[{"data":1,"prerenderedAt":4},["ShallowReactive",2],{"blog-lgpd-em-contratos":3},"\u003Cp>A cláusula de proteção de dados está no contrato. Tem duas páginas, foi copiada de um modelo que veio de outro modelo, e ninguém na empresa sabe dizer quais dados pessoais aquele prestador realmente acessa, com que finalidade, por quanto tempo, nem se ele subcontratou alguém para o serviço. Se um titular pedir explicação amanhã, ou se acontecer um incidente, a empresa tem um texto. O que ela não tem é prova de cumprimento.\u003C\u002Fp>\n\u003Cp>Essa distância entre ter a cláusula e demonstrar que ela é cumprida é o problema real da LGPD (Lei 13.709\u002F2018) aplicada a contratos. Este texto é orientação prática de gestão contratual e não substitui a análise do seu jurídico nem parecer de advogado. Cláusula de dados se redige com apoio profissional; o que dá para organizar sozinho é o processo em volta dela.\u003C\u002Fp>\n\u003Ch2>Quando o contrato de serviço envolve tratamento de dados pessoais\u003C\u002Fh2>\n\u003Cp>Muita empresa acredita que a LGPD só entra em contrato de tecnologia. Na prática, o tratamento de dados pessoais aparece em quase todo contrato de serviço, por vias que ninguém mapeou:\u003C\u002Fp>\n\u003Cul>\n\u003Cli>\u003Cstrong>Contabilidade, folha e benefícios:\u003C\u002Fstrong> o prestador trata dados de funcionários, inclusive dados sensíveis em alguns casos.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Marketing e vendas terceirizados:\u003C\u002Fstrong> o prestador acessa a base de clientes ou de leads.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Suporte, atendimento e call center:\u003C\u002Fstrong> o prestador conversa com titulares e registra o que eles dizem.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Manutenção de sistemas e TI:\u003C\u002Fstrong> o prestador tem acesso técnico a bases com dados pessoais, mesmo que &quot;não olhe&quot; para eles. Acesso possível já é tratamento.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Limpeza, portaria e facilities:\u003C\u002Fstrong> controle de acesso, registro de visitantes, imagem de câmera.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Recrutamento:\u003C\u002Fstrong> dados de candidatos, que também são titulares.\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>E existe um caso que passa despercebido: o próprio contrato contém dados pessoais. Nome, CPF, e-mail e endereço de representantes e signatários. Um repositório de contratos é, ele mesmo, uma base de dados pessoais, e controlar o acesso a ele é parte do dever de segurança.\u003C\u002Fp>\n\u003Cp>A pergunta útil não é &quot;esse contrato é de tecnologia?&quot;. É: \u003Cstrong>para executar este serviço, a outra parte vê, recebe, armazena, acessa ou pode acessar dado de alguma pessoa física?\u003C\u002Fstrong> Se a resposta é sim, há tratamento, e o contrato precisa endereçá-lo.\u003C\u002Fp>\n\u003Ch2>O que a cláusula de proteção de dados precisa endereçar\u003C\u002Fh2>\n\u003Cp>Cláusula genérica de &quot;as partes se comprometem a cumprir a LGPD&quot; não endereça nada: declara uma obrigação que já existe em lei e não diz como ela se cumpre. Uma cláusula útil trata de seis temas, e cada um tem uma prova correspondente que a empresa precisa apresentar.\u003C\u002Fp>\n\u003Cdiv class=\"table-scroll\">\u003Ctable>\n\u003Cthead>\n\u003Ctr>\n\u003Cth>Tema\u003C\u002Fth>\n\u003Cth>O que a cláusula precisa dizer\u003C\u002Fth>\n\u003Cth>O que prova o cumprimento\u003C\u002Fth>\n\u003C\u002Ftr>\n\u003C\u002Fthead>\n\u003Ctbody>\n\u003Ctr>\n\u003Ctd>Finalidade\u003C\u002Ftd>\n\u003Ctd>Para que os dados podem ser usados, e a proibição de uso para outra coisa\u003C\u002Ftd>\n\u003Ctd>Descrição do serviço e do fluxo de dados anexa ao contrato\u003C\u002Ftd>\n\u003C\u002Ftr>\n\u003Ctr>\n\u003Ctd>Base legal\u003C\u002Ftd>\n\u003Ctd>Qual fundamento autoriza o tratamento naquela relação\u003C\u002Ftd>\n\u003Ctd>Registro do fundamento adotado e de quem o definiu\u003C\u002Ftd>\n\u003C\u002Ftr>\n\u003Ctr>\n\u003Ctd>Papéis\u003C\u002Ftd>\n\u003Ctd>Quem é controlador e quem é operador naquele tratamento\u003C\u002Ftd>\n\u003Ctd>Definição explícita no contrato, coerente com o que acontece na prática\u003C\u002Ftd>\n\u003C\u002Ftr>\n\u003Ctr>\n\u003Ctd>Subcontratação\u003C\u002Ftd>\n\u003Ctd>Se o operador pode subcontratar, com que autorização e com quais obrigações repassadas\u003C\u002Ftd>\n\u003Ctd>Autorização registrada e lista de subcontratados conhecida\u003C\u002Ftd>\n\u003C\u002Ftr>\n\u003Ctr>\n\u003Ctd>Incidentes\u003C\u002Ftd>\n\u003Ctd>Prazo e canal para comunicar incidente à outra parte, e dever de cooperar\u003C\u002Ftd>\n\u003Ctd>Registro de comunicação e do que foi feito, com data e hora\u003C\u002Ftd>\n\u003C\u002Ftr>\n\u003Ctr>\n\u003Ctd>Término e eliminação\u003C\u002Ftd>\n\u003Ctd>O que acontece com os dados quando o contrato acaba: devolução, eliminação, prazo e comprovação\u003C\u002Ftd>\n\u003Ctd>Comprovante de eliminação ou devolução, arquivado com o distrato\u003C\u002Ftd>\n\u003C\u002Ftr>\n\u003C\u002Ftbody>\n\u003C\u002Ftable>\u003C\u002Fdiv>\n\u003Ch3>Finalidade e base legal\u003C\u002Fh3>\n\u003Cp>A finalidade delimita o uso: o prestador trata aqueles dados para executar aquele serviço, e não para mais nada. É o que impede que a base de clientes entregue para uma ação de marketing seja usada em outra ação, para outro cliente do prestador.\u003C\u002Fp>\n\u003Cp>A base legal é o fundamento que autoriza o tratamento. A LGPD prevê várias, e a escolha depende do caso concreto: é decisão que se toma com o jurídico, não copiando de modelo. À gestão de contratos cabe algo mais simples: garantir que a base adotada esteja registrada e seja coerente com o que o serviço faz de fato.\u003C\u002Fp>\n\u003Ch3>Papéis: controlador e operador\u003C\u002Fh3>\n\u003Cp>A LGPD distingue quem decide sobre o tratamento (controlador) de quem trata em nome de outro, seguindo instruções (operador). Contratar um serviço não transfere responsabilidade automaticamente: dizer que o prestador é operador não o torna operador se ele decide sozinho finalidades e meios, e a empresa contratante não deixa de responder por escolher mal quem trata os dados dela.\u003C\u002Fp>\n\u003Cp>O erro mais comum é o papel de faz de conta: o contrato chama o prestador de operador, mas na prática ele decide sozinho o que fazer com os dados e por quanto tempo guardá-los. Quando o incidente acontece, a etiqueta escrita no contrato não protege ninguém.\u003C\u002Fp>\n\u003Ch3>Subcontratação\u003C\u002Fh3>\n\u003Cp>É o ponto cego mais frequente. O prestador contrata outro prestador, que usa uma ferramenta de terceiro, que armazena os dados em outro lugar. Sem cláusula de subcontratação, você não sabe onde os dados estão nem a quem cobrar quando algo der errado.\u003C\u002Fp>\n\u003Cp>A cláusula precisa dizer se a subcontratação é permitida, se depende de autorização prévia, e que as mesmas obrigações se estendem ao subcontratado. À gestão cabe manter essa lista atualizada: ela muda durante a execução, e o contrato assinado no ano passado não sabe disso.\u003C\u002Fp>\n\u003Ch3>Incidentes\u003C\u002Fh3>\n\u003Cp>Incidente de segurança acontece. O que se controla é a resposta. A cláusula precisa fixar prazo curto e canal claro para o prestador comunicar o incidente, além do dever de cooperar com a apuração e com as comunicações devidas ao titular e à autoridade.\u003C\u002Fp>\n\u003Cp>O detalhe que costuma faltar: para quem, exatamente, o prestador comunica? Se a resposta for &quot;o e-mail de quem negociou o contrato&quot;, o prazo já nasce comprometido, porque essa pessoa mudou de área.\u003C\u002Fp>\n\u003Ch3>Término e eliminação\u003C\u002Fh3>\n\u003Cp>O contrato acaba e os dados continuam lá. É a regra, na ausência de disciplina contrária. A cláusula precisa definir o que acontece no fim: devolução, eliminação, prazo e forma de comprovação, respeitando as hipóteses em que a lei exija guarda.\u003C\u002Fp>\n\u003Cp>Sem isso, você tem ex-prestadores com bases atuais da sua empresa e nenhum documento que diga o contrário. Vale amarrar a comprovação ao encerramento formal, junto com o distrato.\u003C\u002Fp>\n\u003Ch2>A diferença entre ter a cláusula e provar o cumprimento\u003C\u002Fh2>\n\u003Cp>Aqui está o núcleo do assunto. A cláusula é a promessa. A prova é o que sobra quando alguém pergunta.\u003C\u002Fp>\n\u003Cp>Se um titular exerce um direito, se um cliente grande faz due diligence de fornecedores, ou se acontece um incidente, as perguntas são operacionais, não textuais:\u003C\u002Fp>\n\u003Cul>\n\u003Cli>\u003Cstrong>Quais contratos vigentes envolvem tratamento de dados pessoais?\u003C\u002Fstrong> Se a resposta exige abrir contrato por contrato, você não sabe.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Quais deles permitem subcontratação, e quem são os subcontratados hoje?\u003C\u002Fstrong>\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Qual versão da cláusula de dados está vigente em cada contrato?\u003C\u002Fstrong> Contrato antigo costuma ter cláusula fraca ou nenhuma, e um aditivo pode ter mudado a redação sem registro.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Quando aquele prestador encerrou, ele comprovou a eliminação dos dados?\u003C\u002Fstrong>\u003C\u002Fli>\n\u003Cli>\u003Cstrong>A comunicação de incidente chegou em quanto tempo, e para quem?\u003C\u002Fstrong>\u003C\u002Fli>\n\u003C\u002Ful>\n\u003Cp>Nenhuma delas se responde lendo o contrato. Todas se respondem com registro: qual cláusula, em qual versão, aprovada por quem, vigente desde quando, com quais evidências arquivadas. É o mesmo registro que sustenta uma \u003Ca href=\"\u002Fblog\u002Fauditoria-de-contratos\">auditoria de contratos\u003C\u002Fa>, e por um bom motivo: prova de conformidade é auditoria com outro nome.\u003C\u002Fp>\n\u003Cp>Três hábitos práticos que reduzem muito o esforço, sem virar projeto:\u003C\u002Fp>\n\u003Col>\n\u003Cli>\u003Cstrong>Marque, no cadastro do contrato, se há tratamento de dados pessoais.\u003C\u002Fstrong> Um campo. Ele transforma uma pergunta de leitura em uma pergunta de filtro.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Padronize a cláusula no modelo, com apoio jurídico, e compare o acervo contra o padrão.\u003C\u002Fstrong> Ler contrato por contrato é inviável; comparar contra um modelo é trabalho que a \u003Ca href=\"\u002Fblog\u002Fia-para-revisar-contratos\">IA para revisar contratos\u003C\u002Fa> ajuda a fazer, com revisão humana no fim.\u003C\u002Fli>\n\u003Cli>\u003Cstrong>Trate comprovante de eliminação como documento com prazo\u003C\u002Fstrong>, do mesmo jeito que você trata certidão. Ele é cobrado no encerramento, e tem data.\u003C\u002Fli>\n\u003C\u002Fol>\n\u003Cp>Vale reforçar: adequação à LGPD não vem de comprar software. É decisão jurídica e processo. Ferramenta nenhuma torna uma empresa conforme automaticamente, e quem promete isso vende o que não pode entregar.\u003C\u002Fp>\n\u003Ch2>Onde o Contrasync entra\u003C\u002Fh2>\n\u003Cp>O Contrasync não deixa a sua empresa em conformidade com a LGPD, e nenhum software faz isso. O que ele faz é tirar do improviso a parte que é gestão: a cláusula de proteção de dados entra no modelo padrão, com cláusulas reutilizáveis e variáveis, e as \u003Ca href=\"\u002Fblog\u002Fclausulas-do-contrato-de-prestacao-de-servicos\">cláusulas do contrato\u003C\u002Fa> passam a nascer iguais em vez de depender de quem copiou o quê. A Zelor, a IA embutida, lê os contratos que você já tem, aponta risco por cláusula e compara com o modelo padrão, expondo quais contratos vigentes ficaram sem cláusula de dados. Ela não emite parecer jurídico, e toda ação de escrita depende de confirmação sua.\u003C\u002Fp>\n\u003Cp>Do lado da prova, o que sustenta a demonstração de cumprimento é o registro: versão vigente identificada, histórico versionado das alterações, trilha de auditoria da assinatura com carimbo de tempo, permissões por perfil sobre quem vê cada contrato, e \u003Ca href=\"\u002Fcompliance-de-prestadores-de-servico\">compliance de documentos\u003C\u002Fa> com validade e histórico do que estava válido em cada período, que serve tanto para certidão quanto para o comprovante exigido no encerramento. É a diferença entre dizer que a cláusula existe e mostrar como ela foi cumprida.\u003C\u002Fp>\n\u003Ch2>Perguntas frequentes\u003C\u002Fh2>\n\u003Ch3>Todo contrato de prestação de serviços precisa de cláusula de LGPD?\u003C\u002Fh3>\n\u003Cp>Precisa sempre que houver tratamento de dados pessoais na execução, o que é mais comum do que parece: contabilidade, TI, atendimento, marketing, recrutamento e facilities costumam envolver acesso a dados de pessoas físicas. O teste prático é perguntar se, para executar o serviço, a outra parte vê, recebe, armazena ou pode acessar dado de alguma pessoa. Se pode, o contrato precisa endereçar isso, e a redação deve ser feita com apoio jurídico.\u003C\u002Fp>\n\u003Ch3>Qual a diferença entre controlador e operador num contrato de serviço?\u003C\u002Fh3>\n\u003Cp>Controlador é quem decide sobre o tratamento, suas finalidades e meios. Operador é quem trata os dados em nome do controlador, seguindo as instruções dele. O contrato precisa definir os papéis de forma coerente com a prática: chamar o prestador de operador não o torna operador se ele decide sozinho o que fazer com os dados. E contratar alguém não transfere a responsabilidade do contratante por escolher e fiscalizar quem trata os dados dele.\u003C\u002Fp>\n\u003Ch3>Como provar que a cláusula de proteção de dados está sendo cumprida?\u003C\u002Fh3>\n\u003Cp>Com registro, não com o texto do contrato. Na prática: saber quais contratos vigentes envolvem tratamento de dados pessoais, qual versão da cláusula está vigente em cada um, quais subcontratados foram autorizados, quando incidentes foram comunicados e para quem, e se a eliminação dos dados foi comprovada no encerramento. Ter a cláusula é a promessa; ter esses registros é o que responde a um auditor, a um cliente em due diligence ou a um titular.\u003C\u002Fp>\n",1784295371897]