O compartilhamento de dados pessoais está cada dia mais presente na sociedade, ainda mais no ambiente digital, no qual são fornecidas informações que podem identificar ou tornar identificáveis as pessoas naturais para várias empresas, seja através da navegação na internet, a partir do fornecimento direto em bancos de dados de diversas fontes ou como requisitos para a obtenção de determinado serviço.
Muitas dessas empresas, ao receber tais informações, repassam esses dados para outras, seja por obrigação legal, parceria comercial ou simplesmente para que esta possa realizar o processamento dos dados em seu nome. Ao receberem dados pessoais, as empresas devem cumprir certas obrigações, não só perante o controlador que compartilhou aquelas informações, mas também em relação ao titular a quem os dados pessoais pertencem.
Dessa forma, é muito importante que, antes do compartilhamento, as empresas envolvidas firmem não só um contrato comercial, mas também um acordo específico que zele sobre os limites, direitos e deveres das partes a respeito do compartilhamento desses dados.
Nessa perspectiva, um acordo de compartilhamento de dados é uma boa prática de privacidade de dados pessoais, vez que auxilia as partes envolvidas a ter maior clareza de quais informações transmitem ou recepcionam, qual é a finalidade do compartilhamento, como é realizado o tratamento dos dados compartilhados por cada uma das partes e quais são as responsabilidades das partes envolvidas.
Isso faz com que as partes, ou a holding como um todo, no caso do acordo intragrupo, transpareçam conformidade em relação à legislação de proteção de dados vigentes e, assim, mitiguem riscos em relação a incidentes e aumentem probabilidades de novas parcerias e contratações.
Dessa forma, são diversos os benefícios da utilização de um contrato de compartilhamento de dados ou Data Sharing Agreement, instrumento ainda pouco utilizado no Brasil, mas de amplo conhecimento e utilização nos países sob a égide do General Data Protection Regulation (GDPR) – regulamento europeu acerca da privacidade e proteção de dados pessoais – ou outras legislações similares com maior tempo de vigência e aplicabilidade em relação à legislação brasileira sobre o tema, que está prestes a entrar em vigor.
Tendo por base os normativos e artigos produzidos fora do Brasil, bem como os casos de sucesso em andamento, vislumbra-se a importância crescente da adoção desse modelo desde já, antes mesmo da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD). Isso porque a privacidade de dados já é assunto tratado pelo nosso ordenamento jurídico e, especialmente, é um tópico de atenção no momento da formação de parcerias, participação em licitações, contratações ou fiscalizações do Poder Público.
É importante que se tenha atenção a certas definições antes mesmo de firmar o acordo, como o estabelecimento do papel de cada uma das partes no tratamento dos dados. Isso faz com que se tenha maior nitidez de quais cláusulas devem realmente constar do Data Sharing Agreement.
O controlador, conforme a Lei Geral de Proteção de Dados Pessoais, é “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. O processador, ou operador, é “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Definidas as naturezas das partes envolvidas no acordo, passa-se ao conteúdo propriamente dito.
Em linhas gerais, são cláusulas essenciais ao acordo para fins de atendimento às particularidades das organizações envolvidas: a definição das partes e de suas naturezas, com a previsão de formas de aderir ao acordo ou de eventual exclusão de alguma parte; quais são os itens compartilhados; a finalidade e base legal para o compartilhamento; os mecanismos de conformidade com a legislação de proteção de dados pessoais no tocante à inclusão, tratamento e deleção dos dados; e a previsão de periodicidade para revisão do acordo.
Confira-se um pouco mais o que significa cada uma:
1. Definição das partes e de suas naturezas: É importante que o acordo contenha claramente quais são as partes signatárias e sua natureza diante do tratamento de dados pessoais – se são controladoras ou operadoras;
2. Formas de adesão ao acordo e de exclusão de alguma parte signatária: Na mesma linha, a previsão de como será feita a aderência ao acordo ou a exclusão, em caso de desvinculação de alguma das partes, é essencial para que o acordo seja de longa duração, em face de possíveis mudanças na composição das partes e convergência – ou divergência – de interesses que ocorram ao longo do tempo;
3. Definição e descrição dos tipos de dados pessoais que fazem parte do acordo: Para conferir clareza ao compartilhamento, é necessário que estejam discriminados no acordo os tipos de dados pessoais que podem ser compartilhados. Isso assegura que não haja tratamento excedente por parte das signatárias do acordo, bem como auxilia o titular das informações pessoais, as organizações interessadas e os órgãos fiscalizadores a obter facilmente a informação de quais dados pessoais são intercambiáveis;
4. Definição da finalidade e base legal para o compartilhamento: A LGPD define como imprescindíveis a existência de finalidade e base legal – dentre as enumeradas pela Lei – para que haja o tratamento de dados pessoais. Logo, o compartilhamento, que é uma forma de tratar as informações que identificam pessoa natural, deve ser pautado por uma finalidade legítima e enquadrado numa das hipóteses legais;
5. Funções e responsabilidades dentro de cada organização: A depender da natureza das partes envolvidas, cada uma terá um papel no processo de tratamento dos dados pessoais compartilhados. Para melhor organizar as funções e responsabilidades, é possível que se consigne no acordo o que cada parte terá por responsabilidade em relação à informação pessoal;
6. Uso permitido de dados, vinculação e compartilhamento: É relevante que se apresente, com a intenção de vincular as partes, o uso permitido dos dados pessoais obtidos e de que forma será operacionalizado o compartilhamento;
7. Mecanismos de conformidade com a legislação de proteção de dados pessoais: Nesse ponto é preciso que as partes estabeleçam os mecanismos por meio dos quais irão atender aos direitos dos titulares, previstos no capítulo III da LGPD, e como irão processar, armazenar e dar destinação final aos dados pessoais compartilhados, uma vez que o acordo é útil também para padronizar essas atividades entre as partes;
8. Duração e previsão de periodicidade para revisão do acordo: Sem a expectativa de esgotar as possíveis cláusulas do acordo, fecha-se este destaque feito para as cláusulas essenciais com a necessidade de que haja previsão do tempo de duração do acordo e periodicidade na qual haverá revisão deste. Isso porque os dados pessoais compartilhados, os mecanismos de segurança física e técnica, bem como a maturidade das partes envolvidas na temática da privacidade de dados se alterarão com o tempo. Isso sem contar com a possibilidade de novidades legislativas, que devem ser incorporadas ao acordo tão logo estejam em vigor.
Conforme mencionado, esse tipo de documento ainda é pouco difundido no Brasil, mas já é de ampla utilização em outros países, sendo que o Information Comissioner’s Office (ICO) – órgão público não departamental que se reporta ao Parlamento do Reino Unido – emitiu inclusive um código de práticas de compartilhamento de dados[2] com diversas informações e diretrizes sobre o tema, podendo ser esta uma fonte de orientação quando da elaboração do acordo.
É cediço que as boas práticas de governança e proteção de dados pessoais devem ser objeto de preocupação e zelo das organizações que desejam crescer no cenário atual. Sendo assim, é momento de analisar se a sua organização opera algum compartilhamento de dados, seja intraorganizacional, no caso de holdings, por exemplo, com outra organização, ou mesmo com entes governamentais.
Se a resposta for afirmativa, é interessante que seja acionada uma consultoria especializada no tema para que esta entenda as minúcias do compartilhamento e, se vislumbrada a necessidade, elabore o acordo de compartilhamento de dados pessoais adequado à realidade da organização.
Ficou com alguma dúvida e gostaria de conhecer o nosso trabalho? Fale conosco!
Camila Borges Pires
Analista Jurídica da Every
BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Information Comissioner’s Office. Data sharing code of pratice. Disponível em: https://ico.org.uk/media/2615361/data-sharing-code-for-public-consultation.pdf
Comments