CONTRATOS

& PROTEÇÃO DE DADOS

GUIA PRÁTICO E TEÓRICO

Matheus Noronha Sturari

CONTRATOS
& PROTEÇÃO DE DADOS

GUIA PRÁTICO E TEÓRICO

Matheus Noronha Sturari

QUEM É
MATHEUS STURARI
Advogado especialista em Contratos e Proteção de
Dados, certificado pela International Association of
Privacy Professionals (IAPP) como Certified
Information Privacy Manager (CIPM). Atuou em
Programas de Privacidade tanto como advogado in-
house, como na forma de consultor e prestador de
serviços. Tem experiência em Programas de dimensões
variadas, atuando com empresas de variados portes,
desde pequenas e médias empresas locais até
empresas multinacionais de atuação global. Além
disso, hoje presta suporte em proteção de dados a
empresas variadas, por meio de consultas pontuais.
Antes de atuar de maneira exclusiva com Proteção de
Dados, era especialista em Contratos, tendo atuado
com contratos de variadas complexidades. Unindo
ambas as suas atuações, desenvolveu este e-book, a
fim de fornecer um conteúdo técnico, robusto, mas
prático, útil à atuação diária com o tema.
"Everything around you that you
call life was made up by people that
were no smarter than you. And you
can change it, you can influence it."

Steve Jobs
ÍNDICE

INTRODUÇÃO ...................................... 6

A VISÃO DE CONTRATOS .................. 8

O CONCEITO DE CONTROLADOR
E OS PAPÉIS DOS AGENTES DE
TRATAMENTO ..................................... 14

AS CONDIÇÕES DE
PROTEÇÃO DE DADOS ...................... 36

A DEMANDA CONTRATUAL
ENVOLVENDO PROTEÇÃO
DE DADOS ........................................... 53

FONTES DE ESTUDO
E CONSULTA ....................................... 55
 6

INTRODUÇÃO

Desde a sanção da Lei nº. 13.709/18, Lei Geral de

Proteção de Dados (“LGPD”), variadas foram as
discussões e muito se desenvolveu no que diz respeito à
proteção de dados no país.

Cursos foram criados, eventos organizados, discussões

travadas e o desenvolvimento foi ficando cada vez mais
claro. Com os avanços do tema no país, muitas pessoas
passaram a se dedicar à área de proteção de dados e a
demanda por profissionais qualificados cresce a cada
dia; e conforme a demanda aumenta, a busca por
qualificação naturalmente acompanha.

Dentre as dúvidas mais frequentes de

profissionais que buscam qualificação, estão
aquelas relacionadas à elaboração ou à revisão
contratual envolvendo questões de
proteção de dados pessoais.

Considerando tal cenário, esta iniciativa surge como

um meio de contato com o tema e como
compartilhamento de fontes de qualidade para
aprofundamento. Assim, o presente e-book foi
elaborado com o intuito de fornecer um material
voltado para a prática contratual envolvendo
questões de proteção de dados.
 7

É um material independente, não possui qualquer

forma acadêmica, tampouco doutrinária. Seu formato é
inteiramente pensado para que seja útil a profissionais
de proteção de dados e contratos.

Como se perceberá, o texto todo é redigido com o único

objetivo de contribuir para a atuação de quem já
encontra questões envolvendo proteção de dados
quando da atuação contratual e quem virá a encontrar
em breve.

Fato é que as demandas contratuais envolvendo

questões de proteção de dados pessoais crescerão e o
conhecimento sobre o tema ainda é muito incipiente no
Brasil. Assim, o presente texto não só pretende ajudar
quem está buscando fontes para estudar o assunto, mas
também contribuir para que discussões sejam levantadas
e para que o tema ganhe corpo nacionalmente.

Reitera-se que o presente texto não possui qualquer

formalidade, assim, citações, referências e afins. Têm
como intuito a mera facilitação de acesso aos materiais
utilizados como fonte para o que aqui está disposto.

Além disso, é preciso destacar que variados pontos

foram escritos sem menção expressa a alguma
referência, indicando, muitas vezes, o entendimento ou
interpretação do autor. Como dito, não é o intuito do
presente texto se mostrar um trabalho acadêmico. Seu
objetivo é se apresentar como instrumento útil a
profissionais que estejam lidando com questões de
proteção de dados em suas atividades diárias
envolvendo contratos.
 8
VISÃO DE
CONTRATOS

Este não é um texto voltado para a área contratual,

tampouco teria tal pretensão. Este, como informado desde
sua divulgação, não é um texto acadêmico, tampouco um
livro formalmente projetado, trata-se de uma iniciativa
particular, um projeto que cresceu e tomou corpo sem
qualquer formalidade ou vínculo. Assim, o que
encontrarão neste tópico não são conceitos técnicos ou
acadêmicos com relação a Contratos, para isso já existem
incontáveis materiais muito melhores do que poderia a
presente iniciativa reproduzir.

Aqui há apenas as palavras de alguém que trabalha há

algum tempo com contratos e decidiu compartilhar
alguns aspectos dessa atividade antes de passar ao
tema central.

Nas palavras de Enzo Roppo: “De facto, falar de contracto

significa sempre remeter – explícita ou implicitamente,
directa ou mediatamente – para a ideia de operação
económica”. [1]

Portanto, é preciso começar este curto tópico remetendo a

ideia de contrato, a concepção de contrato, a visão de
contrato, a um instrumento que abraçará uma operação
econômica

[1] ROPPO, Enzo. O Contrato. Trad. Ana Coimbra e M. Januário C.

Gomes. Almedina. Coimbra. 2009. p. 8
 9

Entender o contrato como instrumento que abraça a

operação econômica tem, para os fins deste texto, o
significado de entender que cada sugestão de inclusão,
cada sugestão de alteração, cada negociação,
aceitação ou negativa referente a um contrato e suas
cláusulas, que estão sendo elaboradas ou revisadas,
deve ter por intenção última um efeito prático na
operação econômica abraçada pelo instrumento
tratado.

É, de fato, uma visão bastante difícil de encontrar

materialização na prática diária com contratos, muitos
podem pensar ser impraticável, considerando a realidade
de modelos e cláusulas-padrão.

Acontece que, quando se coloca esse “princípio” de

atuação como inescapável, o racional passa a se
automatizar cada vez mais e a atuação com contratos
passa a ter uma nova forma, um novo intuito e, claro, um
novo resultado.

Quando a atuação em contratos deixa de ter como

intuito apenas garantir que o texto padrão seja
mantido ou apenas garantir que uma cláusula padrão
seja refletida e passa a ter sempre como objetivo
garantir que a operação econômica alcance seus
ganhos máximos pretendidos ou que ao menos não
seja “atrapalhada” pelo aspecto instrumental,
documental e legal, os resultadossão perceptíveis desde
logo.
 10

“Ora, mas muitos dos pontos envolvendo a operação

econômica são questões operacionais/comerciais, não
fazem parte da atuação jurídica de quem se
responsabiliza pela redação contratual”.

Exatamente! E aí é que é preciso saber perguntar.

Conversar com sua área comercial, operacional, técnica
interna ou com seu ponto focal, caso atue de maneira
externa, se isso já não estiver claro quando receber a
demanda.

Não é preciso ter medo de discutir a operação com

clientes (internos ou externos); por óbvio, saiba quais são
os limites das informações que cabem a clientes e quais
são inerentes aos serviços que está prestando (internos
ou externos) – basicamente, não peça a clientes para que
decidam o que cabe a você decidir.

Há que se separar aquilo que é da atribuição comercial

ou operacional e aquilo que é inerentemente jurídico.
Tenha bom senso, mas não se acanhe, é muito comum
encontrar receio de questionar aspectos voltados à
realidade operacional da coisa, não caia nessa.

Faça-se sempre perguntas como:

(i) Tenho os elementos mínimos da realidade prática

para elaborar um Contrato adequadamente?

(ii) Existem pontos do Contrato que podem gerar

problema e que cabe a mim estabelecer disposições
contratuais aptas a melhor lidar com a situação? Preciso
questionar algum aspecto comercial ou operacional para
que possa corretamente lidar com esses pontos?
 11

Na maior parte do tempo é preciso ter o objetivo de

refletir adequadamente a realidade e não em criá-la por
meio de uma redação contratual (o que se cria,
beneficamente, são instrumentos voltados a lidar com
questões da realidade prática já refletida, por exemplo,
mecanismos de solução de controvérsias, processo
escalonado para resolução contratual e assim por
diante).

E refletir adequadamente a realidade não se limita a

garantir que as palavras ali escritas estão de acordo
com o pretendido, mas tem relação com o racional
adotado, no sentido de questionar o seguinte: as
condições decorrentes das cláusulas aqui previstas
garantirão os resultados pretendidos para a operação?
Há alguma condição que pode ser impactante nesse
sentido e que, portanto, precise de ajustes?

Esse é o racional desejado ao trabalhar contratos,

incluindo contratos envolvendo proteção de dados.

Em contratos envolvendo proteção de dados, como se

verá adiante, o refletir a realidade sequer é uma escolha
– a posição dos agentes de tratamento e, portanto, suas
responsabilidades, no limite, serão sempre determinadas
pela realidade prática da operação e não pelos dizeres do
instrumento, o que é um aspecto bastante relevante.
 12

Inclusive, já trazendo uma orientação prática envolvendo

a noção de contratos incompletos: talvez, em uma difícil
negociação envolvendo o papel das partes – ponto que
crescerá cada vez mais na realidade de quem atuar com
contratos dessa natureza –, uma alternativa seja
transportar os custos de transação do presente, para o
futuro[2]. Explica-se.

É óbvio que, se possível, a adequada instrumentalização

da operação, com a correta determinação dos papéis de
cada parte, é o melhor dos mundos, entretanto, em
determinadas situações, não necessariamente isso é o
mais produtivo. Caso haja muita dificuldade nesse
sentido, é possível determinar uma cláusula genérica de
cumprimento da legislação envolvendo proteção de
dados e deixar para “completar” o contrato caso haja
alguma discussão futura, afinal, a realidade que
prevalecerá de qualquer forma em uma análise em caso
de problemas envolvendo o contrato.

Assim, o que se faz é contar com a incerteza da

materialização do problema e transportar os custos de
transação que incorreriam em uma negociação presente
da posição de cada parte, para uma realidade futura,
caso assim necessário.

[2] Para maiores informações sobre contratos incompletos e a noção de alocação dos
custos de transação no presente ou no futuro: CHOI, Albert e TRIANTIS, George. Strategic
Vaguenessin Contract Design: The Case of Corporate Acquisitions. The Yale Law Journal.
2010. Disponível em https://www.yalelawjournal.org/article/strategic-vagueness-in-
contract-design-thecase-of-corporate-acquisitions; e SCOTT, Robert E. e TRIANTIS,
George. Incomplete Contracts and The Theory of Contract.
 13

Sem muitas delongas, o objetivo aqui é que enxerguem o

contrato envolvendo proteção de dados também como um
instrumento que abraça uma operação econômica,
portanto, como um instrumento que deve ter como fim
último garantir que a operação econômica envolvendo o
tratamento de dados pessoais alcance seus ganhos
pretendidos sem ser impactada por questões jurídicas,
legais ou regulatórias. Ou seja, sua função, seu objetivo
máximo, deve ser garantir que, ao menos do ponto de
vista documental e instrumental, a operação ocorra
como planejada e não tenha seus ganhos previstos
prejudicados portal aspecto.

Design. Case Western Reserve Law Review. 2005.

Disponível em:
https://pdfs.semanticscholar.org/07f7/10758d772c7acd1ca2eaf856531b6c597530.pdf
 14
O CONCEITO DE CONTROLADOR
E OS PAPEIS DOS AGENTES DE

TRATAMENTO

Como se observa do primeiro tópico deste texto, a correta

determinação dos papéis das partes no instrumento que
regulamentará as questões de proteção de dados
envolvidas na relação é fundamental, entretanto, como se
verá adiante, nem sempre essa é uma tarefa simples.

Dentre os conceitos trazidos por cada inciso do art. 5º da

LGPD, estão aqueles previstos nos incisos VI e VII, os
quais definem Controlador e Operador no que se refere
ao tratamento de dados pessoais. Para iniciar a
abordagem pretendida neste tópico, é importante
transcrever, na íntegra, as definições trazidas pelos
incisos, as quais terão utilidade ao longo da análise. É a
redação:

“Art. 5º Para os fins desta Lei, considera-se:

(...)

VI - controlador: pessoa natural ou jurídica, de

direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito

público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador”
 15

Ainda, não só Controlador e Operador tiveram suas

definições apresentadas pelo artigo, como também,
através do inciso IX, preocupou-se o legislador em unir as
duas figuras através de um só gênero, do qual derivariam
na qualidade de espécies. É o que se denominou “agentes
de tratamento”[3] .

Assim, ao tratar de agente de tratamento, pode-se

estar relacionado tanto a Controlador quanto a
Operador, da mesma forma que ao mencionar o plural,
agentes de tratamento, entender-se-á como as duas
figuras de forma conjunta.

À primeira vista, o conteúdo do artigo e seus incisos

parece tratar de conceito razoavelmente simples e, até
mesmo, carregado de certa obviedade no que diz respeito
ao que pretende conceituar. Parece elementar o fato de
que, aquele que é denominado Controlador, toma as
decisões quanto ao tratamento de dados pessoais
objetivado, ao passo que, sem transparecer grandes
complicações, a definição de Operador enseja a mera
observância dos ditames da figura denominada como
Controlador.

Quando observado o disposto no Regulamento Geral de

Proteção de Dados Europeu (“RGPD”), o conceito
aparenta ter o mesmo sentido objetivado pela redação
brasileira. É sua redação:

[3] Art. 5º. IX.

 16

“Art. 4 GDPR Definitions

For the purposes of this Regulation:

controller’ means the natural or legal person,

public authority, agency or other body which, alone
or jointly with others, determines the purposes and
means of the processing of personal data; where
the purposes and means of such processing are
determined by Union or Member State law, the
controller or the specific criteria for its nomination
may be provided for by Union or Member State
law;

‘processor’ means a natural or legal person, public

authority, agency or other body which processes
personal data on behalf of the controller;”

Não há, no Brasil, qualquer interpretação quanto aos

conceitos de Controlador e Operador providos pela LGPD,
muito menos, por óbvio, qualquer jurisprudência
consolidada nesse sentido[4]. Entretanto, apesar de
aspecto aparentemente simplório, a conceituação dessas
duas figuras pode ensejar uma complexidade maior do
que a imaginada à primeira vista e as consequências
decorrentes da conceituação se mostrarão de grande
relevância.

[4] E esse é o motivo pelo qual se opta pela referência europeia em determinados aspectos
envolvendo a presente análise, a fim de trazer ao menos um direcionamento para a
abordagem pretendida.
 17

A correta qualificação do agente de tratamento é crucial

para a responsabilização e aplicação das disposições
legais[5].

Os graus de responsabilidade de Controlador e

Operador mostram-se, na realidade, bastante
distintos, no sentido de que a lei impõe maiores
responsabilidades e obrigações ao Controlador do que
ao Operador. A abordagem, claro, parece razoável, no
sentido de que o tratamento de dados pessoais em
análise só existe em razão da determinação por parte
do Controlador, assim, é natural que a ele caibam
maiores responsabilidades e medidas referentes ao
cumprimento da lei e à proteção dos dados pessoais
tratados[6].

[5] Coord. USTARAN, Eduardo. European Data Protection: Law and Practice. International
Association of Privacy Professionals(IAPP). 2018: “Because parties can be a controllerin a
transaction and a processorin another, determining which party is a controller is crucial to
assigning primary data protection responsibility and liability.”;ivacy Professionals(IAPP).
2018.
[6] Nesse sentido: “In other words, the data controller is the key decision maker with regards
to personal data. As a result, most of the responsibilities for compliance with Regulation fall
on the data controller’s shoulder.” Coord. USTARAN, Eduardo. European Data Protection:
Law and Practice. International Association of Privacy Professionals(IAPP). 2018.
 18

A título exemplificativo, cabe ao Controlador, por óbvio, a

definição das bases legais[7], ademais, é sua
responsabilidade a garantia dos direitos previstos pelo
art. 18 da LGPD[8], também cabe ao Controlador o
atendimento do que prevê o art. 20 da LGPD, referente à
revisão de decisões tomadas exclusivamente com base
em tratamento automatizado, bem como é seu dever
observar o previsto no §1º do art. 20, no sentido de
garantir o fornecimento de informações claras ao titular
quanto aos critérios e procedimentos envolvidos no
processo de decisão automatizada.

Ainda, poderá ser solicitado, exclusivamente ao

Controlador, o denominado relatório de impacto à
proteção de dados pessoais[9], bem como caberá ao
Controlador a comunicação em caso de incidente de
segurança[10].

[7] Quando observados os incisos do art. 7º da LGPD, nota-se que alguns, inclusive, fazem
referência ou ligação ao Controlador, no sentido de que a determinação da base legal que
fundamentará a atividade de tratamento cabe ao Controlador. Por exemplo, a obrigação
legal ou regulatória do inciso II, deve ser do Controlador, o interesse legítimo do IX, deve ser
do Controlador – ou de terceiros, terceiros estes cuja definição é incerta na legislação
brasileira, ao contrário do Regulamento europeu, que se preocupou em restringir
minimamente o conceito de terceiros.
[8] Ademais, ponto relevante é o fato de que, no §1º do art. 18, menciona que a petição do
titular referente aos seus direitos poderá ser realizada perante a Autoridade Nacional,
entretanto, determina expressamente que seja realizada em face do Controlador.
[9] LGPD, art. 5º, XVII.
[10] LGPD, art. 48.
 19

Com relação ao Operador, o agente de tratamento

possui, sim, suas responsabilidades e obrigações
impostas pela LGPD, especialmente no que diz respeito a
eventuais danos que vier a ocasionar a titulares[11], bem
como aspectos relacionados à segurança da
informação[12].

Entretanto, mesmo no art. 39, onde é prevista obrigação

expressa ao Operador, no sentido de que deverá o
Operador realizar as atividades de tratamento de dados
pessoais de acordo com as instruções fornecidas pelo
Controlador – cuja redação, combinada com o que prevê
o inciso I do art. 42, todos da LGPD, enseja, inclusive, a
responsabilização do Operador em caso de inobservância
das instruções – acaba por ensejar obrigação e
responsabilidades ao Controlador também. Explica-se.

A redação do art. 39 é a seguinte:

“Art. 39. O operador deverá realizar o tratamento

segundo as instruções fornecidas pelo controlador,
que verificará a observância das próprias instruções e
das normas sobre a matéria.”

[11] LGPD, art. 42.

[12] LGPD, art. 44.
 20

Ou seja, o Controlador não só precisa fornecer instruções

coerentes ao Operador, condizentes, claro, com os
ditames da legislação, mas também tem garantir que o
Operador cumpra com todos os ditames de normas que
tratem sobre proteção de dados – e aqui entende-se que
é estendida a todas as regulamentações que se apliquem
ao tratamento pretendido –, quer esses ditames estejam
relacionados às instruções fornecidas ou não.[13]

Assim, parece clara a importância, tanto para os

agentes de tratamento, quanto para a autoridade
competente, bem como mesmo para o titular de dados,
da correta definição dos papéis de cada agente,
quando da análise da situação fática envolvendo
tratamento de dados pessoais.[14]

Nesse sentido, é o que destaca a Opinião 01/2010 sobre

os conceitos decontrolador e operador, do Working Party:

[13] Aqui é importante destacar um fator relevante oriundo desse tipo de disposição legal.
Esse fator está relacionado aos contratos que surgirão entre Controladores e Operadores.
Poderá parecer mera liberalidade do Controlador a exigência de cláusulas contratuais que o
confiram poderes para auditar o Operador, entretanto, em análise do texto da lei, percebe-
se que o Controlador, na verdade, possui uma obrigação de auditar o Operador. É o que se
extrai da última parte do art. 39 da LGPD, onde há a determinação de que o Controlador
“verificará a observância das próprias instruções e das normas sobre a matéria”. Nota-se
que não se trata de uma opção do Controlador, mas sim uma obrigatoriedade, uma
incumbência, daí, decorre a necessidade de previsão contratual nesse sentido.
[14] “However, the distinction between a data controller and data processor can have
significant realworld consequences. For example, if there is a data breach it is essential fir
bith the organisations involved and the ICO to be able to determine where responsibilities
lies.". ”Information Commisioner’s Office (ICO). Data ontrollers and data processors: what
the diference is and what the governance implications are. 2014. Disponível em:
https://ico.org.uk/media/fororganisations/documents/1546/data-controllers-and-data-
processors-dp-guidance.pdf
 21

“Isso significa que o primeiro papel do conceito de

controlador, acima de todos os outros, é
determinar quem será responsável pela
conformidade com as normas de proteção de
dados e como os titulares de dados podem exercer
seus direitos na prática. Em outras palavras:
alocar a responsabilidade.”[15]

Acontece que, com o avançar das relações envolvendo

operações comerciais complexas, onde por vezes dados
pessoais são tratados a todo momento, para diversas
finalidades, por variados meios e através de uma grande
quantidade de participantes na cadeia, a correta
definição desses papéis não se mostra tarefa tão simples.
[16]

Tamanha é a complexidade de definição desses papéis

na prática, que o tão conceituado Article 29 Data
Protecion Working Party emitiu diretrizes nesse sentido
em 2010, através de sua Opinion 1/2010 on the concepts
of ‘controller’ and ‘processor’. O conteúdo dessa Opinion
é utilizado até hoje como fonte para a interpretação da
situação fática e determinação correta dos papéis de
cada agente de tratamento envolvido. Reconhecendo a
complexidade do tema desde o início, o texto alerta:

[15] Opinon 01/2010 (WP 169, 16 de fevereiro de 2010) 00264/10/EN. 2010. p.4. Tradução
livre. Texto original: This means that the first and foremost role of the concept of controller
is to determine who shall be responsible for compliance with the data protection rules, and
how data subjects can exercise the rights in practice. In other words: to allocate
responsibility.
[16] Coord. USTARAN, Eduardo. European Data Protection: Law and Practice. International
Association of Privacy Professionals (IAPP). 2018: “The concepts of controller and processor
were established by the Directive and remain fundamentally similar under the Regulation.
This does not mean they are straightfoward or mutually exclusive. In practice, the
application of these concepts has become increasingly complex owing to the evolving nature
of the business environment, the increased sophistication of outsourcing, and the growing
tendency of organisations to centralise IT systems.".
 22

“O Working Party reconhece as dificuldades em

aplicar as definições da Diretiva em um ambiente
complexo, onde podem ser previstos vários
cenários envolvendo controladores e operadores,
de forma independente ou conjunta, com diferentes
níveis de autonomia e responsabilidade.”[17]

Independentemente do tamanho do desafio, fato é que há

que se determinar uma forma de interpretação e
determinação do papel de Controlador para as variadas
relações que envolvem tratamento de dados pessoais e,
eventualmente, carecerão da tutela adequada. Dentre
alguns fatores, o ponto crucial parece estar em entender,
de acordo com a situação fática, o que o agente de
tratamento precisa determinar para que seja qualificado
como um Controlador.[18]

Esse fator de decisão está diretamente relacionado às

redações dos artigos que tratam do tema, tanto no
diploma europeu, quanto na legislação brasileira.
Acontece que, apesar da similaridade, os textos possuem
nuances diferentes quanto ao grau de especificidade na
definição do papel de Controlador, especialmente

[17] Article 29 Working Party, Opinon 01/2010 (WP 169, 16 de fevereiro de 2010)
00264/10/EN. 2010. p. 1. Tradução livre. Texto original: “The Working Party recognizes the
difficulties in applying the definitions of the Directive in a complex environment, where many
scenarios can be foreseen involving controllers and processors, alone or jointly, with
different degrees of autonomy and responsibility”.
[18] Opinon 01/2010 (WP 169, 16 de fevereiro de 2010) 00264/10/EN. 2010. P. 12.
 23

Note-se que, no RGPD, o art. 4 (7) diz o seguinte:

“controlador significa pessoa natural ou jurídica,
autoridade pública, agência ou outra entidade que, de
forma independente ou em conjunto com outras,
determina as finalidades e os meios do tratamento de
dados pessoais”[19].

Apesar de requerer um esforço interpretativo a ponto de,

inclusive, demandar diretrizes nesse sentido, o artigo
buscou dar certo direcionamento quando estabeleceu que
qualificará o papel de Controlador a tomada de decisão
relacionada às finalidades e meios do tratamento de
dados.

E é com base nesse elemento – dentre outros, por

óbvio[20] – que as diretrizes europeias avaliam os
critérios para a definição de um agente de tratamento
como Controlador.

Em que pese o fator ser relevante para a definição do

papel de Controlador e, na verdade, mostrar-se norteador
da discussão em variados casos, o desafio continua
existente e sua interpretação também pode levar a
variados caminhos – diferentes, não necessariamente
conflitantes.

[19] Tradução livre. Texto original: “‘controller’ means the natural or legal person, public
authority, agency or other body which, alone or jointly with others, determines the purposes
and means of the processing of personal data”. Disponível em: https://gdpr-info.eu/art-4-
gdpr/
[20] O Working Party, por exemplo, na Opinion 01/2010, analisa, ainda, o aspecto conjunto
ou apartado de eventuais Controladores, bem como a natureza jurídica do agente de
tratamento, uma vez que é possível se tratar de uma pessoa natural ou jurídica, de direito
privado ou público. Há, ainda, a análise quanto à influência exercida pelo agente sobre o
tratamento, bem como o eventual benefício que o agente tem com a realização daquele
tratamento.
 24

Para o Working Party, por exemplo, há que se descobrir,

para a definição do Controlador, no que diz respeito a
determinado tratamento de dados, “por que o tratamento
de dados está ocorrendo” e “quem o iniciou”[21].

Segue, ainda, a sua metodologia, no sentido de que o

caminho é partir do pressuposto de que o Controlador é o
agente de tratamento que determina “por que” e “como”
o tratamento de dados pessoais ocorre. Nesse sentido, é
o texto: “Também pode-se dizer que determinar as
finalidades e os meios é o mesmo que determinar,
respectivamente, os porquês e o como de determinada
atividade de tratamento”.[22]

Entretanto, em seguida, traz um ponto crucial para a

análise, o qual gera tanta dificuldade de acordo com
cada situação fática:

“Quando se trata de analisar a determinação das

finalidades e dos meios com o intuito de atribuir o
papel de controlador de dados, a questão essencial
é, portanto, até qual nível de detalhe alguém
deveria determinar as finalidades e os meios para
que fosse considerado controlador.”[23].

[21] Article 29 Working Party, Opinon 01/2010 (WP 169, 16 de fevereiro de 2010)
00264/10/EN. 2010. p. 8.
[22] Ibid. p. 13. Tradução livre. Texto original: “It can also be said that determining the
purposes and the means amounts to determining respectively the “why” and the “how” of
certain processing activities”.
[23] Ibid. p.13. Tradução livre. Texto original: “When it comes to assessing the determination
of the purposes and the means with a view to atribute the role of data controller, the crucial
question is therefore to which level of details somebody should determine purposes and
means in order to be considered as a controller”.
 25

Ou seja, não adianta apenas avaliar quem determina as

finalidades e meios pelos quais o tratamento ocorre,
mas, sim, há que se analisar, ainda, a dimensão de
influência que o agente de tratamento tem no que diz
respeito à definição desses fatores. Há que se ponderar
qual o grau decisório desse agente definirá sua
qualificação como Controlador. Em linha, é o que traz o
European Data Protection Supervisor: “Portanto, a
questão principal é até que nível de detalhe uma parte
pode determinar finalidades e meios de maneira que seja
considerada controladora.”[24]

De maneira mais objetiva – prezando pelo caráter

professoral pelo qual é reconhecida –, a autoridade do
Reino Unido, o Information Comissioner’s Office (ICO), em
seu direcionamento sobre o tema, preferiu abordagem
mais objetiva, indicando algumas perguntas através das
quais se pode determinar se um agente é um Controlador.
Para a autoridade:

“Para determinar se você é um controlador de

dados, você precisa se verificar qual organização
decide:
- coletar o dado pessoal em primeiro lugar e qual a
base legal para tal;
- quais elementos envolvendo dados pessoais
coletar, por exemplo, o conteúdo do dado;

[24] Tradução livre. Texto original: “Therefore, the crucial question is to what level of detail
a party should determine the purposes and means in order to be considered as a data
controller”. European Data Protection Supervisor. Guidelines on the concepts processor and
joint controllership under Regulation (EU) 2018/1725. 2019. p. 9. Disponível em:
https://edps.europa.eu/sites/edp/files/publication/19-
1107_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf
 26

- a finalidade ou finalidades para as quais o dado

será utilizado;
- de quais indivíduos serão os dados coletados;
- se os dados serão compartilhados e, se positivo,
para quem serão compartilhados;
- se estará sujeito ao acesso e a outros direitos
individuais, por exemplo, exceções ao tratamento; e
- por quanto tempo os dados serão mantidos ou se
serão realizados acréscimos não programados aos
dados.”[25]

Fato é que esse direcionamento mais assertivo pode

ajudar, entretanto, pode gerar bastante dúvidas em
determinados casos, tendo em vista a complexidade das
relações envolvendo parceiros de negócio atualmente.
[26].

Já o European Data Protection Supervisor preferiu uma

abordagem mais ilustrativa e, através de anexo em suas
diretrizes, desenhou o fluxo a seguir[27].

[25] Tradução livre. Texto original: “To determine whether you are a data controller you
need to ascertain which organisation decides: - to collect the personal data in the first place
and the legal basis for doing so; - which items of personal data to collect, ie the content of
the data; - the purpose or purposes the data are to be used for; - which individuals to collect
data about; - whether to disclose the data, and if so, ho to; - whether subject to access and
other individuals’ rights apply ie the application of exemptions; and - how long to retain the
data or whether to make non-routine amendments to data”. Information Commisioner’s
Office (ICO). Data controllers and data processors: what the diference is and what the
governance implications are. 2014. p. 6-7. Disponível em:
https://ico.org.uk/media/fororganisations/documents/1546/data-controllers-and-data-
processors-dp-guidance.pdf
[26] É o que reconhece a própria autoridade, quando atesta, referente à definição dos
papéis de Controlador e Operador: “This can be difficult, and there is evidence of confusion
on the part of some organisations as to their respective roles and therefore their data
protection responsibilities.” [27] European Data Protection Supervisor. Guidelines on the
concepts processor and joint controllership under Regulation (EU) 2018/1725. 2019.
27
 28

As variadas iniciativas e abordagens metodológicas para

esclarecer, de fato, se um agente de tratamento deverá
ser considerado ou não um Controlador, demonstram que
o tema exige cautela e sua análise é complexa.

Nesse sentido, atestam em tom de alerta Karen Lawrence

e Filip Johnssén, em Hands-on Guide to GDPR
Compliance: “O que é ainda mais importante é que você
pode ser responsabilizado como controlador, mesmo
pensando que é um operador”.[28]

E, aqui, cabe trazer um aspecto comum a todas as

análises envolvendo o tema, inclusive as fontes já
mencionadas. A avaliação para determinação do papel
de Controlador deve ser realizada com base na
situação fática, na realidade prática da atividade de
tratamento em apreço, não com base em formalismos
ou por mera discricionariedade dos agentes
envolvidos.

Assim, ainda que os agentes determinem, através de

instrumento formal quais serão os papéis de cada um dos
agentes, a realidade prática da atividade de tratamento
prevalecerá e o que será analisado é a real atuação do
agente de tratamento na situação fática, a fim de
determinar se seu papel se enquadra na configuração de
um Controlador.

[28] Tradução livre. Texto original: “What is even more important to consideristhat you could
be liable as a controller even if you think you are a processor”. OQVIST, Karen Lawrence; e
JOHNSSÉN, Filip. Handson Guide to GDPR Compliance: Privacy by Design, Ptivacy by
Default. International Association of Privacy Professionals(IAPP). 2018.
 29

Nesse sentido, é o que Suzan Lyon Hintze e Jared Friend

trouxeram, em Data Processing Agreements:

“As partes não necessariamente podem escolher

quem terá será controlador e quem será operador
em um contrato por simplesmente determinar os
papéis no instrumento. Em vez disso, o RGPD
estabelece o critério necessário para a definição de
quem será controlador e quem será operador,
dependendo da natureza de cada papel das partes
envolvidas nas decisões relacionadas à utilização
dos dados pessoais envolvidos. Assim, é importante
identificar qual papel cada parte terá com relação a
cada conjunto de decisões envolvendo tratamento
de dados pessoais.”[29]

Em mesma linha, é o que se verifica em European Data

Protection: “Caso seja diferente do que, de fato, se
verifica na prática, a designação contratual dos papéis
das partes no contrato não é decisiva no que diz respeito
ao real papel das partes perante as leis de proteção de
dados”.

[29] Tradução livre. Texto original: “Parties do not necessarily get to choose who is data
controller or data processor simply by assigning these labels to parties in a contract.
Instead, the GDPR sets out criteria for determining who is data controller or data processor
depending on the nature of each party’s role in decisions about the use of the personal data
in question. Thus, it is important to identify what role each party will play with respect to
decisions made for each set of personal data processes”. Coord. WEISS. Justin B. Data
Processing Agreements: Coordination, Drafting & Negotiation. International Association of
Privacy Professionals(IAPP). 2018
 30

Também nesse sentido, é o texto do European Data

Protection Supervisor:

“Na prática, é possível que um operador vá além de seu

papel, por exemplo, ao agir fora do que foi estabelecido
no contrato ou ao tomar decisões sobre finalidades de
tratamento ou sobre elementos essenciais dos meios
para o tratamento. Se nesse caso o operador deveria
ser automaticamente qualificado como controlador
(com todas as responsabilidades inerentes ao
controlador) dependeria do escopo da violação, por
exemplo, tal comportamento poderia se dar para
cumprimento de princípios de proteção de dados.”[30]

Portanto, será essencial avaliar a situação prática para a

determinação dos papéis de Controlador e Operador e
não só contar com a formalidade contratual para
avaliação das responsabilidades.

Resta clara a complexidade envolvida em um tópico que,

a princípio, não aparenta trazer tantas ponderações e
aspectos relevantes. Fato é que, não basta uma mera
determinação contratual ou mesmo a mera presunção de
que prestador de serviço está submetido à figura de
Operador, ao passo que contratante se colocaria como
Controlador. É, na verdade, possível e, por vezes,
provável, que esses papéis se confundam em várias
situações envolvendo o tratamento de dados pessoais.

[30] Tradução livre. Texto original: “In practice, it is possible that the processor could go
beyond its role i.e. by acting outside of the agreement or making decisions about the
purpose and the essential elements of the means of a specific processing operation.
Whethersuch situation meansthat a processorshould automatically be classified as
controller (with all of the responsibilities it entails) would depend inter alia on the scope of
the deviation, for example when such behaviour serves to ensure compliance with data
protection principles”. European Data Protection Supervisor. Guidelines on the concepts
processor and joint controllership under Regulation (EU) 2018/1725. 2019. P. 17.
 31

Toda a complexidade do tema se mostra em grau ainda

maior quando observado o instituto denominado “Joint
Controllership”[31]. Trata-se de hipótese em que dois ou
mais agentes de tratamento atuam na figura de
Controladores conjuntos, ou seja, tomam determinam as
finalidades e os meios do tratamento em conjunto. Como
se pode imaginar, nesses casos, de decisão conjunta, a
alocação da responsabilidade parece ganhar um desafio
ainda maior.

De acordo com o art. 26 (1) do RGPD, nesse caso, os

Controladores deverão garantir a transparência e a
devida informação do titular de dados acerca da relação
existente entre os agentes, bem como determinar ponto
de contato para que o titular possa ter resguardados
seus direitos.

É importante destacar que a mera relação entre dois

agentes de tratamento, envolvendo o
compartilhamento de dados, não configura a
qualificação de uma “controladoria conjunta”, na
realidade, caso não seja constatada a relação entre
controlador-operador, haverá a análise da situação
fática para a determinação de papéis dos agentes, no
sentido de identificar-se as decisões estão sendo
tomadas em conjunto ou separadas.

[31] Art. 26 (1) RGPD

 32

No primeiro caso, qualificar-se-á o que aqui se

denominou controladoria conjunta, ao passo que, se as
decisões não refletem direcionamento conjunto e
determinação conjunta das finalidades e meios,
entender-se-á a relação como uma controladoria
apartada, qualificando o que se denomina “Separate
Controllers”. Nesse sentido, é o texto da Opinião 01/2010
do Working Party:

“Antes de mais nada, o mero fato de que partes

diferentes cooperam em um tratamento, por exemplo,
uma cadeia, não acarreta a consideração de que são
controladores conjuntos em todos os casos, uma vez
que o compartilhamento de dados entre duas partes,
sem o compartilhamento de finalidades e meios, em um
mesmo conjunto de operações, deveria ser considerada
apenas compartilhamento de dados pessoais entre dois
controladoresseparados.”[32]

Por conseguinte, conclui-se que, para a análise da

relação entre agentes de tratamento, objetivando a
correta determinação de papéis referentes ao tratamento
de dados, há que se analisar: (i) a qualificação dos
agentes como Controladores ou Operadores; e (ii) em
caso de ambos possuírem qualificação como
Controladores, haveria que se determinar se os
Controladores se mostrariam Controladores Conjuntos ou
Separados.

[32] Tradução livre. Texto original: “First of all, the mere fact that different subjects
cooperate in processing personal data, for example in a chain, does not entail that they are
joint controllersin all cases, since an exchange of data between two parties without sharing
purposes or means in a common set of operations should be considered only as a transfer of
data between separate controllers”. Article 29 Working Party, Opinon 01/2010 (WP 169, 16
de fevereiro de 2010) 00264/10/EN. 2010. p. 19
 33

Resta claro o fato de que há muito a se ponderar acerca

da relação entre agentes de tratamento e a correta
qualificação de seus papéis dentro da atividade de
tratamento. Ademais, parece clara a relevância da devida
atenção a este ponto, tendo em vista as consequências
práticas que podem decorrer da análise em questão, seja
em razão da correta alocação de responsabilidades entre
os agentes, seja em caso de aplicação da lei por parte de
autoridade competente ou, mesmo, para a garantia de
um canal adequado para que o titular possa ter seus
direitos resguardados e atendidos.

Destaca-se que, até o momento, as fontes e discussões

todas trazidas estão pautadas pelo que dispõe o RGPD e
a antiga Diretiva 95/46/CE[33]. Acontece que, há uma
pequena peculiaridade na lei brasileira que pode, em
maior ou menor grau, trazer ainda mais complexidade à
análise aqui sugerida.

As análises e posicionamentos apresentados, sejam as

relacionadas à doutrina mencionada ou às próprias
diretrizes de autoridades referentes à proteção de
dados pessoais, foram pautadas, especialmente, no
fator relativo à determinação das “finalidades” e dos
“meios” envolvidos no tratamento de dados pessoais.
Em razão da amplitude do que pode estar envolvido em
determinar as finalidades e os meios do tratamento de
dados, as diretrizes e as análises mencionadas se
mostraram necessárias para a correta interpretação e
aplicação dos conceitos de Controlador e Operador.

[33] Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?

uri=CELEX:31995L0046&from=PT
 34

Se a questão se mostrou complexa e ensejou toda a

discussão demonstrada e fundamentada pelas fontes
aqui citadas, em razão da redação constante no RGPD e
na Diretiva mencionada, seria razoável afirmar que com a
LGPD não decorrerá cenário muito distinto e, não seria
exagerada, a afirmação de que pode ensejar até mesmo
maiores discussões.

Por óbvio, as fontes europeias servirão como um

direcionamento inicial, que poderá ou não ser adotado
por autoridades competentes no país, entretanto, ao
analisar a letra da LGPD, percebe-se que temos um
cenário ainda mais abstrato do que o cenário europeu, o
mesmo cenário que originou toda a discussão
mencionada.

No art. 5, VI da LGPD, o Controlador está qualificado da

seguinte forma: “controlador: pessoa natural ou jurídica,
de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais;”.

Se, para que se pudesse chegar a algumas conclusões

com relação à qualificação dos agentes de tratamento na
Europa, foi necessária a análise pormenorizada do que
significaria a “determinação das finalidades e dos meios”,
quiçá em análise nacional, onde haverá que se interpretar
o que significaria “a quem competem as decisões
referentes ao tratamento de dados pessoais”.

Pela mera análise do texto legal, seria possível concluir

que o simples fato de “decidir” qualquer fator referente a
um tratamento de dados, ensejaria a qualificação como
Controlador para o agente que o fizesse. Entretanto, é
importante relembrar as palavras de Carlos Maximiliano:
 35

“A letra não traduz a ideia, na sua integridade:

provoca, em alheio cérebro, o abrolhar de um produto
intelectual semelhante, jamais idêntico, ao que a
fórmula é chamada a exprimir. Eis porque a todos se
antolha deficiente, precária, a exegese puramente
verbal.”[34]

Claro que similar análise à europeia precisará ser

realizada nacionalmente, a fim de direcionar o
entendimento quanto à determinação correta dos papéis
dos agentes de tratamento em cada atividade de
tratamento de dados pessoais.

O caráter abstrato do texto, por outro lado, colaborará

para a maior gradação da complexidade do tema,
merecendo a atenção necessária de partes
interessadas, especialistas e autoridades, a fim de
garantir maior segurança, não só à eficaz aplicação da
lei, mas, ainda, à própria conformidade dos agentes de
tratamento ao que determina a LGPD. Como
demonstrado, a correta qualificação do agente de
tratamento como Controlador, Operador, Controlador
Conjunto ou Controlador Independente, é fator crucial
para a adequada alocação de responsabilidades e,
portanto, se mostra aspecto essencial para o
gerenciamento de riscos por parte dos agentes de
tratamento, bem como aspecto essencial para o
estabelecimento das condições de proteção de dados
em um contrato

[34] MAXIMILIANO, Carlos. Hermenêutica e Aplicação do Direito. 21ª ed. São Paulo. Editora
Forense. 2017. p. 107.
 36
AS CONDIÇÕES DE
PROTEÇÃO DE

DADOS
Chega-se, pois, ao tópico verdadeiramente central deste
texto – talvez o que mais interesse a todos –, por meio do
qual se pretende trazer um panorama geral do que pode
ser inserido em contratos ou elaborado por meio de
instrumento próprio, envolvendo proteção de dados, em
especial, relacionado à LGPD.

Cabe destacar que a LGPD não traz, expressamente, a

obrigatoriedade de elaboração de um contrato entra as
partes para tratar de questões de proteção de dados,
ao contrário do RGPD, que faz isso expressamente em
seu art. 28 (3)[35]. Assim, o que se trará aqui são
sugestões baseadas em padrão de mercado observado
pela experiência e, claro, sugestões decorrentes da
experiência europeia e do material de lá decorrente.

Por óbvio, não se trata aqui de um modelo de contrato,

tampouco modelos de cláusulas, mas de um apanhado
do que precisa ou pode ser abordado em instrumento
que abrace uma operação econômica envolvendo
tratamento de dados pessoais. Ademais, é claro também
o fato de que mais ou menos condições podem ser
necessárias a depender da situação fática, logo, o que se
pretende aqui é trazer uma espécie de parâmetro geral
de fato, não fornecer uma fórmula.

[35] Disponível aqui: https://gdpr-info.eu/art-28-gdpr/

 37

A propósito, de início, cabem as palavras de Clement

Legrand e Emma Ottoy, em seu capítulo chamado
Context for Negotiations, no livro Data Processing
Agreements: um primeiro questionamento a ser feito é se
uma cláusula de proteção de dados é, de fato,
necessária[36]. O motivo de se fazer essa pergunta é
avaliar até que ponto vale a pena determinar todas as
questões envolvendo proteção de dados dentro daquela
relação.

No limite, toda relação empresarial envolverá o

tratamento de dados pessoais, nem que seja dos
representantes de cada parte, daí a ser necessária
uma extensa tratativa quanto às questões de proteção
de dados relacionadas ao tratamento, aconselha-se
prudência e ponderação.

Como já mencionado no primeiro tópico, por vezes, pode

ser que uma abordagem mais ampla de cumprimento da
legislação poupe uma série de custos de transação
envolvidos em negociação contratual e seja suficiente à
realidade da operação. Porém, isso dependerá de cada
caso prático.

O primeiro ponto, pensando em uma estrutura contratual

onde as condições de proteção de dados estejam em um
instrumento apartado, em um anexo ou em uma seção
própria dentro de um instrumento contratual, seriam as
definições. Caso as condições de proteção de dados
estejam dentro de outra seção do contrato, é possível
considerar a inclusão das definições junto com eventuais
outras definições contratuais já existentes.

[36 WEISS, Justin. Data Processing Agreements. IAPP. 2019. p. 112.

 38

Basicamente, aconselha-se que sejam definidos, pelo

menos, os conceitos de: (i) bases legais; (ii)
compartilhamento de dados; (iii) controlador; (iv) dado
pessoal; (v) dado pessoal sensível; (vi) dado
anonimizado; (vii) encarregado de dados; (viii)
legislação aplicável; (ix) operador; (x) titular de dados;
e (xi) tratamento de dados.

Ponto que é importante estabelecer em contrato, seja

lá qual for o cenário relacional entre as partes, é o
objeto do tratamento, o escopo do tratamento de
dados, os titulares de dados envolvidos e as
finalidades de tratamento.

Tal previsão deixa claro o objeto ao qual aquelas

condições têm por objetivo regulamentar, especialmente
quando o tratamento de dados é mais complexo, tal
definição de escopo auxilia até mesmo para a definição
de papéis e responsabilidades, tendo em vista o aspecto
contextual de muitas análises envolvendo proteção de
dados. A depender da mudança na finalidade e nos
dados pessoais objeto do tratamento, pode ser que
mudem os papéis e as posições dos agentes, motivo pelo
qual a correta definição do escopo e do objeto de
tratamento pode ser determinante para um instrumento
bem elaborado nesse sentido.

Para o fim da cláusula acima mencionada, a ideia é

mencionar, pelo menos, que: (i) o tratamento de dados
pessoais envolvido no objeto do presente Contrato
decorre dos serviços ‘XYZ’, prestados pela Parte A à
Parte B; (ii) estão envolvidos no tratamento os dados
pessoais ‘123’; (iii) os titulares de dados envolvidos no
tratamento são ‘ABC’; e (iv) o tratamento se dá para
fins de atingimento das finalidades específicas e
determinadas em cada caso.
 39

Em seguida, por óbvio, deve haver a definição da

posição das partes, o papel de cada uma delas no que
diz respeito ao tratamento de dados envolvido na
operação, bem como se necessário, os diferentes
cenários. Explica-se.

Como visto no tópico anterior, a relação entre os agentes

de tratamento não é uma relação de fácil definição, os
papéis se confundem, a linha entre um e outro é tênue e a
complexidade das operações econômicas torna tudo mais
difícil. Assim, é possível que para a mesma relação
contratual, sejam identificados mais de um cenário de
relação entre os agentes.

Portanto, além de considerar o que foi abordado no

tópico anterior no que diz respeito ao papel de cada
parte, aconselha-se que sejam definidos os diferentes
cenários envolvendo as partes. Para o fim de definir os
cenários, o que pode ser feito é estabelecer pequenas
seções, onde cada uma servirá para tratar de um cenário,
ou seja: (i) Relação Controlador-Controlador Conjuntos;
(ii) Relação Controlador-Controlador Independentes; e (iii)
Relação Controlador-Operador.

Definidos os papéis – se preciso, revisite o exposto no

tópico anterior – e as seções refletindo os possíveis
cenários, cada cenário poderá ser preenchido com as
condições abaixo mencionadas, a depender de cada
situação fática e ajustadas as cláusulas para cada
cenário de relação entre os agentes.
 40

Pois bem, estabelecidos os papéis e verificadas as

respectivas seções necessárias, há que se passar às
obrigações e responsabilidades de cada parte.

Considerando o fato de que, normalmente, em

negociações contratuais há sempre interesses sendo
resguardados de ambos os lados e isso pode significar
que uma parte pode tentar se eximir de determinadas
obrigações e responsabilidades, ao mesmo tempo que
tenta impor o máximo de obrigações e
responsabilidades à outra, as obrigações a seguir
sugeridas para ambos os papéis – Controlador e
Operador – são pensadas como se desenhadas pela
outra parte, ou seja, levadas ao máximo possível. Claro
que isso pode variar de negociação para negociação.

Estivesse um Operador de Dados preocupado em

estabelecer condições de proteção de dados para um
Controlador de Dados, seria importante considerar:

A declaração e garantia de que o Controlador

possui legitimidade para demandar o
tratamento de dados envolvido na relação,
definindo as finalidades de tratamento
envolvidas na relação, os meios essenciais e
demais aspectos inerentes à posição do
Controlador de Dados.
 41

A legalidade e legitimidade do tratamento devem

ser garantidas pelo Controlador, por mais que o
Operador tenha o dever de cumprir com a
legislação e possa, eventualmente, apontar
eventual ilegalidade no tratamento para o
Controlador, tal possibilidade não implica, de
forma alguma, numa obrigação por parte do
Operador de analisar no detalhe cada atividade
de tratamento que lhe for demandada, partindo
do pressuposto, portanto, de que ao Controlador
cabe a função de analisartais condições;

Assim, importante também prever a declaração e

a garantia do Controlador, no sentido de que
cumpre todos os aspectos da legislação
pertinente, que avaliou e atestou a legitimidade e
legalidade do tratamento demandado, em
especial, no que diz respeito a bases legais,
mecanismos de transparência e informação, e à
possibilidade de compartilhamentos dos dados
pessoais envolvidos no tratamento;

Declaração e garantia do Controlador, no

sentido de que possui processos internos aptos
a cumprir com a legislação, em especial o
cumprimento dos princípios e diretrizes previstas
pela LGPD, ainda, a declaração e garantia de que
possui um processo adequado e apto a cumprir
com o atendimento de requerimento de direitos
dos titulares;
 42

Declaração e reconhecimento da posição do

Controlador e do papel do Operador, no sentido
de que o Operador tratará os dados pessoais de
acordo com suas diretrizes ou validações, no
entanto, caso o Operador entenda que algum
aspecto do tratamento viola a legislação,
notificará o Controlador de tal entendimento, sem
que isso implique necessidade do Operador
avaliar e atestar a legalidade e legitimidade do
tratamento, o que é responsabilidade primária do
Controlador;

A necessidade de orientações e determinações

por parte do Controlador com relação ao
tratamento de dados pessoais, no sentido de que
é obrigação do Controlador indicar os aspectos
referentes ao tratamento envolvido na operação.
Nesta cláusula, a fim de evitar custos de
transação necessários para a determinação de
todos os aspectos envolvidos, é possível também
considerar a validação do Controlador das
práticas do Operador, entretanto, é apenas uma
opção essa abordagem, podendo não ser
adequada a depender do caso prático. É
importante trazer essa opção, pois, muitas das
vezes, o Controlador sequer deseja determinar
todas as condições, sendo determinante apenas
nos aspectos essenciais do tratamento,
permitindo, portanto, que uma série de medidas
de meio sejam determinadas pelo Operador –
aqui vale se atentar para a linha tênue entre
Controlador e Operador, pode haver aí uma
confusão do papel do Operador com Controlador-
Conjunto a depender do grau decisório e de
influência do Operador nas atividades de
tratamento;
 43

Também é possível se estabelecer o meio e a

forma das instruções e definições de questões
envolvendo o tratamento de dados pelo
Controlador. Para que o Operador se sinta mais
seguro no sentido de saber quais são as
diretrizes, a determinação de um canal e forma
referentes às diretrizes em contrato pode ser
bastante útil a discussões futuras. Por exemplo, o
Controlador pode alegar ter determinado certa
condição, entretanto, o fez por meios alheios ao
acordado entre as partes como válido para tal
fim, o que poderá – não necessariamente, mas
poderá – invalidar a suposta determinação.

Por óbvio, outras condições podem ser consideradas,

maior detalhamento pode ser feito, entretanto, como
dito, o intuito não é fornecer um modelo de contrato,
mas tratar de alguns aspectos envolvendo as condições
de uma relação envolvendo tratamento de dados
pessoais.

Agora, estivesse um Controlador preocupado em

estabelecer condições a um Operador contratado,
natural seria que maiores condições fossem
determinadas no instrumento, como, por exemplo:
 44

Declaração e garantia por parte do Operador de

que tratará os dados pessoais apenas para os
fins determinados pelo Controlador, sendo
vedado o tratamento de dados para finalidades
alheias. O intuito, claro, é de que a finalidade de
tratamento seja respeitada, levando-se em conta
o princípio previsto pelo art. 6º , I da LGPD.
Ademais, como observado no tópico anterior, a
realidade dos fatos é mais importante do que a
definição contratual, logo, caso o Operador
venha a tratar dados pessoais para finalidades
distintas da determinada pelo Controlador, além
de violação contratual, em eventual análise da
situação em juízo ou em processo administrativo,
a consequência seria sua consideração como
Controlador, sendo responsável por todas as
responsabilidades e obrigações inerentes à
figura do Controlador;

Declaração e garantia por parte do Operador, no

sentido de que possui um Programa de Proteção
de Dados e Privacidade, bem como de que seus
processos, sistemas e condutas estão e
permanecerão em conformidade com a
legislação, em especial a LGPD, de maneira que o
Operador se compromete a adotar todas as
medidas necessárias para que sua operação se
mantenha legítima, lícita e apta a atender aos
parâmetros determinados pelo Controlador no
decorrer daquela relação. Cumpre destacar que,
para os fins de eficiência de cláusulas nesse
sentido, seriam importantes análises prévias e
alheias à elaboração contratual, o processo de
vendor assessment deve considerar questões de
proteção de dados para maior segurança do
Controlador;
 45

Declaração e garantia por parte do Operador de

que tratará os dados pessoais apenas de acordo
com as diretrizes, orientações ou validações do
Controlador, de maneira que, além do já
acordado em contrato ou por outro meio, caso
haja qualquer mudança ou novidade com relação
ao tratamento de dados pessoais, o Operador se
compromete a validar prévia e expressamente
com o Controlador antes de passar a tratar os
dados de acordo com novos parâmetros;

Assim como do lado do Operador, pode ser útil

também ao Controlador estabelecer condições
para que sejam consideradas válidas eventuais
diretrizes e determinações envolvendo o
tratamento de dados. Por exemplo, determinar
que apenas um contato específico do Controlador
deve ser considerado para questões envolvendo
o tratamento de dados, bem como é possível
estabelecer que apenas condições formalmente
estabelecidas, por documento assinado por
representantes legais do Controlador é que serão
considerados válidos para fins de direcionamento
envolvendo o tratamento de dados. A utilidade
de tais condições pode se dar no sentido de que
o Operador pode comunicar por canais alheios
uma nova condição de tratamento pretendida e
dar como validada e já colocar, no entanto, se
estabelecida a condição do canal e forma para
tal validação, o Controlador poderia considerar
que a nova condição não foi validada, violando o
Operador, portanto, o contrato. Trata-se, na
verdade, de um ponto de controle, a fim de que
questões envolvendo tratamento de dados
pessoais não sejam validadas, acordadas ou
decididas,sem a devida análise;
 46

Aconselha-se a menção destacada com relação

ao compartilhamento de dados pessoais, aqui
buscando tratar de situações de subcontratação
e afins. Nesse sentido, a ideia é de que o
Operador não poderá compartilhar o dado
pessoal com terceiros, exceto se prévia e
expressamente validado pelo Controlador. Para
esta cláusula, em razão de eventuais custos de
transação que determinadas operações podem
envolver caso o Operador precise validar cada
vez que for realizar um novo compartilhamento,
pode existir uma autorização genérica e prévia
do Controlador, entretanto, é preciso verificar se
a perda desse ponto de controle não pode
impactar na adequação da operação à
legislação. Outro ponto importante, é a
consideração de empresas distintas, mas
relacionadas ao Operador, muitas das vezes do
mesmo grupo econômico ou algo do tipo. É
preciso determinar se essas empresas poderão
ou não tratar os dados pessoais também. Com
relação à menção destacada dos
compartilhamentos de dados pessoais, destaca a
Agencia Española de Protección de Datos: Es
especialmente necesario determinar de forma
clara las comunicaciones a terceros que el
responsable encomienda al encargado o que se
derivan del servicio prestado.[37]

[37] Agencia Española de Protección de Datos. Directrices para la Elaboración de Contratos

entre Responsables y Encergados del Tratamiento. p. 6.
 47

Uma condição importante de ser estabelecida é a

utilização de pessoal estritamente necessário
para a realização do tratamento de dados,
devendo o Operador possuir medidas técnicas e
administrativas de controle de acesso aos dados
pessoais, garantindo que somente tratará os
dados pessoais seu pessoal destinado ao
atendimento da operação, sendo vedado o
tratamento dos dados pessoais por pessoal que
não seja essencial à operação envolvendo o
tratamento de dados pessoais, mesmo que se
trate de pessoal interno do Operador;

Ainda sobre limitação de tratamento de dados

somente por pessoal necessário, mais importante
ainda é determinar que somente pessoal interno
do Operador poderá tratar o dado pessoal,
lembrando da limitação de compartilhamento, no
sentido de que qualquer subcontratação deverá
ser comunicada e validada prévia e
expressamente pelo Controlador, excetuando-se
eventuais formatos de aprovação genérica ou
situações em que as partes já deixam acordadas
as subcontratações validadas desde o início;

Em seguida, vale destacar a obrigação de

adoção de medidas técnicas e administrativas
aptas a proteger o dado pessoal[38]. Aqui há
uma certa dificuldade com relação ao nível de
segurança da informação depender de definição
ou de parâmetros para que possa eventualmente
ser avaliado.

[38] Referência ao art. 46 da LGPD. Disponível em:

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
 48

Na Europa, o artigo referente às medidas

técnicas e organizacionais é um pouco diferente
e tem uma abordagem risk-based, no sentido de
que a medida deve ser considerada adequada ao
risco identificado, ou seja, identifica-se o risco e,
com base nele, a medida será considerada
proporcional ou não ao risco identificado[39].

De qualquer maneira, para a definição do nível

das medidas de segurança da informação, valem
as mesmas considerações feitas anteriormente,
no sentido de que é possível determinar o nível a
priori ou deixar a cláusula incompleta e tratar do
tema caso seja necessário no futuro. Na posição
de Controlador, a definição dos parâmetros
previamente parece ser mais segura. Nesse
sentido, são alguns dos critérios que podem ser
utilizados para a definição: (i) o padrão atual de
tecnologia existente no mercado; (ii) os custos de
implementação; (iii) a natureza, o escopo, o
contexto e a finalidade de Tratamento; (iv) os
riscos e a probabilidade de incidência; e (v) a
severidade das consequências aos direitos e
liberdades individuais dos Titulares em caso de
incidência.

[39] Art. 32,1(a), GPDR: the controller and the processor shall implement appropriate
technical and organisational measures to ensure a level of security appropriate to the risk.
Disponível em: https://gdprinfo.eu/art-32-gdpr/
 49

Em que pese a obrigação de atender os titulares

de dados seja do Controlador, é importante
estabelecer a obrigação do Operador de
comunicar qualquer eventual contato de
titulares de dados pessoais, autoridades ou
mesmo outras empresas, tratando de questões
relacionadas ao tratamento de dados pessoais,
em especial, requerimentos de titulares de dados.
Normalmente, estabelece-se um prazo
curtíssimo, a fim de que não haja prejuízo no
restante do processo.

É importante também determinar a obrigação de

colaboração por parte do Operador, a fim de que
forneça eventuais subsídios necessários para que
o Controlador possa dar prosseguimento com o
processo de atendimento de requerimentos e
respostas a titulares e autoridades.

É relevante que o Operador se comprometa a

garantir que todo o seu pessoal cumpra com as
determinações do instrumento, incluindo
representantes, empregados e eventuais
terceirizados autorizados. Aqui cabe menção a
uma prática não tão desejável. Há, por vezes, a
determinação de que empregados do Operador,
que trabalharão na operação que envolve o
tratamento de dados pessoais, assinem termos
ou políticas do Controlador, comprometendo-se a
cumprir com questões de proteção de dados ali
estabelecidas.
 50

O que se aconselha aqui é que toda a relação

seja estabelecida com o Operador e não com seu
pessoal, ou seja, todas as condições devem ser
tratadas pela empresa atuante na figura de
Operador, cabendo a ela garantir que seu
pessoal cumpra com tais condições – não parece
aconselhável o estabelecimento de termos e
políticas com empregados de terceiros.

Uma obrigação normalmente prevista é a de que

o Operador deve manter políticas e processos
internos com parâmetros mínimos de proteção
de dados pessoais, e de que o Operador se
compromete a comunicar sempre que qualquer
mudança em seus processos, políticas ou modo
de trabalho possam não estar adequados ao que
estabelece o instrumento, tendo o Controlador a
liberalidade de resolver o contrato nesse caso ou
demandar os ajustes necessários ao Operador.

Ponto bastante impactante é a questão

envolvendo incidentes de segurança. Aconselha-
se que sejam incluídas condições claras de
notificação do Operador ao Controlador caso
tome conhecimento de um incidente de
segurança envolvendo dados pessoais.
Normalmente o incidente de segurança é definido
como a lei ou como incidente envolvendo os
dados pessoais tratados no âmbito do contrato
que possa acarretar queda de um dos pilares de
segurança da informação (CIA – confidentiality,
integrity, availability)[40].

[40] OQVIST, Karen Lawence e JOHNSSÉN, Filip. Hands-on Guide to GDPR Compliance.
IAPP. 2018. p. 89
 51

Por fim, há que se mencionar a possibilidade de

inclusão de cláusula envolvendo direito de
auditoria por parte do Controlador no Operador,
bem como a necessidade de que o Operador
colabore com a auditoria, fornecendo todos os
documentos e subsídios necessários, garantida a
confidencialidade por parte do Controlador. Se
possível, é aconselhável que se inclua uma
declaração do Operador de que não possui
qualquer impedimento legal ou contratual para
compartilhar informações com o Controlador, a
fim de tentar evitar argumentos futuros de que o
Operador está sob restrições contratuais de
confidencialidade, por exemplo.

Voltando ao restante do instrumento, tanto para a

condição de Operador, quanto para a condição de
Controlador, é necessária a previsão de condições de
ressarcimento, penalização, resolução contratual e
demais consequências decorrentes do descumprimento
contratual. Para ambas as partes, mas em especial para
o Controlador, o direito de regresso será muito relevante
em caso de descumprimento. É possível também
trabalhar com multas e outros tipos de penalidades,
inclusive retenção de valores e abatimentos.

Nesse sentido, é preciso relembrar que, ao estabelecer

uma penalidade ou uma condição envolvendo retenção e
abatimento, o intuito é trabalhar com incentivos ao
cumprimento do Contrato e não efetivamente receber os
valores ali determinados. Assim, de nada adianta criar
uma penalidade onde vale mais a pena para o Operador
descumprir o Contrato e pagar a penalidade – todo mês,
por exemplo – do que, por exemplo, realizar ajustes
necessários em seus sistemas ou processos internos.
 52

Portanto, ao trabalhar com penalidades e condições

envolvendo o inadimplemento, é preciso ter em mente que
o intuito principal é que a outra parte cumpra com o que
precisa ser cumprido, sendo o ressarcimento uma
condição secundária, não necessariamente desejada.

Caso a relação envolva outros instrumentos entre as

Partes, ou mesmo se as Partes tiverem outras relações
comerciais ou operacionais já abarcadas por outros
instrumentos contratuais, ainda, caso seja o primeiro
instrumento contratual firmado entre as partes, mas o
instrumento utilizado para regulamentar questões de
proteção de dados seja formalizado à parte do contrato
principal ou como anexo alheio à redação do contrato, é
aconselhável que seja elaborada cláusula de prevalência
da redação do anexo ou instrumento independente
quanto ao conteúdo do contrato principal, no que diz
respeito a questões de proteção de dados e privacidade.

O motivo disso é o fato de que é comum em contratos

cláusulas de confidencialidade, segurança da informação
e eventual outra cláusula envolvendo direitos e
obrigações, acabarem por abordar de forma genérica de
eliminação de arquivos, proteção de informações e não
utilização de informações para outros fins, bem como
deveres referente à confidencialidade das informações
trocadas entre as partes – tais previsões contratuais
podem conflitar com regras de término do tratamento e
outras condições estabelecidas no instrumento destinado
à proteção de dados, motivo pelo qual aconselha-se a
previsão da prevalência do instrumento mais adequado a
tratar do tema no que diz respeito a tratamento de dados
pessoais.
 53
A DEMANDA CONTRATUAL
ENVOLVENDO PROTEÇÃO

DE DADOS

Este tópico trará um breve passo a passo de como uma

demanda contratual envolvendo proteção de dados
pode ser enxergada e tratada. Para profissionais mais
experientes, talvez não seja de grande valia, por vezes
já têm o próprio processo, entretanto, pode servir de
direcionamento para quem estiver começando.
Basicamente, deve-se considerar os seguintes passos
para atender a uma demanda de contratos envolvendo
proteção de dados pessoais:

Recebimento da demanda de cliente interno ou

externo;

Entendimento do papel das partes não no que se

refere à proteção de dados, mas sim com relação
à operação econômica em si;

Entendimento das atividades de tratamento de

dados envolvidas na operação econômica;

Entendimento do papel das partes com relação à

sua posição como agente de tratamento;

Definição da abordagem desejada, ou seja,

alocação dos custos de transação para a
negociação prévia ou posterior ao contrato;
 54

Definição do instrumento a ser utilizado,

consideração da gestão contratual pretendida, se
preferível a gestão individualizada do documento
ou em conjunto com instrumento contratual mais
abrangente; e

Só então, passa-se à definição das condições de

proteção de dados, sempre levando em
consideração a realidade prática da operação em
eventual negociação. Quais os efeitos daquelas
cláusulas? Quais os efeitos daquelas alterações
propostas?
 55
FONTES DE ESTUDO E

CONSULTA

Em vez de trazer aqui uma mera lista bibliográfica, opta-se

por fazer recomendações bibliográficas com maiores
detalhes, tendo por objetivo indicação de fontes já contendo
algumas segregações com relação aos temas, a fim de
facilitar o processo de pesquisa e consulta no futuro.

No que se refere à elaboração e à forma de pensar

contratos, são indicados:

CHOI, Albert e TRIANTIS, George. Strategic Vagueness in Contract

Design: The Case of Corporate Acquisitions. The Yale Law Journal. 2010.
Disponível em: https://www.yalelawjournal.org/article/strategic-
vagueness-in-contractdesign-the-case-of-corporate-acquisitions

SCOTT, Robert E. e TRIANTIS, George. Incomplete Contracts and The

Theory of Contract Design. Case Western Reserve Law Review. 2005.
Disponível em:
https://pdfs.semanticscholar.org/07f7/10758d772c7acd1ca2eaf856531b
6c597530.pdf

ROPPO, Enzo. O Contrato. Trad. Ana Coimbra e M. Januário C.

Gomes.Almedina. Coimbra. 2009.
 56

Referente ao conceito de controlador e a definição dos

agentes de tratamento em contrato, recomenda-se:

Article 29 Data Protection Working Party. Opinion 01/2010. Link:

https://ec.europa.eu/justice/article-
29/documentation/opinionrecommendation/files/2010/wp169_en.pdf

Information Commissioner’s Office – ICO. Controllers and Processors.

Guide to GDPR. Link: https://ico.org.uk/for-organisations/guide-to-
dataprotection/guide-to-the-general-data-protection-regulation-gdpr/

European Data Protection Supervisor – EDPS. Guidelines Controllers and

Processors: https://edps.europa.eu/sites/edp/files/publication/19-11-
07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.
pdf

Coord. WEISS. Justin B. Data Processing Agreements: Coordination,

Drafting & Negotiation. International Association of Privacy
Professionals(IAPP). 2018.

Coord. USTARAN, Eduardo. European Data Protection: Law and Practice.

International Association of Privacy Professionals(IAPP). 2018.

CABELLA, Daniela M. Monte Serrat e FERREIRA, Raíssa Moura.

Descomplicando Agentes de Tratamento. Link:
https://www.migalhas.com.br/depeso/326741/descomplicando--agentes-
detratamento
 57

Decisões da Corte de Justiça da União Europeia, muito

interessantes e que trazem questões realmente relevantes
no que diz respeito à interpretação ampla do conceito de
controlador:

http://curia.europa.eu/juris/document/document.jsf?
text=&docid=152065&pageIndex=0&doclang=EN&mode=lst&dir=&occ=fi
rst&part=1&cid=5839000

http://curia.europa.eu/juris/document/document.jsf?
text=&docid=202543&pageIndex=0&doclang=EN&mode=req&dir=&occ=
first&part=1&cid=336916

http://curia.europa.eu/juris/document/document.jsf?
text=&docid=203822&pageIndex=0&doclang=EN&mode=lst&dir=&occ=fi
rst&part=1&cid=5839392

http://curia.europa.eu/juris/document/document.jsf?
text=&docid=216555&pageIndex=0&doclang=EN&mode=lst&dir=&occ=fi
rst&part=1&cid=5839567
 58

Com relação ao conteúdo de contratos envolvendo

questões de proteção de dados:

Agencia Española de Protección de Datos. Contractos entre

Responsables y Encargados.
Link: https://www.aepd.es/sites/default/files/2019-10/guiadirectrices-
contratos.pdf

Information Commissioner’s Office – ICO. Contracts and Liabilities. Link:

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-
thegeneral-data-protection-regulation-gdpr/contracts-and-liabilities-
betweencontrollers-and-processors-multi/

Coord. WEISS. Justin B. Data Processing Agreements: Coordination,

Drafting & Negotiation. International Association of Privacy
Professionals(IAPP). 2018.

ALVES, Carla Segala e GUIDI, Guilherme Berti de Campos. Cláusulas

Contratuais e Dados Pessoais: Controladores, Operadores,
Cocontroladores e Transferências Internacionais. in Coord. BLUM,
Renato Opice. Vainzof, Rony e MORAES, Henrique Fabretti. Data
Protection Officer(Encarregado). Revista dos Tribunais. 2020.
 59

Por fim, sem maiores delongas, espera-se que

sejam úteis as referências e o conteúdo do
presente material, fruto de singela — mas bem
intencionada — iniciativa
Matheus Noronha Sturari

Clique no ícone para interagir