A Lei nº 13.709/2018, conhecida como “Lei Geral de Proteção de dados (LGPD)” ainda não está em vigor – sequer há agência reguladora em exercício –, mas certamente é um dos assuntos mais discutidos nos últimos tempos, despertando a curiosidade de muitos e levantando uma série de questões técnicas e jurídicas.
Entre incertezas e polêmicas, fato é que a norma possui imensa amplitude, aplicando-se a praticamente todas as pessoas jurídicas, além de que sua entrada em vigor está cada vez mais próxima; todavia, percebe-se com olhar de preocupação que a maioria das empresas não demonstram estarem adequadas à legislação - muitas ainda ignoram o tema, não dando o valor e a atenção merecida pela norma.
Bem verdade, a fiscalização e fixação de sanções já é realidade. Ministério da Justiça, Ministério Público, órgãos de proteção ao consumidor e outras entidades, iluminadas por preceitos do Marco Civil da Internet e normativas esparsas, trabalham a todo vapor na pauta “proteção de dados”. O respeito à Lei Geral será, portanto, inexorável.
É correto afirmar, portanto, que todas as empresas hão de passar por um processo de adaptação, revelando-se de suma importância a elaboração de um plano específico de adequação à norma que atenda às novas regras. Dentre as mudanças, destaca-se a necessidade de que as empresas revisem e atualizem contratos e documentos jurídicos em duas esferas, ordinária e extraordinária: a primeira dividida em (i) interna, entre os próprios funcionários; e (ii) externa, perante consumidores e fornecedores; a segunda, em relação a dados fornecidos a operadores ou colhidos de terceirizadas, bem como qualquer terceiro.
Nesse sentir, o empregador deve atualizar os contratos com seus empregados, revisando ou adicionando cláusulas que digam respeito aos dados tratados pela empresa, independentemente do meio (físico ou digital). O mesmo deverá ser feito em relação aos clientes e fornecedores da empresa, aos quais a empresa deverá dar ciência inequívoca quanto ao tratamento dos seus dados.
Ademais, a revisão contratual se estende aos demais terceiros, notadamente aos dados fornecidos a outras empresas que atuarão, em finalidades específicas, como operadores de dados pessoais (por exemplo: gestões de recursos humanos no geral, de folha de pagamento, de plano de saúde, de recrutamento, de e-mails, de contabilidade, de compra e venda, de emissão e controle de notas fiscais, de prestação de serviços jurídicos, etc). Em suma, deverá ser feita a atualização de cláusulas contratuais sempre que a empresa, controladora por excelência, fornecer e compartilhar dados com outras empresas que irão tratar esses dados na qualidade de operadoras.
O contrário também se aplica, isto é, quando a empresa colher, receber ou acessar dados de outras empresas prestadoras de serviços terceirizados (por exemplo: empresas que disponibilizam mão de obra para serviços de limpeza, manutenção, segurança, etc). Há, inclusive, desdobramentos na seara trabalhista, que ensejam na fiscalização, pelo empregador, do cumprimento das obrigações trabalhistas pela empresa terceirizada. Essa prática também necessitará de adaptações contratuais pelas empresas envolvidas, a fim de se discriminar, pormenorizadamente, as questões que permeiam o tratamento dos dados pessoais dos empregados.
Enfim, dentre tantas adequações a serem realizadas, a revisão contratual exsurge como uma das mais significativas. Cabe às empresas, amparadas por assessoria técnica e jurídica especializada, cumprirem seu dever de casa.