Guia Prático: LGPD nos Contratos Civis

A Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei nº 13.709/2018 - revolucionou a forma como dados pessoais são tratados no Brasil, impactando transversalmente diversos ramos do direito, incluindo o Direito Civil, notadamente na seara contratual. A adequação dos contratos cíveis à LGPD não é apenas uma obrigação legal, mas um imperativo para a mitigação de riscos e a construção de relações jurídicas seguras e transparentes. Este guia prático visa fornecer aos advogados um panorama abrangente sobre a integração da LGPD nos contratos civis, com base na legislação atualizada até 2026 e na jurisprudência pátria.

A LGPD e os Princípios Contratuais

A LGPD não se sobrepõe aos princípios norteadores do Direito Civil, mas sim os complementa e ressignifica. A autonomia da vontade, a boa-fé objetiva e a função social do contrato devem ser interpretadas à luz da proteção de dados pessoais.

A boa-fé objetiva (art. 422 do Código Civil), por exemplo, impõe deveres anexos de conduta, como a transparência e a informação, que se coadunam perfeitamente com os princípios da LGPD, especialmente o princípio da transparência (art. 6º, VI, da LGPD). A omissão na prestação de informações claras sobre o tratamento de dados pessoais pode configurar violação à boa-fé objetiva e ensejar a responsabilização civil.

A Autonomia da Vontade e o Consentimento

A LGPD estabelece o consentimento como uma das bases legais para o tratamento de dados pessoais (art. 7º, I). No entanto, a autonomia da vontade não é absoluta e o consentimento deve ser livre, informado e inequívoco (art. 5º, XII).

Em contratos de adesão, a obtenção do consentimento requer atenção redobrada, pois a vulnerabilidade do aderente pode comprometer a liberdade da manifestação de vontade. A jurisprudência, notadamente do Superior Tribunal de Justiça (STJ), tem se mostrado rigorosa na análise da validade do consentimento em contratos de adesão, exigindo clareza e destaque nas cláusulas que tratam da coleta e uso de dados pessoais.

Cláusulas Essenciais para a Adequação à LGPD

A inserção de cláusulas específicas sobre proteção de dados em contratos civis é fundamental para garantir a conformidade com a LGPD e mitigar riscos.

1. Definições

É recomendável incluir um glossário com as definições da LGPD, como "dados pessoais", "dados pessoais sensíveis", "titular", "controlador", "operador" e "tratamento" (art. 5º da LGPD). Isso confere clareza e precisão ao contrato, evitando ambiguidades interpretativas.

2. Objeto e Finalidade do Tratamento

O contrato deve especificar de forma clara e objetiva quais dados pessoais serão tratados, a finalidade do tratamento e a base legal aplicável (art. 7º e 11 da LGPD). A finalidade deve ser legítima, específica e informada ao titular (art. 6º, I, da LGPD). O tratamento de dados para finalidades incompatíveis com as originalmente informadas é vedado.

3. Obrigações das Partes

As obrigações de cada parte em relação à proteção de dados devem ser detalhadas, considerando a sua condição de controlador ou operador (arts. 37 a 41 da LGPD). O controlador é responsável pelas decisões referentes ao tratamento, enquanto o operador realiza o tratamento em nome do controlador.

Em contratos de prestação de serviços, por exemplo, o contratante geralmente atua como controlador e o contratado como operador. O contrato deve estabelecer as obrigações do operador, como o dever de seguir as instruções do controlador, adotar medidas de segurança e notificar incidentes de segurança.

4. Medidas de Segurança

O contrato deve prever as medidas de segurança, técnicas e administrativas, que as partes adotarão para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46 da LGPD). A adoção de boas práticas e normas de segurança da informação é recomendável.

5. Transferência Internacional de Dados

Se o tratamento envolver a transferência internacional de dados, o contrato deve observar os requisitos previstos na LGPD (arts. 33 a 36). A transferência só é permitida para países que proporcionem grau de proteção de dados adequado ou mediante a adoção de salvaguardas, como cláusulas contratuais padrão, normas corporativas globais ou selos, certificados e códigos de conduta.

6. Incidentes de Segurança

O contrato deve estabelecer um procedimento para a comunicação e o tratamento de incidentes de segurança (art. 48 da LGPD). O controlador deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. O contrato deve prever o prazo e a forma de comunicação entre as partes em caso de incidente.

7. Direitos dos Titulares

O contrato deve garantir o exercício dos direitos dos titulares previstos na LGPD (arts. 17 a 22), como o direito de acesso, retificação, exclusão, portabilidade e revogação do consentimento. As partes devem estabelecer mecanismos para o atendimento às solicitações dos titulares de forma tempestiva e eficaz.

8. Responsabilidade Civil

A responsabilidade civil por danos causados em decorrência do tratamento de dados pessoais é solidária entre o controlador e o operador, ressalvadas as hipóteses de excludentes de responsabilidade (arts. 42 a 45 da LGPD). O contrato deve prever cláusulas de indenização e regresso para alocar os riscos e as responsabilidades entre as partes de forma equitativa.

Jurisprudência e a LGPD nos Contratos Civis

A jurisprudência brasileira tem se consolidado no sentido de aplicar rigorosamente a LGPD aos contratos civis. O STJ, por exemplo, reconheceu o direito à indenização por danos morais em caso de vazamento de dados pessoais, independentemente da comprovação de dano efetivo, configurando dano in re ipsa.

Os Tribunais de Justiça (TJs) também têm proferido decisões relevantes sobre a matéria. O TJSP, por exemplo, anulou cláusulas de contrato de adesão que previam o compartilhamento de dados pessoais com terceiros sem o consentimento expresso e destacado do titular (Apelação Cível nº 1005892-45.2020.8.26.0100).

A análise da jurisprudência demonstra a importância da adequação dos contratos civis à LGPD para evitar a responsabilização civil e a nulidade de cláusulas contratuais.

Dicas Práticas para Advogados

• Mapeamento de Dados: Antes de redigir ou revisar um contrato, realize um mapeamento dos dados pessoais que serão tratados, identificando a finalidade, a base legal, o fluxo dos dados e as partes envolvidas.
• Cláusulas Específicas: Utilize cláusulas específicas e detalhadas sobre proteção de dados, evitando termos genéricos e ambíguos.
• Revisão Periódica: A LGPD e a jurisprudência estão em constante evolução. Revise periodicamente os contratos para garantir a conformidade com as novas normas e entendimentos jurisprudenciais.
• Treinamento e Conscientização: Promova o treinamento e a conscientização das partes envolvidas sobre a importância da proteção de dados e as obrigações previstas na LGPD.
• Assessoria Especializada: Em casos complexos, busque a assessoria de especialistas em proteção de dados para garantir a conformidade com a LGPD e mitigar riscos.

Conclusão

A LGPD impõe novos desafios e oportunidades para o Direito Civil, exigindo dos advogados uma atuação proativa e atualizada. A adequação dos contratos civis à LGPD é um passo fundamental para garantir a segurança jurídica, a transparência e o respeito aos direitos dos titulares de dados pessoais. A observância dos princípios contratuais, a inserção de cláusulas específicas e a atenção à jurisprudência são elementos essenciais para a construção de relações jurídicas sólidas e em conformidade com a lei.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.