiores de

caírem em mãos erradas, por isso, é indicada a utilização da
tecnologia como aliada neste processo. As soluções em nuvem,
por exemplo, vem ganhando espaço após o anúncio da LGPD,
por permitirem acessos criptografados e configuráveis apenas
para os responsáveis pelo documento.

SUMÁRIO 7
6. Alinhe processos com a equipe

É necessário que as equipes que lidam com documentos e

contratos estejam bem alinhadas com as normas. Estando aptas
para gerir estes documentos.

Para isso, o ideal é que se faça treinamentos e ações educativas,

mitigando assim o risco de erros. Outra dica é desenhar as
etapas, ou seja fluxos, pelas quais os documentos devem
passar - levando em conta as exigências da LGPD - assim a
equipe terá um guia ilustrativo para seguir.

7. Utilize a tecnologia a seu favor

A tecnologia é uma grande facilitadora para deixar seus

contratos em conformidade com a LGPD. Existem ferramentas
que permitem a criação de formulários rápidos para aceite
de termos, e com ajuda de algumas soluções, é possível criar
ambientes onde o titular tenha acesso aos dados, dessa forma
você assegura o princípio de acessibilidade da LGPD.

Uma boa opção é adquirir um software para gestão de contratos,

pois com auxílio dele, a empresa garante o armazenamento e
segurança adequados dos dados, conforme as normas.

Conclusão

Neste ebook, explicamos algumas das principais mudanças com a vinda da

LGPD, e como elas afetam sua gestão de contratos, considerando transações
com funcionários, terceiros e clientes.

Além disso, você viu quem são os agentes de tratamento, suas obrigações e
funções. Após entender o papel de cada agente de tratamento, e delimitar
quem fará cada papel dentro da sua empresa, é necessário pôr o checklist
para adequação à LGPD em prática.

Leve em consideração fatores como: o consentimento do titular, clareza e

detalhamento das informações, cuidado com parceiros que não estão com de
acordo com as normas, alinhamento de processos entre as equipes e auxílio
de soluções tecnológicas.

SUMÁRIO 8
A solução de gerenciamento de contratos e documentos foi
desenvolvida para dar mais eficiência e controle na gestão de
empresas com grande volume de documentos. Controlando todo
o ciclo de vida dentro da plataforma, ou seja, desde a criação, até
a assinatura e encerramento.

O sistema é colaborativo, utilizado em dispositivos móveis para

fazer a aprovação dos documentos por profissionais que estão
fora do escritório. Além disso, o gestor consegue rapidamente
através do dashboard gráfico, perceber os gargalos das equipes
e melhorar a SLA dos contratos, realizando a tomada de decisões
de forma segura e baseada em informações atualizadas.
 
O InContract também auxilia no compliance e segurança dos
documentos da empresa. Com uma plataforma criptografada e em
nuvem, você controla o acesso dos responsáveis por cada etapa
do documento, mantendo todo o histórico de edições seguindo os
fluxos de documentos estabelecidos na ferramenta.

Conheça melhor o InContract

Solicite uma demonstração gratuita

SUMÁRIO