A adequação à LGPD em órgãos públicos é um dos temas que mais preocupam gestores e servidores, não apenas pela responsabilização civil e administrativa decorrente do próprio texto normativo, mas pelas incertezas geradas, em grande medida, por uma inadequada interpretação da Lei ou por completo desconhecimento do Regime Jurídico Administrativo, incidente nas relações da Lei Geral de Proteção de Dados, com as estruturas da Administração Direta e Indireta.

Vários são os mitos decorrentes desta falha interpretativa ou do desconhecimento do Regime Jurídico incidente nestas relações, como por exemplo: o mito do consentimento; o mito do conflito entre a Lei de Acesso à Informação e a LGPD; o mito (ou melhor) a confusão entre os conceitos de controladores e operadores de dados com as pessoas físicas titulares do exercício de competências desconcentradas nos vários órgãos da Administração, dentre outros. Contudo, talvez o maior de todos os mitos seja aquele que exalta a necessidade do “tarjamento” dos contratos administrativos, após a vigência da Lei Geral de Proteção de Dados.

Explico: tenho recebido inúmeros questionamentos sobre a orientação de assessorias jurídicas e outras estruturas de controle, no sentido de que, em razão da vigência da LGPD, as áreas de contratos administrativos deveriam tarjar os dados pessoais obtidos nos documentos das fases interna e externa das licitações, bem como, nos contratos administrativos firmados.

Antecipo, desde já, antes de entrar ao mérito de minhas justificativas, que interpretar dessa forma, para além de não encontrar suporte jurídico na legislação vigente, violaria princípios constitucionalmente reconhecidos, como o postulado do controle (social, interno e externo) e o princípio da eficiência, cuja consequência se traduz, dentre outros, em uma necessidade de desburocratização do Estado[1]. É dizer, antecipadamente, que ainda que a LGPD orientasse de maneira expressa tal “tarjamento”, o que não o faz, seguramente tal regra careceria de fundamento constitucional que lhe desse amparo. Em síntese inicial: ou a finalidade e adequação do tratamento em contrato é autorizada pela LGPD e não há nenhuma justificativa, portanto, para o seu “tarjamento”, ou tratamento do dado não atende a finalidade buscada e sequer poderia estar versado no documento (pré-contratual ou contratual).

Veja que tratamento de dados pessoais em razão da vigência da LGPD deve seguir alguns princípios básicos, dentre eles, os princípios da finalidade e da adequação. Ambos os princípios instituem, no ambiente normativo da proteção de dados pessoais, a necessidade de se informar, quando do tratamento desses dados, o propósito legítimo do tratamento, bem como, a sua compatibilidade com o seu contexto.

Você também pode gostar

• Contratos Administrativos

  Revisão, reajuste e repactuação: marcos temporais

• Contratos Administrativos

  Em contratos plurianuais, é necessário comprovar a vantajosidade para conceder o reajuste por índice?

É isso que deflui do próprio conceito dos referidos princípios:

Art. 6. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

No âmbito do Regime Jurídico Administrativo, o tratamento de dados pessoais pelas pessoas jurídicas de direito público segue regra adicional à observância de tais princípios, qual seja, aquela elencada em seu artigo 23, que prescreve que, deverá ser observada a “finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.

Diante disso, é necessário se avaliar no âmbito dos contratos administrativos, quando da coleta de dados pessoais, a pertinência destes dados com as respectivas exigências trazidas pelos editais e contratos, tanto no que se relaciona com a fase interna (fase preparatória) quanto a sua fase externa (seleção do fornecedor) do procedimento licitatório, bem como, na execução do contrato (gestão e fiscalização).

Aí nasce a possível dúvida ou falha de interpretativa, pois se é certo que para participação em procedimentos licitatórios e para contratar com a Administração Pública, as empresas deverão fornecer alguns dados pessoais vinculados aos seus sócios e ou representantes, também é certo, que os dados pessoais coletados em razão desses certames e na execução dos contratos administrativos deverão obedecer aos ditames da Lei Geral de Proteção de Dados. Nada mais lógico!

Ora, de onde então deriva essa equivocada interpretação?

Veja que a Lei Geral de Proteção de Dados, ao estabelecer em seu artigo 7º e incisos, as diversas bases legais autorizatórias do tratamento de dados pessoais, trouxe, dentre outras, a base legal do consentimento, que orienta que o tratamento de dados pessoais, quando fundamentado naquela base, só pode ser realizado com a aquiescência livre, inequívoca e informada do titular de dados.

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

 

Art. 5º Para os fins desta Lei, considera-se:

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Isso induz a uma conclusão lógica: quando a base legal autorizatória do tratamento dos dados for o consentimento eu só poderei fazê-lo com a concordância expressa do particular[2]. E é possível o consentimento no tratamento de dados pela Administração Pública, a própria ANPD deixou evidente[3]:

Exemplo 2. Inscrição em evento acadêmico

Estudante realiza inscrição para participar de um evento organizado por uma universidade pública. O procedimento é realizado online, ocasião em que são solicitadas informações básicas de cadastro, como nome e número de matrícula, este para o fim específico de concessão da gratuidade da inscrição, benefício exclusivo para estudantes. Adicionalmente, o estudante tem a opção de fornecer e-mail, caso queira “receber informações de outros eventos organizados pela universidade”. Uma mensagem esclarece que o fornecimento do e-mail é facultativo e a recusa não impede a participação no evento. Ademais, as informações sobre os outros eventos são rotineiramente divulgadas na página da universidade na Internet. Na hipótese, o consentimento é a base legal apropriada para a coleta do e-mail do estudante, podendo ser considerado válido, haja vista a finalidade específica informada ao titular, bem como a existência de condições efetivas para a livre, informada e inequívoca manifestação de vontade.

Ocorre que o consentimento é apenas uma, das 10 bases legais autorizatórias de tratamento de dados pessoais na LGPD, tendo, dentre as demais, ao menos duas bases legais que fundamentam diretamente o tratamento dos dados relativos aos contratos administrativos, quais sejam, as bases legais da obrigação legal e das diligências pré-contratuais ou execução dos contratos[4]. Isto porque, a Lei 8.666/1993 (ainda vigente), a Lei 14.133/2021 e a Lei 13.303/2016, ao disporem sobre as formas de contratação na Administração Direta e Indireta tornam evidente o caráter público do procedimento, tanto em sua fase interna, quanto em sua fase externa, dentre outros em privilégio ao controle da atividade administrativa, intrínseco ao Estado Democrático de Direito.

É exatamente esse o entendimento da ANPD:

18. Diante dessas características, em muitas ocasiões, o consentimento não será a base legal mais apropriada para o tratamento de dados pessoais pelo Poder Público, notadamente quando o tratamento for necessário para o cumprimento de obrigações e atribuições legais. Nesses casos, o órgão ou a entidade exerce prerrogativas estatais típicas, que se impõem sobre os titulares em uma relação de desbalanceamento de forças, na qual o cidadão não possui condições efetivas de se manifestar livremente sobre o uso de seus dados pessoais.[5]

Nota-se, que a própria Agência Nacional de Proteção de Dados, em seu guia orientativo do Tratamento de Dados Pessoais pelo Poder Público[6] destaca a relevância de se perquirir a base legal adequada a cada tipo de tratamento de dados realizado, deixando expresso o entendimento de que “uma das principais providências a serem tomadas antes de realizar o tratamento de dados pessoais é a de identificar a base legal aplicável. O tratamento de dados pessoais pelo Poder Público deve se amparar em uma das hipóteses previstas no art. 7º ou, no caso de dados sensíveis, no art. 11 da LGPD.

Esses dispositivos devem ser interpretados em conjunto e de forma sistemática com os critérios adicionais previstos no art. 23, que complementam e auxiliam a interpretação e a aplicação prática das bases legais no âmbito do Poder Público”.

Resta claro, da manifestação da ANPD, que a conformidade da adequação com a LGPD deve guardar uma análise sistêmica entre a base legal autorizatória dos dados objeto de tratamento e as legislações incidentes nesta relação. Com isso, no âmbito dos processos licitatórios e contratos administrativos, não resta dúvida de que a interpretação sistemática e teleológica da LGPD (e suas bases legais) e das Leis que orientam os processos de contratação pública (com seus princípios e regras), traz como pressuposto a noção de publicidade e não de sigilo. O sigilo é exceção nestes procedimentos e possui hipóteses bastante específicas para seu reconhecimento.

Nos contratos administrativos a incidência da LGPD é lógica: se os dados coletados em contrato atendem a finalidade e adequação do tratamento estabelecido pela relação contratual e se ajustam aos princípios e regras estabelecidos nas legislações específicas (8.666/1993; 14.133/2021 e 13.303/2016), a base legal será aquela estabelecida no artigo 7º, inciso V da LGPD, com incidência do inciso II do mesmo artigo e das regras estabelecidas no artigo 23. É dizer, a regra do consentimento prevista no inciso I do artigo 7º da LGPD, não derroga o princípio da publicidade e as regras de participação e controle previstas nas leis de contratação administrativa, possuindo hipóteses bastante limitadas e específicas nestes casos e, apenas, quando não incidente as hipóteses autorizatórias de tratamento pelas diligências pré-contratuais, pela execução dos contratos ou pela execução de políticas públicas e prestação de serviços públicos.

Não há, portanto, nenhuma justificativa na LGPD para o “tarjamento” dos documentos da fase pré-contratual ou contratual.

São essas inclusive, salvo uma ressalva específica, as linhas gerais e a conclusão que parece chegar o parecer n. 00009/2022/DECOR/CGU/AGU, da lavra da respeitável advogada da união, Daniela C. Moura Gualberto, quando aventa:

Deste modo, nos temos de tudo o esclarecido neste Opinativo, forçosa é a conclusão no sentido de que os dados pessoais tratados pela Administração Pública em razão de licitações e contratos administrativos devem subsumir- se à nova Política desde a entrada em vigor da Lei Geral de Proteção de Dados – Lei nº 13.709/2018, mesmo no caso das licitações em curso e dos contratos já firmados, que parâmetros impostos pela norma, para atentar-se especialmente ao seguinte:

1. O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá guardar compatibilidade com a finalidade específica informada ao titular para o fornecimento dos dados (art. 6º) e “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público” (art. 23).

2. O tratamento dos dados pessoais poderá ocorrer se houver consentimento do titular do direito; para o cumprimento de obrigação legal; para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e também na hipótese do uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. (art. 7º, inc. I, II, III, e V)

3. Os atos da Administração Pública são regidos pelo princípio da publicidade (CRFB/88, art. 37, c/c §3º, art. 3º, da Lei nº 8.666/93). Assim, “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” (art. 46), “com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” (art. 1.)

4. Há a necessidade de manutenção dos dados fornecidos pelos licitantes não contratados e pelos contratados após o encerramento do contrato, visando o cumprimento de obrigação legal (art. 16, I).

A conclusão a que chega o parecer, após os fundamentos expostos neste artigo, parecem óbvias, contudo, nos tempos atuais e diante das equivocadas interpretações anunciadas em nome da “boa aplicação” da LGPD, parece importante reforçarmos o óbvio. Com isso, o referido opinativo alerta, em síntese, que o princípio da finalidade deve ser respeitado no tratamento dos dados fornecidos ao Poder Público; que o tratamento de dados poderá ocorrer quando do enquadramento em uma das bases legais do artigo 7º, em especial, em seus incisos I, II, III, e V; e que, a regra norteadora do Regime Jurídico Administrativo é a da publicidade, em razão disso, assevera que os agentes de tratamento devem adotar medidas aptas a proteger os dados pessoais fornecidos pelo titular, ressaltando por fim que há a necessidade de manutenção dos dados fornecidos pelos licitantes não contratados e pelos contratados após o encerramento do contrato, visando o cumprimento de obrigação legal.

É dizer, as conclusões a que chega o opinativo da Advocacia Geral da União, parecem estar adequadas ao propósito da LGPD, contudo, faz-se uma importante ressalva ao item 27 deste mesmo opinativo, pois ao contrário de toda sua fundamentação e justificativa técnico-jurídica, surpreende ao lançar aleatoriamente que “no caso, o consentimento do titular do direito, que é definido pela lei como sendo a ‘manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada’, será um dos pilares do tratamento dos dados fornecidos pelo licitante e pelo contratante (Art. 5º, inc. XII c/c Art. 7º, inc. I).”

Após todos os argumentos elencados acima e com o acato devido, equivocado tal posicionamento estampado no parecer anteriormente mencionado, pois parece conflitar até mesmo com a conclusão por ele exarada, já que, como visto, o consentimento é apenas uma, das 10 bases legais autorizatórias do tratamento de dados pessoais pelo Poder Público, tendo, dentre as demais, as bases legais da obrigação legal e das diligências pré-contratuais ou execução dos contratos, que fundamentam diretamente o tratamento dos dados relativos aos contratos administrativos.

A Lei Geral de Proteção inaugurou um novo cenário na Administração Pública, naturalmente complexo e desafiador, não deixemos que interpretações equivocadas impeçam sua materialização pela criação de entraves formais que, antes de representar a boa aplicação da LGPD, representam a volta a consolidação de um estamento burocrático que conduz a ineficiência do Estado e a ineficácia da própria Lei.

________________________

[1] Em um exercício pragmático, fico a imaginar que, em se conduzindo a esta interpretação, em breve teríamos que ter, em algumas administrações, áreas específicas para o “tarjamento” de contrato, dado o volume de contratos e dados coletados para estes fins.

[2] Isso porque, da leitura do dispositivo legal, que conceitua consentimento como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, é possível concluir que não existe pela Lei Geral de Proteção de Dados a hipótese de consentimento tácito, já que ao controlador não seria possível comprovar diante do caso concreto, a inequivocidade do consentimento, quando por hipótese, dado de forma tácita.

[3] TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO. ANPD. Versão 1.0, ajn. 2022. p 07.

[4] Art. 7. O tratamento de dados pessoais somente poderá́ ser realizado nas seguintes hipóteses:

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

[5] TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO. ANPD. Versão 1.0, jan. 2022. p 06.

[6] TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO. ANPD. Versão 1.0, jan. 2022. p 06.