A cláusula de proteção de dados está no contrato. Tem duas páginas, foi copiada de um modelo que veio de outro modelo, e ninguém na empresa sabe dizer quais dados pessoais aquele prestador realmente acessa, com que finalidade, por quanto tempo, nem se ele subcontratou alguém para o serviço. Se um titular pedir explicação amanhã, ou se acontecer um incidente, a empresa tem um texto. O que ela não tem é prova de cumprimento.
Essa distância entre ter a cláusula e demonstrar que ela é cumprida é o problema real da LGPD (Lei 13.709/2018) aplicada a contratos. Este texto é orientação prática de gestão contratual e não substitui a análise do seu jurídico nem parecer de advogado. Cláusula de dados se redige com apoio profissional; o que dá para organizar sozinho é o processo em volta dela.
Quando o contrato de serviço envolve tratamento de dados pessoais
Muita empresa acredita que a LGPD só entra em contrato de tecnologia. Na prática, o tratamento de dados pessoais aparece em quase todo contrato de serviço, por vias que ninguém mapeou:
- Contabilidade, folha e benefícios: o prestador trata dados de funcionários, inclusive dados sensíveis em alguns casos.
- Marketing e vendas terceirizados: o prestador acessa a base de clientes ou de leads.
- Suporte, atendimento e call center: o prestador conversa com titulares e registra o que eles dizem.
- Manutenção de sistemas e TI: o prestador tem acesso técnico a bases com dados pessoais, mesmo que "não olhe" para eles. Acesso possível já é tratamento.
- Limpeza, portaria e facilities: controle de acesso, registro de visitantes, imagem de câmera.
- Recrutamento: dados de candidatos, que também são titulares.
E existe um caso que passa despercebido: o próprio contrato contém dados pessoais. Nome, CPF, e-mail e endereço de representantes e signatários. Um repositório de contratos é, ele mesmo, uma base de dados pessoais, e controlar o acesso a ele é parte do dever de segurança.
A pergunta útil não é "esse contrato é de tecnologia?". É: para executar este serviço, a outra parte vê, recebe, armazena, acessa ou pode acessar dado de alguma pessoa física? Se a resposta é sim, há tratamento, e o contrato precisa endereçá-lo.
O que a cláusula de proteção de dados precisa endereçar
Cláusula genérica de "as partes se comprometem a cumprir a LGPD" não endereça nada: declara uma obrigação que já existe em lei e não diz como ela se cumpre. Uma cláusula útil trata de seis temas, e cada um tem uma prova correspondente que a empresa precisa apresentar.
| Tema | O que a cláusula precisa dizer | O que prova o cumprimento |
|---|---|---|
| Finalidade | Para que os dados podem ser usados, e a proibição de uso para outra coisa | Descrição do serviço e do fluxo de dados anexa ao contrato |
| Base legal | Qual fundamento autoriza o tratamento naquela relação | Registro do fundamento adotado e de quem o definiu |
| Papéis | Quem é controlador e quem é operador naquele tratamento | Definição explícita no contrato, coerente com o que acontece na prática |
| Subcontratação | Se o operador pode subcontratar, com que autorização e com quais obrigações repassadas | Autorização registrada e lista de subcontratados conhecida |
| Incidentes | Prazo e canal para comunicar incidente à outra parte, e dever de cooperar | Registro de comunicação e do que foi feito, com data e hora |
| Término e eliminação | O que acontece com os dados quando o contrato acaba: devolução, eliminação, prazo e comprovação | Comprovante de eliminação ou devolução, arquivado com o distrato |
Finalidade e base legal
A finalidade delimita o uso: o prestador trata aqueles dados para executar aquele serviço, e não para mais nada. É o que impede que a base de clientes entregue para uma ação de marketing seja usada em outra ação, para outro cliente do prestador.
A base legal é o fundamento que autoriza o tratamento. A LGPD prevê várias, e a escolha depende do caso concreto: é decisão que se toma com o jurídico, não copiando de modelo. À gestão de contratos cabe algo mais simples: garantir que a base adotada esteja registrada e seja coerente com o que o serviço faz de fato.
Papéis: controlador e operador
A LGPD distingue quem decide sobre o tratamento (controlador) de quem trata em nome de outro, seguindo instruções (operador). Contratar um serviço não transfere responsabilidade automaticamente: dizer que o prestador é operador não o torna operador se ele decide sozinho finalidades e meios, e a empresa contratante não deixa de responder por escolher mal quem trata os dados dela.
O erro mais comum é o papel de faz de conta: o contrato chama o prestador de operador, mas na prática ele decide sozinho o que fazer com os dados e por quanto tempo guardá-los. Quando o incidente acontece, a etiqueta escrita no contrato não protege ninguém.
Subcontratação
É o ponto cego mais frequente. O prestador contrata outro prestador, que usa uma ferramenta de terceiro, que armazena os dados em outro lugar. Sem cláusula de subcontratação, você não sabe onde os dados estão nem a quem cobrar quando algo der errado.
A cláusula precisa dizer se a subcontratação é permitida, se depende de autorização prévia, e que as mesmas obrigações se estendem ao subcontratado. À gestão cabe manter essa lista atualizada: ela muda durante a execução, e o contrato assinado no ano passado não sabe disso.
Incidentes
Incidente de segurança acontece. O que se controla é a resposta. A cláusula precisa fixar prazo curto e canal claro para o prestador comunicar o incidente, além do dever de cooperar com a apuração e com as comunicações devidas ao titular e à autoridade.
O detalhe que costuma faltar: para quem, exatamente, o prestador comunica? Se a resposta for "o e-mail de quem negociou o contrato", o prazo já nasce comprometido, porque essa pessoa mudou de área.
Término e eliminação
O contrato acaba e os dados continuam lá. É a regra, na ausência de disciplina contrária. A cláusula precisa definir o que acontece no fim: devolução, eliminação, prazo e forma de comprovação, respeitando as hipóteses em que a lei exija guarda.
Sem isso, você tem ex-prestadores com bases atuais da sua empresa e nenhum documento que diga o contrário. Vale amarrar a comprovação ao encerramento formal, junto com o distrato.
A diferença entre ter a cláusula e provar o cumprimento
Aqui está o núcleo do assunto. A cláusula é a promessa. A prova é o que sobra quando alguém pergunta.
Se um titular exerce um direito, se um cliente grande faz due diligence de fornecedores, ou se acontece um incidente, as perguntas são operacionais, não textuais:
- Quais contratos vigentes envolvem tratamento de dados pessoais? Se a resposta exige abrir contrato por contrato, você não sabe.
- Quais deles permitem subcontratação, e quem são os subcontratados hoje?
- Qual versão da cláusula de dados está vigente em cada contrato? Contrato antigo costuma ter cláusula fraca ou nenhuma, e um aditivo pode ter mudado a redação sem registro.
- Quando aquele prestador encerrou, ele comprovou a eliminação dos dados?
- A comunicação de incidente chegou em quanto tempo, e para quem?
Nenhuma delas se responde lendo o contrato. Todas se respondem com registro: qual cláusula, em qual versão, aprovada por quem, vigente desde quando, com quais evidências arquivadas. É o mesmo registro que sustenta uma auditoria de contratos, e por um bom motivo: prova de conformidade é auditoria com outro nome.
Três hábitos práticos que reduzem muito o esforço, sem virar projeto:
- Marque, no cadastro do contrato, se há tratamento de dados pessoais. Um campo. Ele transforma uma pergunta de leitura em uma pergunta de filtro.
- Padronize a cláusula no modelo, com apoio jurídico, e compare o acervo contra o padrão. Ler contrato por contrato é inviável; comparar contra um modelo é trabalho que a IA para revisar contratos ajuda a fazer, com revisão humana no fim.
- Trate comprovante de eliminação como documento com prazo, do mesmo jeito que você trata certidão. Ele é cobrado no encerramento, e tem data.
Vale reforçar: adequação à LGPD não vem de comprar software. É decisão jurídica e processo. Ferramenta nenhuma torna uma empresa conforme automaticamente, e quem promete isso vende o que não pode entregar.
Onde o Contrasync entra
O Contrasync não deixa a sua empresa em conformidade com a LGPD, e nenhum software faz isso. O que ele faz é tirar do improviso a parte que é gestão: a cláusula de proteção de dados entra no modelo padrão, com cláusulas reutilizáveis e variáveis, e as cláusulas do contrato passam a nascer iguais em vez de depender de quem copiou o quê. A Zelor, a IA embutida, lê os contratos que você já tem, aponta risco por cláusula e compara com o modelo padrão, expondo quais contratos vigentes ficaram sem cláusula de dados. Ela não emite parecer jurídico, e toda ação de escrita depende de confirmação sua.
Do lado da prova, o que sustenta a demonstração de cumprimento é o registro: versão vigente identificada, histórico versionado das alterações, trilha de auditoria da assinatura com carimbo de tempo, permissões por perfil sobre quem vê cada contrato, e compliance de documentos com validade e histórico do que estava válido em cada período, que serve tanto para certidão quanto para o comprovante exigido no encerramento. É a diferença entre dizer que a cláusula existe e mostrar como ela foi cumprida.
Perguntas frequentes
Todo contrato de prestação de serviços precisa de cláusula de LGPD?
Precisa sempre que houver tratamento de dados pessoais na execução, o que é mais comum do que parece: contabilidade, TI, atendimento, marketing, recrutamento e facilities costumam envolver acesso a dados de pessoas físicas. O teste prático é perguntar se, para executar o serviço, a outra parte vê, recebe, armazena ou pode acessar dado de alguma pessoa. Se pode, o contrato precisa endereçar isso, e a redação deve ser feita com apoio jurídico.
Qual a diferença entre controlador e operador num contrato de serviço?
Controlador é quem decide sobre o tratamento, suas finalidades e meios. Operador é quem trata os dados em nome do controlador, seguindo as instruções dele. O contrato precisa definir os papéis de forma coerente com a prática: chamar o prestador de operador não o torna operador se ele decide sozinho o que fazer com os dados. E contratar alguém não transfere a responsabilidade do contratante por escolher e fiscalizar quem trata os dados dele.
Como provar que a cláusula de proteção de dados está sendo cumprida?
Com registro, não com o texto do contrato. Na prática: saber quais contratos vigentes envolvem tratamento de dados pessoais, qual versão da cláusula está vigente em cada um, quais subcontratados foram autorizados, quando incidentes foram comunicados e para quem, e se a eliminação dos dados foi comprovada no encerramento. Ter a cláusula é a promessa; ter esses registros é o que responde a um auditor, a um cliente em due diligence ou a um titular.