NEAR-lab

4.4.5. Contratos com terceiros envolvendo tratamento de dados pessoais

É importante delimitar contratualmente a responsabilidade com todos os parceiros com os quais se compartilham dados pessoais. Como providência, devem ser incluídas cláusulas de proteção de dados nos contratos a serem celebrados, bem como elaborados aditivos contratuais para os contratos já existentes. Mais uma vez, a legislação brasileira não aborda as cláusulas mínimas sobre proteção de dados que devem constar na providência de revisão contratual e por essa razão, é possível amparar-se nos critérios estabelecidos pela legislação europeia.

O GDPR, em seu art. 28º, 3., estabelece cláusulas mínimas a serem instituídas nas relações entre controlador e operador, que de forma resumida podem ser descritas como

(i) cláusulas sobre as instruções documentadas na relação entre controlador e operador;

(ii) cláusula de minimização de acesso ao dados pessoais, garantindo que apenas as pessoas que necessitem dos referidos dados para o exercício de suas funções terão acesso a eles e que estão sob compromisso de confidencialidade;

(iii) cláusula sobre medidas de segurança técnicas e administrativas;

(iv) cláusulas sobre a possibilidade de subcontratação e, em havendo tal possibilidade, em quais condições ela será admitida;

(v) cláusula de cooperação e repartição de responsabilidades no que tange à garantia dos direitos dos titulares;

(vi) cláusula de cooperação para comprovação de compliance, especialmente importante nos casos de incidentes de segurança e de privacidade que demandem comunicação à Autoridade de Proteção de Dados; e

(vii) cláusula de exclusão e/ou devolução de dados pessoais ao término da relação contratual.

← Sumário | Próximo tópico →