Confidencialidade e proteção de dados em contratos

O que é cláusula de confidencialidade (NDA) e o que ela protege

A cláusula de confidencialidade — ou NDA, do inglês Non-Disclosure Agreement — proíbe o fornecedor de revelar informações da empresa a terceiros durante e após o contrato. Ela é o instrumento que protege o que a empresa compartilha para viabilizar a prestação do serviço: dados financeiros, processos operacionais, lista de clientes, estratégia comercial, informações de funcionários.

O que deve constar numa cláusula de confidencialidade eficaz:

1. Definição do que é confidencial: o contrato deve declarar quais categorias de informação são cobertas. "Todas as informações da empresa" é vago; "dados financeiros, lista de clientes, processos operacionais e informações de funcionários" é executável.
2. Obrigações do fornecedor: não revelar a terceiros, usar somente para fins do contrato, adotar medidas de segurança compatíveis com a sensibilidade das informações.
3. Prazo de vigência do sigilo: quanto tempo após o encerramento do contrato a obrigação de sigilo continua valendo. Sem prazo declarado, o fornecedor pode entender que a obrigação termina com o contrato.
4. Consequência por violação: penalidade definida (valor ou percentual) e direito de indenização por danos — sem isso, a cláusula tem valor moral mas não executável.

A redação da cláusula é responsabilidade do jurídico. O que o gestor faz é identificar quais informações o fornecedor acessará e comunicar isso ao jurídico antes da negociação.

O que é cláusula de tratamento de dados e quando é obrigatória

A cláusula de tratamento de dados — chamada no mercado de DPA, Data Processing Agreement — regula como o fornecedor acessa, usa, armazena e descarta dados pessoais de clientes ou funcionários da empresa. Ela é necessária sempre que o fornecedor opera como processador de dados pessoais no contexto da prestação do serviço.

A legislação brasileira de proteção de dados pessoais estabelece que o contrato entre o controlador (a empresa contratante) e o operador (o fornecedor que processa dados) deve conter obrigações específicas sobre segurança, finalidade do tratamento e o que acontece em caso de incidente. A redação precisa dessa cláusula é responsabilidade do jurídico — o gestor precisa saber quando acioná-lo.

O que a cláusula de tratamento de dados deve cobrir:

1. Finalidade do tratamento: para que os dados serão usados pelo fornecedor — somente para fins do contrato, não para uso próprio do fornecedor.
2. Categorias de dados tratados: quais dados o fornecedor acessará — nome, CPF, e-mail, dados bancários, informações de saúde etc.
3. Medidas de segurança: controles técnicos e organizacionais que o fornecedor adota para proteger os dados.
4. Protocolo em caso de incidente: prazo para o fornecedor comunicar a empresa se houver vazamento ou acesso indevido.
5. Destino dos dados ao encerrar o contrato: devolução, exclusão ou anonimização — e prazo para isso.

Como identificar se o fornecedor é um operador de dados

O gestor identifica se o fornecedor processa dados pessoais respondendo a uma pergunta simples: durante a prestação do serviço, o fornecedor acessa, usa ou armazena nome, CPF, e-mail, dados bancários, informações de saúde ou qualquer outra informação que identifica ou pode identificar uma pessoa específica — seja cliente, funcionário ou terceiro da empresa?

Se a resposta for sim, o fornecedor opera como processador (operador) de dados pessoais no âmbito da legislação vigente, e o contrato precisa de cláusula específica de tratamento de dados. A redação é do jurídico; a identificação é do gestor.

Exemplos frequentes de fornecedores que processam dados pessoais na rotina de uma empresa:

• Escritório de contabilidade: acessa dados de funcionários (folha, FGTS, INSS) e dados financeiros de clientes.
• Fornecedor de sistema de RH ou de gestão de benefícios: armazena e processa dados pessoais de todos os funcionários.
• Agência de marketing: acessa lista de e-mails, dados de clientes, campanhas com dados de comportamento de compra.
• Empresa de TI com acesso remoto a sistemas: pode acessar bases de dados com informações de clientes e funcionários.
• Serviço de medicina do trabalho: processa dados de saúde dos funcionários — categoria sensível com proteção adicional.

NDA e DPA: instrumentos diferentes que frequentemente coexistem

O NDA protege informações comerciais e operacionais da empresa — dados financeiros, processos, estratégia, lista de clientes. O DPA regula o tratamento de dados pessoais nos termos da legislação de proteção de dados. Um não substitui o outro.

Um fornecedor de contabilidade precisa de NDA (para sigilo sobre dados financeiros da empresa) e de DPA (porque processa dados pessoais dos funcionários na folha de pagamento). Um fornecedor de limpeza que não tem acesso a sistemas ou a informações sensíveis pode precisar apenas de NDA básica — ou nem disso, dependendo do contrato.

A forma mais prática de tratar os dois é incluí-los como cláusulas do mesmo contrato — ou como anexo único se a empresa usar modelo padrão revisado pelo jurídico. O gestor identifica quais categorias se aplicam; o jurídico decide se ficam no corpo do contrato ou em anexo separado.

O que verificar antes de dar acesso a um fornecedor

Antes de habilitar o acesso de um novo fornecedor a sistemas, documentos ou dados da empresa, o gestor deve responder a quatro perguntas:

1. Quais dados ele acessará? Listar as categorias concretas — não "dados da empresa" em geral.
2. Por quanto tempo esse acesso é necessário? Acesso permanente quando o serviço é pontual é uma exposição desnecessária.
3. Há necessidade real de acesso àqueles dados? O fornecedor de limpeza não precisa de acesso ao sistema de faturamento. O fornecedor de TI precisa de acesso ao servidor — mas a qual base de dados, exatamente?
4. Quem na empresa autoriza o acesso? Definir o responsável pela autorização evita que o acesso seja concedido por qualquer funcionário sem critério.

Quando revisar contratos existentes para incluir as cláusulas

Nem todos os contratos em vigor precisam ser revisados ao mesmo tempo. A prioridade é clara: contratos com fornecedores que acessam dados pessoais de funcionários ou clientes e que não têm cláusula de tratamento de dados são a primeira fila de revisão.

Os três momentos naturais para incluir as cláusulas sem precisar de revisão extraordinária são: ao renovar o contrato, ao aditar por qualquer outro motivo (mudança de valor, escopo, prazo) e ao detectar que o fornecedor passou a acessar dados que não estavam previstos no contrato original.

Para contratos que não têm renovação próxima e onde a exposição é relevante, vale o esforço de um aditivo específico para incluir as cláusulas. A avaliação de quando isso é necessário é do jurídico — o gestor leva a lista dos contratos sem cobertura e o jurídico prioriza.