LGPD na contratação de Prestadores de Serviço: quais cuidados devo ter?

A LGPD (Lei Geral de Proteção de Dados) está em vigor desde 2020, visa proteger os direitos de privacidade e liberdade de informação dos titulares de dados pessoais.

Ela também estabelece regras claras para o tratamento desses dados pela iniciativa privada e pelo poder público. E isso inclui empregados e prestadores de serviços – afinal, a LGPD impactou todas as relações de trabalho.

A questão é que prestadores de serviço têm acesso a diversos dados pessoais, mesmo sem ter vínculo empregatício. E isso abre margem para uma série de riscos pouco abordados.

Pensando nisso, este artigo trata especificamente da LGPD aplicada aos prestadores de serviço.

Caso queira saber mais sobre a adequação completa à LGPD, confira nosso e-book gratuito sobre o tema.

LGPD E TERCEIRIZAÇÃO

A LGPD é de aplicação obrigatória para todas as empresas, independentemente de seu tamanho ou ramo de atuação.

Como adiantamos, além dos dados pessoais dos empregados, a LGPD também impacta as relações de trabalho em relação aos fornecedores e prestadores de serviço. 

Logo, como a terceirização é uma prática muito comum entre empresas, quase todas elas precisam se atentar a esse ponto de alguma forma.

O ponto chave aqui é que contratos de terceirização costumam envolver a transferência de dados pessoais para a pessoa responsável pela prestação de um serviço ou processamento de dados em nome da empresa.

Porém, como as empresas são responsáveis por garantir que seus terceirizados também atuem em conformidade com a LGPD, é importante incluir cláusulas específicas que abordem a proteção de dados.

Esse cuidado garante que:

• os contratos de prestação de serviços fiquem conformidade com as exigências da LGPD;
• e as empresas prestadoras de serviços estejam cientes e sejam responsabilizadas pelas obrigações dessa Lei, evitando possíveis sanções e riscos de danos aos titulares de dados.

CLÁUSULAS DE LGPD EM CONTRATOS DE TERCEIRIZAÇÃO

Seguindo esse raciocínio, é importante especificar os seguintes pontos nos contratos.

• Objetivo do tratamento de dados pessoais: o contrato deve especificar o objetivo para o qual os dados pessoais serão utilizados pela terceirizada.

• Segurança dos dados: a terceirizada deve se comprometer a implementar medidas de segurança adequadas para proteger os dados pessoais contra vazamentos, perda ou roubo.

• Acesso aos dados: a terceirizada só deve ter acesso aos dados pessoais necessários para o cumprimento do objetivo especificado no contrato.

• Compartilhamento de dados: o contrato deve especificar as condições em que a terceirizada pode compartilhar os dados pessoais com terceiros, se for o caso.

• Prazo de retenção de dados: o contrato deve especificar por quanto tempo a terceirizada pode armazenar os dados pessoais. Após esse período, ela deve destruir os dados de forma segura.

• Responsabilidade em caso de violação de dados: o contrato deve estabelecer as responsabilidades da terceirizada em caso.

Em tais relações, caberá à prestadora de serviços observar o tratamento e processamento de dados estritamente necessários para a execução do contrato, evitando compartilhar dados desnecessários ou sem o consentimento do empregado.

Por outro lado, caberá à empresa contratante verificar a idoneidade trabalhista e saúde financeira da empresa prestadora de serviços, bem como sua adequação à Lei Geral de Proteção de Dados em relação a seus empregados.

Esse é o modo mais seguro de definir as responsabilidades de cada uma das empresas envolvidas, bem como de garantir o controle completo dos dados e minimizar, na medida do possível, a responsabilidade de cada parte.

CONCLUSÃO

Como vimos, a LGPD entende que a responsabilidade sobre os dados pessoais coletados se estende aos seus parceiros, fornecedores e prestadores de serviço.

Por isso, o processo de terceirização precisa incluir cuidados para que, caso a prestadora de serviço cometa erros no tratamento de dados, sua empresa não sofra penalidades desnecessariamente.

Assim, independentemente da forma de terceirização, as partes devem estabelecer de maneira clara e objetiva a forma de tratamento de dados, manipulação e autorização. Evitando conflitos com os titulares dos dados e impedir o compartilhamento não autorizado.

Caso precise de ajuda com o tema, nosso time de advogados especializados em Direito Trabalhista e nosso Núcleo de Compliance e Proteção de Dados está pronto para contribuir. Chame nosso time por e-mail ou WhatsApp e conte com a C2R Advocacia.