O acordo de confidencialidade morreu? A LGPD e a nova arquitetura da confiança

Written by Renan Pelizzari

Quantos Acordos de Confidencialidade (NDAs) sua empresa já assinou este ano? Dezenas? Centenas? E quantos deles foram além da mera formalidade, daquele gesto quase automático de troca de assinaturas antes de uma conversa estratégica?

Por muito tempo, o NDA foi o porto seguro das negociações, o guardião dos segredos do negócio. Mas em um mundo regido pela Lei Geral de Proteção de Dados (LGPD), essa fortaleza de papel ainda se sustenta? A resposta, embora contraintuitiva, é que o NDA nunca esteve tão vivo, desde que compreendido sob uma nova e mais complexa arquitetura da confiança.

A ilusão de segurança que um NDA tradicionalmente oferece é sedutora. A assinatura em um documento com cláusulas robustas de sigilo parece criar um campo de força impenetrável ao redor de informações valiosas. Contudo, a realidade jurídica e tecnológica contemporânea revela a fragilidade dessa percepção. 

Um contrato, por mais bem redigido que seja, não possui a capacidade intrínseca de impedir um vazamento de dados. Ele é um instrumento de responsabilização, não de prevenção. A verdadeira proteção não está na tinta sobre o papel, mas na maturidade dos processos e na robustez da infraestrutura de quem recebe a informação. 

No final das contas, é tudo sobre evidência. O que é possível efetivamente comprovar. Não basta assinar um contrato que impõe a obrigação de confidencialidade, sem que seja possível comprovar seu efetivo cumprimento.

Sem um sistema de controle de fluxo de dados, sem políticas claras de acesso e sem uma cultura de segurança, o NDA se torna pouco mais que uma promessa vazia, um tigre de papel esperando para ser incinerado pelo primeiro incidente de segurança.

A grande transformação impulsionada pela LGPD, e que redefine o papel do NDA, está consolidada em seu artigo 46. Este dispositivo legal eleva a proteção de dados a um novo patamar, exigindo que os agentes de tratamento adotem “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais”. 

A lei não sugere, ela impõe. E vai além, ao detalhar que essa proteção deve abranger desde “acessos não autorizados” até “situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. O que o legislador fez foi codificar a necessidade de uma abordagem holística, onde a segurança da informação se apoia em três pilares fundamentais: confidencialidade, integridade e disponibilidade.

Nesse novo cenário, a análise de um NDA transcende a mera avaliação de suas cláusulas. A pergunta central deixa de ser “o que o contrato diz?” para se tornar “o que a outra parte faz?”. As medidas técnicas, como criptografia, controle de acesso e monitoramento de rede, e as medidas administrativas, como políticas de governança, treinamento de equipes e planos de resposta a incidentes, tornam-se o verdadeiro lastro do compromisso de confidencialidade. 

O princípio do privacy by design, também consagrado pela LGPD, determina que essas preocupações com a privacidade e a segurança devem estar presentes desde a concepção de qualquer novo produto ou serviço. Portanto, ao compartilhar informações sensíveis, a devida diligência exige uma investigação sobre a maturidade da governança de dados da parte receptora. A confiança não pode mais ser cega, ela precisa ser verificada. Nesse sentido, é imperativo que seja possível comprovar seu cumprimento.

A consequência direta dessa nova realidade é a reconfiguração da responsabilidade civil. A jurisprudência do Superior Tribunal de Justiça (STJ) tem caminhado no sentido de reconhecer o dano moral presumido em casos de vazamento de dados pessoais, entendendo que a simples quebra da expectativa de confidencialidade já configura um dano indenizável. 

Nessas hipóteses, a responsabilidade dos agentes de tratamento, na maioria dos casos, é objetiva, o que significa que a obrigação de indenizar independe da comprovação de dolo ou culpa. A falha em adotar as medidas de segurança previstas no artigo 46 da LGPD é, por si só, um ato ilícito que pode gerar consequências financeiras e reputacionais devastadoras. O dano, muitas vezes, é irreparável, minando a confiança de clientes, parceiros e do mercado como um todo.

Diante disso, o Acordo de Confidencialidade evidentemente não morreu. Ele evoluiu. Deixou de ser um documento autônomo para se tornar uma peça fundamental em uma engrenagem muito maior: a nova arquitetura da confiança. 

Um NDA moderno e eficaz deve, necessariamente, dialogar com a LGPD. Ele deve definir claramente os papéis de controlador e operador, especificar as medidas de segurança técnicas e administrativas que serão adotadas, estabelecer procedimentos claros para a gestão de incidentes e garantir o cumprimento dos direitos dos titulares dos dados. Ele se torna o elo contratual que formaliza e audita a conformidade com a lei.

Em última análise, a proteção de informações estratégicas e dados pessoais na era digital exige mais do que um bom advogado; exige uma mentalidade de segurança integrada à cultura corporativa. O NDA continua sendo uma ferramenta jurídica indispensável, mas sua eficácia agora depende diretamente da seriedade com que as empresas encaram suas obrigações de proteção de dados. 

A confiança, hoje, não se presume, se constrói com governança, tecnologia e, acima de tudo, com um compromisso real e verificável com a segurança da informação. Pense nisso.

Renan Pelizzari

With a broad background and a focus on Governance, LGPD and Corporate Recovery, Renan represents the new generation of digital and strategic law. He combines technical knowledge with expertise in legal security for high-risk environments.

Next

O valor real prevalece: decisão do STJ sobre ITBI abre caminho para restituição e economia futura