Como Fazer uma Cláusula de Confidencialidade em Contrato de Prestação de Serviços?

Saiba mais
Saiba mais
Saiba mais

Conteúdo da página

Uma agência recebe acesso ao cadastro de clientes, uma desenvolvedora conhece o código do sistema e uma consultoria vê a margem de lucro da empresa. O contrato de prestação de serviços termina, mas a informação continua valiosa. Uma frase dizendo “manter sigilo” será suficiente?

Às vezes, não. Uma cláusula de confidencialidade precisa explicar o que está protegido, para que a informação pode ser usada, quem pode ter acesso e o que acontece depois do fim do serviço. Sem esses limites, o texto pode parecer sério e ainda assim deixar a empresa sem uma resposta prática quando ocorre um vazamento.

Este guia mostra como escrever um compromisso de sigilo dentro do contrato de serviços, quando vale usar um NDA separado e como não confundir confidencialidade com tratamento de dados pessoais. A redação deve ser ajustada ao projeto, ao tipo de informação e à relação entre as partes.

Fluxo visual para estruturar uma cláusula de confidencialidade

O que é uma cláusula de confidencialidade?

É uma disposição contratual que limita o uso e a divulgação de informações recebidas durante a relação. Ela pode estar dentro de um contrato de prestação de serviços ou em um documento autônomo, chamado de NDA. A cláusula não torna secreta uma informação que já era pública e não transforma todo documento trocado entre as partes em segredo permanente.

O Contrato de Confidencialidade (NDA) do DiretoDoc pode ser usado quando o sigilo precisa ser tratado de forma independente, antes da assinatura do contrato principal ou em uma negociação mais ampla. Quando o trabalho já está definido, a cláusula pode ficar no próprio Contrato de Prestação de Serviços.

A proteção deve estar ligada a uma finalidade. O prestador recebe a lista de clientes para executar o serviço, não para vender a terceiros. A agência conhece a estratégia de lançamento para preparar uma campanha, não para publicar o plano em um portfólio antes da autorização.

O que pode ser considerado informação confidencial?

Informação confidencial pode incluir dados comerciais, preços negociados, listas de clientes, estratégias, códigos, credenciais, documentos internos, relatórios, protótipos e métodos não divulgados. A lista deve ser concreta. “Toda e qualquer informação” é fácil de escrever, mas difícil de aplicar.

Separe categorias que realmente existem no projeto. Se o prestador terá acesso a dados financeiros, descreva-os. Se receberá código, documentação técnica e chaves de acesso, indique esses grupos. A descrição ajuda a provar que a pessoa sabia o que deveria proteger.

Também diga o que não é confidencial: informação pública, conhecimento comprovadamente anterior, material recebido de terceiro autorizado e conteúdo que precise ser divulgado por lei ou ordem judicial. As exceções evitam que a cláusula seja interpretada como tentativa de controlar conhecimento geral.

O texto oficial da Lei de Propriedade Industrial no Planalto trata, entre outros assuntos, de informações confidenciais e concorrência desleal. A cláusula contratual não substitui a proteção legal, mas ajuda a demonstrar o contexto em que o segredo foi entregue.

Uma planilha de preços pode ser confidencial em uma negociação e deixar de ser quando publicada no site da empresa. Um manual interno pode ser protegido mesmo sem registro, desde que não seja conhecimento público. O contrato deve acompanhar essa realidade e não depender de uma etiqueta colada em cada arquivo.

Se a informação for entregue verbalmente, preveja como ela será identificada depois da reunião. Pode haver confirmação por e-mail, ata ou sistema interno. Essa rotina evita que uma parte diga que algo foi secreto e a outra responda que nunca recebeu essa indicação.

Qual é a diferença entre NDA e cláusula de sigilo?

A cláusula de sigilo é uma parte de um contrato maior. Ela costuma proteger as informações trocadas para executar aquele serviço. O NDA é um acordo próprio e pode ser assinado antes de uma negociação, de uma parceria ou de uma avaliação técnica.

Não há um modelo universalmente melhor. Se uma empresa contrata uma agência para uma campanha, a cláusula dentro do contrato de serviços pode ser suficiente. Se duas empresas ainda estão avaliando uma parceria e trocando números estratégicos, um NDA separado pode fazer mais sentido.

O NDA também não deve repetir obrigações que já estão no contrato principal de forma contraditória. Confira prazos, exceções, multa, foro, devolução e titularidade. Dois documentos podem coexistir, mas precisam indicar qual regra prevalece se houver diferença.

Comparação visual entre cláusula de sigilo e NDA separado

O sigilo pode durar depois do fim do contrato?

Sim, desde que o prazo seja razoável e faça sentido para a informação. Alguns dados perdem valor rapidamente; outros continuam estratégicos por anos. Um prazo único e infinito para tudo pode ser desproporcional e difícil de justificar.

Uma fórmula prática é separar categorias: informações comuns ficam protegidas durante o contrato e por determinado período; segredos técnicos e comerciais permanecem protegidos enquanto não se tornarem públicos de forma legítima. Escreva isso com cuidado para não criar uma obrigação impossível.

O fim do contrato não encerra automaticamente o dever de devolver arquivos, apagar cópias e revogar acessos. Essas tarefas precisam ter prazo e método. Se a empresa precisa conservar documentos por obrigação legal, a cláusula pode permitir a guarda limitada e protegida.

Quem pode acessar a informação confidencial?

O prestador pode precisar compartilhar parte do material com empregados, subcontratados ou fornecedores. A autorização deve ser limitada ao necessário para executar o serviço. Não basta dizer que “terceiros poderão acessar” sem indicar responsabilidade e finalidade.

O contrato pode exigir que o prestador use pessoas vinculadas por deveres de sigilo equivalentes. Também pode determinar que o cliente seja avisado antes de uma subcontratação que envolva informações sensíveis. O acesso deve ser menor que o projeto inteiro sempre que possível.

Liste os perfis autorizados: equipe de desenvolvimento, contador, consultor técnico ou operador de suporte. Não é preciso publicar nomes de todos, mas é importante registrar a regra de necessidade de conhecimento. Quanto mais pessoas acessam, maior a importância de logs e controle.

O cliente também precisa controlar seus próprios acessos. Não adianta exigir sigilo do prestador se a empresa envia o mesmo arquivo para dezenas de pessoas sem orientação. Um procedimento mínimo, como pasta restrita, senha individual e revogação ao fim do projeto, já cria uma camada de prova e prevenção.

Como relacionar confidencialidade e LGPD?

Confidencialidade e proteção de dados pessoais são assuntos relacionados, mas não iguais. Uma informação pode ser secreta sem identificar uma pessoa. Um dado pode ser pessoal mesmo quando a empresa não o considera segredo comercial.

A LGPD no site do Planalto disciplina o tratamento de dados pessoais, inclusive em meios digitais. Se o prestador acessa nomes, e-mails, documentos ou histórico de clientes, o contrato deve explicar finalidade, instruções, segurança, incidentes e devolução ou eliminação.

O Contrato de Tratamento de Dados Pessoais do DiretoDoc pode ser mais adequado quando o serviço envolve tratamento relevante de dados. A cláusula de sigilo pode continuar no contrato principal, mas não substitui uma definição de papéis e responsabilidades exigida pelo projeto.

Não escreva apenas “o prestador obedecerá à LGPD”. Explique quais dados serão acessados, para qual finalidade e por quanto tempo. Uma regra operacional ajuda mais do que uma referência genérica à lei.

Também separe incidente de segurança de simples descumprimento contratual. Um envio para a pessoa errada pode exigir contenção imediata; uma cópia mantida além do prazo exige eliminação e registro. O contrato pode prever prazos de comunicação diferentes conforme a gravidade, sem impedir as obrigações legais aplicáveis.

Como proteger código, software e materiais técnicos?

Código-fonte, documentação, arquitetura e credenciais precisam de regras próprias. O prestador deve usar o material somente para o serviço, limitar cópias, armazenar em ambiente seguro e avisar se houver acesso indevido. Se o cliente entrega uma chave de produção, a cláusula deve dizer quem pode usá-la.

Confidencialidade não resolve automaticamente a titularidade. Quem será dono do código criado? O prestador poderá reutilizar componentes genéricos? O cliente receberá licença ou cessão? Essas questões devem estar no contrato de propriedade intelectual.

O Contrato de Licenciamento de Software do DiretoDoc pode complementar a operação quando o serviço envolve uso de programa, acesso a plataforma ou entrega de tecnologia. A cláusula de sigilo protege a informação; a licença define o que pode ser usado.

Se o prestador utiliza bibliotecas, ferramentas de terceiros ou componentes próprios, documente essa separação. O cliente pode receber o resultado do projeto sem receber todo o conhecimento interno do prestador. Ao mesmo tempo, o prestador não deve levar código específico, dados ou documentação do cliente para outro projeto.

Como evitar que a cláusula impeça o trabalho?

Uma obrigação muito ampla pode dificultar a execução. O prestador precisa guardar documentos, criar cópias de segurança e, às vezes, consultar especialistas. A cláusula deve permitir o uso interno necessário e proibir uso comercial, divulgação ou cópia fora da finalidade.

Defina os canais seguros e as pessoas autorizadas. Se a empresa quer proibir armazenamento em dispositivo pessoal, diga isso. Se precisa permitir trabalho remoto, indique requisitos mínimos: senha, autenticação, controle de acesso e eliminação após a entrega.

A redação também deve tratar de informação desenvolvida independentemente. O prestador pode ter conhecimento próprio e atender outros clientes. O objetivo é impedir a apropriação de material confidencial, não criar exclusividade escondida.

Escala visual de risco em uma cláusula de confidencialidade

É preciso incluir multa por vazamento?

A multa pode reforçar a obrigação, mas não substitui a definição do dever nem garante que o valor será aplicado sem discussão. Indique qual conduta gera a penalidade, se existe limite, como se calcula e se outras perdas comprovadas podem ser cobradas.

Evite uma multa idêntica para qualquer situação. Publicar uma lista de clientes em rede aberta é diferente de enviar um arquivo ao destinatário errado e corrigi-lo imediatamente. A gravidade, o dano e a possibilidade de correção importam.

Também não acumule penalidades pelo mesmo fato sem explicar a função de cada uma. Uma multa moratória, uma cláusula compensatória e perdas e danos podem ter efeitos diferentes. A coerência do contrato reduz a chance de cobrança duplicada.

Exemplo de redação: “A divulgação ou utilização de informação confidencial fora da finalidade contratada sujeitará a Parte responsável à multa de R$ [valor], sem prejuízo da reparação de danos comprovados quando a multa não for suficiente, observada a vedação de dupla cobrança pelo mesmo prejuízo.”

O que fazer quando ocorre um vazamento?

O primeiro passo é conter o acesso: revogar senha, interromper compartilhamento, preservar logs e identificar o material. Depois, comunique a outra parte conforme o contrato. Apagar evidências ou tentar esconder o incidente pode aumentar o problema.

O aviso deve dizer quando o incidente foi identificado, quais informações podem ter sido expostas e quais medidas foram tomadas. Se houver dados pessoais, siga o procedimento aplicável e avalie os deveres de comunicação. Nem todo erro tem o mesmo impacto, mas todo incidente deve ser registrado.

Se o prestador foi vítima de ataque, isso não elimina automaticamente suas obrigações. A análise deve considerar medidas de segurança, instruções recebidas, causa do incidente e rapidez da resposta. O contrato deve prever cooperação e investigação.

Faça um registro cronológico: quando o acesso foi concedido, qual pessoa ou sistema estava envolvido, quando o incidente foi descoberto e quais medidas foram tomadas. A cronologia serve para corrigir o problema e para explicar às partes e às autoridades o que ocorreu, se isso for necessário.

Como formalizar devolução e eliminação dos dados?

Ao terminar o serviço, faça uma lista do que será devolvido: relatórios, documentos, banco de dados, credenciais, arquivos de criação e cópias de segurança. Determine se a eliminação será comprovada por declaração, registro técnico ou ambos.

Alguns documentos precisam ser guardados por obrigação legal. Nesse caso, o prestador deve mantê-los separados, protegidos e sem uso para outra finalidade. A cláusula pode prever que a obrigação de sigilo continua enquanto a cópia for conservada.

Se o cliente não retirar o material no prazo, o contrato pode definir como será feita a comunicação e qual será o procedimento de descarte. Não delete imediatamente arquivos que sejam necessários para provar a execução ou cumprir uma obrigação legal.

Checklist visual para informação, acesso e encerramento do sigilo

Como escrever uma cláusula de confidencialidade?

A cláusula deve ser específica, mas compreensível. Explique informação protegida, finalidade, acesso, exceções, segurança, incidente, prazo, devolução e consequência. Depois, ajuste o texto ao projeto e confira se não há conflito com propriedade intelectual ou LGPD.

Exemplo de redação: “São confidenciais as informações comerciais, técnicas, financeiras e pessoais recebidas pelo PRESTADOR para executar o serviço descrito neste contrato. O uso será limitado à finalidade contratada, com acesso apenas às pessoas que necessitem conhecê-las. Não são confidenciais informações públicas, comprovadamente anteriores ou recebidas legitimamente de terceiro. Encerrado o contrato, o PRESTADOR devolverá ou eliminará as informações em até [prazo], ressalvada a guarda exigida por lei, mantendo-as protegidas enquanto conservadas.”

O texto não deve prometer segurança absoluta. Nenhum contrato impede todos os incidentes. Ele define responsabilidade, procedimento e prova para quando a informação precisar ser protegida na prática.

Antes de copiar uma cláusula pronta, faça um pequeno inventário do serviço. Anote quais arquivos serão enviados, quais sistemas serão acessados, se haverá atendimento remoto e se outra empresa participará da execução. Esse inventário ajuda a escolher palavras que correspondem ao trabalho real. Uma consultoria que apenas recebe relatórios tem um risco diferente de uma empresa que administra o banco de dados do cliente.

Depois, transforme o inventário em regras que possam ser conferidas. Em vez de escrever apenas “adotar medidas adequadas”, indique, quando fizer sentido, autenticação individual, armazenamento em pasta restrita, proibição de compartilhamento por conta pessoal e comunicação de incidente em determinado canal. A obrigação não precisa descrever toda a tecnologia, mas deve permitir saber se foi cumprida.

Também vale definir o fluxo de aprovação para divulgação. Um prestador pode precisar mencionar o projeto em uma apresentação comercial, publicar uma imagem de tela ou usar um resultado como portfólio. Se isso for possível, exija autorização prévia e escrita, com indicação do material autorizado. Assim, o silêncio não vira uma permissão difícil de provar.

Por fim, leia a cláusula junto com as partes sobre preço, prazo, subcontratação, propriedade intelectual, proteção de dados e rescisão. O sigilo não deve aparecer isolado. Se o contrato permite subcontratação em uma seção e proíbe qualquer acesso de terceiro em outra, a contradição precisa ser corrigida antes da assinatura.

Quando o serviço for dividido em etapas, revise o sigilo a cada entrega. O acesso necessário na fase de diagnóstico pode ser maior que o acesso necessário na manutenção. Revogar permissões antigas reduz o risco sem impedir que o prestador continue trabalhando. Essa revisão é especialmente útil em projetos longos, nos quais pessoas entram e saem da equipe.

Guarde também a prova da autorização. E-mails, atas de reunião, versões do escopo e registros de acesso mostram por que determinada informação foi compartilhada. O contrato não precisa anexar cada arquivo, mas deve indicar como as partes identificarão a versão válida e como registrarão alterações importantes.

Se houver negociação com uma pessoa física, explique a obrigação em linguagem direta e confirme que ela compreendeu as restrições. Se houver empresas, identifique quem responderá pela equipe e pelos subcontratados. Uma regra clara no início evita discussões sobre quem deveria ter prevenido o acesso indevido.

Erros comuns em cláusulas de confidencialidade

O erro mais comum é usar “qualquer informação” sem categorias. Outro é não dizer o que acontece depois do término. Também há problemas quando a cláusula fala em dados pessoais, mas não indica finalidade, acesso ou eliminação.

O prestador erra ao permitir que toda a equipe tenha acesso a tudo. O cliente erra ao entregar senhas por mensagem sem alterar o acesso depois. Ambos erram ao copiar um NDA de negociação para um contrato de execução sem adaptar o objeto.

  • Não transforme informação pública em segredo eterno.
  • Não misture sigilo com titularidade do material.
  • Não ignore subcontratados e terceiros.
  • Não esqueça incidente, devolução e eliminação.
  • Não use multa sem definir a conduta.

Checklist antes de assinar

Confira se o documento responde:

  • O que exatamente é confidencial?
  • Qual é a finalidade do uso?
  • Quem pode acessar?
  • Quais são as exceções?
  • Como dados pessoais serão tratados?
  • Qual prazo de sigilo será aplicado?
  • Como o incidente será comunicado?
  • Como ocorrerão devolução e eliminação?

Uma cláusula de confidencialidade funciona quando transforma uma preocupação vaga em instruções concretas. Defina o que será protegido, limite o acesso, organize a segurança e prepare o encerramento. O contrato de serviços, o NDA, o documento de tratamento de dados e a licença de software podem trabalhar juntos, desde que cada um tenha uma função clara.

Ao continuar usando o site, você concorda com o uso de cookies. Consulte a Política de Privacidade.