Lei geral de proteção de dados e contratações públicas

Contratos AdministrativosLicitaçãoPlanejamento

Informações são fundamentais para o pleno desenvolvimento do potencial humano em qualquer das áreas do conhecimento ou da vida pessoal. A facilidade que hoje se tem para obter informações é uma causa espetacular de grandes avanços pessoais e sociais e de otimização de tempo.  Porém, a par das vantagens, esta facilitação e universalização de obtenção de informações tem nítidas consequências negativas também, que devem ser moduladas e controladas, de modo a garantir direitos fundamentais individuais, como a privacidade. Num mundo globalizado, conectado e digitalizado é preciso garantia mínima de um núcleo intangível de privacidade e proteção contra divulgação de dados ou informações pessoais que pode ser utilizada em prejuízo do seu titular.

Com esse propósito de proteção de dados pessoais foi editada a Lei Geral de Proteção de Dados. A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Diversos dispositivos da Lei Geral de Proteção de Dados –  Lei nº 13.709/2018 – entraram em vigor em agosto de 2020, o que suscita nos operadores do direito esforços hermenêuticos para identificar com precisão o alcance das novas normas no plano geral, e, em especial, como se pretende, no plano das licitações e contratações públicas.

O primeiro aspecto elementar a se destacar é que o objeto da Lei são os dados pessoais de pessoa natural. Não contempla a norma a proteção de dados relativos a pessoas jurídicas, o que se subsome a regime jurídico diverso.

São fundamentos da norma: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Você também pode gostar

Os dados tutelados pela Lei se distribuem em 3 espécies: o dado pessoal: informação relacionada a pessoa natural identificada ou identificável; o dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; e o dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Em abordagem introdutória, destaque-se, ainda, que tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O processo licitatório e de contratação pública implica tratamento de dados pessoais, na forma da Lei, o que não significa que todas as disposições de proteção de dados nela previstas tenham aplicação pelo Poder Público quando de suas relações licitatórias e contratuais.

No processo da contratação pública há o tratamento – na acepção legal – de dados pessoais (da pessoa natural) e de dados relativos às pessoas jurídicas. Reitere-se que os dados relativos à pessoa jurídica não são alcançados pela Lei Geral de Proteção de Dados, ao menos de modo direto. Pode-se, contudo, cogitar de tratamento de dados de pessoa jurídica que mediata ou indiretamente impliquem tratamento de dados de pessoa natural.

Dados pessoais informados como condição para participar de licitações ou ser contratado

Como condição para participar de licitações e serem contratados, os interessados  devem fornecer para a Administração Pública diversos dados pessoais, como por exemplo (i) aqueles inerentes a documentos de identificação; (ii) referentes a participações societárias; (iii) informações inseridas em contratos sociais; (iv) endereços físicos e eletrônicos; (v) estado civil; (vi) eventuais informações sobre cônjuges; (vii) relações de parentesco; (viii) número de telefone; (ix) sanções administrativas que esteja cumprindo perante a Administração Pública; (x) informações sobre eventuais condenações no plano criminal ou por improbidade administrativa; dentre outros.

Essas informações constarão do processo administrativo e serão objeto de tratamento por parte da Administração Pública.

O tratamento dos dados pessoais relacionados aos processos de contratação presume-se válido, legítimo e, portanto, juridicamente adequado.

Primeiro porque ao participar de processo licitatório ou de contratação direta o titular dos dados manifesta seu inequívoco consentimento[1] para tratamento dos dados pessoais pela Administração Pública (art. 7º, I).

Em segundo lugar, os dados pessoais exigidos nos processos licitatórios ou de contratação direta se destinam a cumprimento de obrigação legal pelo controlador (art. 7º II).

Por terceiro, o tratamento dos danos, nesta hipótese em exame é “necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados (art. 7º V).

Tem-se, então, que o tratamento de dados pessoais informados pelo titular no processo da contratação pública tem autorização legal prevista em, no mínimo, 3 dispositivos da LGPD.

Sob outro ângulo, a norma prevista no art. 3º § 3º da Lei nº 8.666/1993 disciplina que “a licitação não será sigilosa, sendo públicos e acessíveis ao público os atos de seu procedimento, salvo quanto ao conteúdo das propostas, até a respectiva abertura”. Esta disposição normativa, fundada no princípio da publicidade previsto no art. 37 da Constituição Federal implica que todos os dados pessoais informados pelos licitantes e pelos contratados também serão acessíveis e disponíveis ao público.

Não se trata de disposição normativa geral que possa ser afastada por norma especial, no caso a LGPD. A Lei Geral de Proteção de Dados não determina, como regra, o sigilo de informações, mas tão somente o cuidado exigível com o tratamento de dados pessoais de modo a não violar direitos e garantias fundamentais do seu titular.

Em primeira conclusão, pode-se deduzir que os dados pessoais que forem fornecidos pelos interessados em participar de licitações ou ser contratados pela Administração Pública poderão receber o tratamento legítimo por parte do controlador ou do operador[2], sem que se possa cogitar de violação da Lei.

Do uso compartilhado de dados pessoais pelo Poder Público

Uso compartilhado de dado é “a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados”[3].

O uso compartilhado de dados pessoais pode ocorrer quando do cadastramento de sanções aplicadas pela Administração Pública nos sistemas de cadastro legalmente instituídos, como o CEIS – Cadastro de Empresas Inidôneas e Suspensas, o CNEP – Cadastro Nacional de Empresas Punidas; ou quando do cadastramento em sistemas de registro cadastral como o SICAF – Sistema de Cadastramento Unificado de Fornecedores, ou sistemas similares.

A divulgação ou comunicação da aplicação de sanções ou de informações cadastrais, ainda que contenham dados pessoais é legítima e regular, desde que feitas na forma da Lei.

Irregular seria, por exemplo, o compartilhamento pela Administração de documento ou informação que contivesse dados pessoais, eventualmente até sensíveis, sem que isto ocorra para o cumprimento de uma finalidade de interesse público, amparada em Lei.

Condutas vedadas à Administração Pública quando do tratamento de dados pessoais em licitações e contratações públicas

Antes dito que todos os dados pessoais informados pelos titulares em processos licitatórios e de contratação pública podem ser objeto do tratamento legítimo de que trata a LGPD.

A legitimidade do tratamento dos dados pessoais, nesta hipótese, pressupõe a legitimidade das informações e documentos contendo dados pessoais que serão exigidos como condição para participar de licitações ou de ser contratado pela Administração Pública.

Nesta medida, não devem ser exigidas informações ou documentos que contenham dados pessoais quando referidas informações ou documentos não forem indispensáveis à satisfação de algum imperativo de interesse público relacionado à licitação ou ao contrato.

 Assim, documentos e informações somente podem ser exigidos, se contiverem dados pessoais, se, de modo justificado forem absolutamente necessários em relação ao objeto da licitação ou do contrato. Em sentido contrário, caso um documento ou informação que contenham dados pessoais forem dispensáveis por não se mostrarem necessários à prova de situação de fato relacionada com o objeto da contratação, não podem ser exigidos.

É vedada também a divulgação de documentos e informações que contenham dados pessoais fora dos limites da Lei.

Vedado também o compartilhamento de informações de licitantes e contratados que contenham dados pessoais fora dos limites de Lei.

Deveres da Administração Pública relacionados à implementação da LGPD nos processos de licitação e de contratação

Primeiro dever: instituir processos e sistemas de capacitação de agentes públicos para operar as normas previstas na LGPD quando das licitações e contratações.

Segundo dever: elaborar normas internas e manuais versando sobre a aplicação da LGPD em processos licitatórios e contratações públicas.

Terceiro dever: no planejamento das licitações e das contratações diretas, avaliar o conteúdo de documentos e informações que serão exigidos como condição para participar do certame ou ser contratado – no que diz respeito a dados pessoais que serão apresentados.

Quarto dever: avaliar a efetiva necessidade de obter, pela via indireta, dados pessoais de interessados em participar de licitações ou de serem contratados.

Quinto dever: deixar de exigir documentos que não sejam de apresentação obrigatória ou necessária, a depender do objeto da contratação, que contenham dados pessoais.

Sexto dever: justificar a exigência de documentos que não sejam de apresentação obrigatória por força de Lei, em licitações ou quando da contratação direta, caso contenham dados pessoais.

Sétimo dever: implementar sistema de gestão dos riscos de tratamento de dados pessoais no processo da contratação pública.

Oitavo dever: implementar regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Da gestão dos riscos e responsabilidade pelo tratamento de dados pessoais pela Administração no processo da contratação pública

O Gerenciamento de Riscos é um processo que consiste nas seguintes atividades: I – identificação dos principais riscos a que está sujeita a conduta administrativa;  II – avaliação dos riscos identificados, consistindo da mensuração da probabilidade de ocorrência e do impacto de cada risco; III – tratamento dos riscos considerados inaceitáveis por meio da definição das ações para reduzir a probabilidade de ocorrência dos eventos ou suas consequências; IV – para os riscos que persistirem inaceitáveis após o tratamento, definição das ações de contingência para o caso de os eventos correspondentes aos riscos se concretizarem; e V – definição dos responsáveis pelas ações de tratamento dos riscos e das ações de contingência. No que tange ao tratamento de dados pessoais, a Administração Pública deve identificar todos os riscos envolvidos no tratamento de dados pessoais quando da licitação e da contratação, avaliá-los e tratá-los de modo a evitar o cometimento de seu uso abusivo ou ilegal, e, por consequência, a responsabilização pessoal ou institucional.

Há um dever jurídico genérico previsto no art. 46 da LGPD: “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Dever jurídico, quando descumprido, pode gerar a responsabilidade por ação ou por omissão, estatal ou pessoal.

Acompanhe também novidades sobre contratações públicas no instagram: joseanacleto.abduch.


[1] Nos termos da norma contida no art. 5º, XII consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

[2] Art. 5º (…)

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

[3] Art. 5º, XVI da Lei nº 13.709/2018.

Continua depois da publicidade
Seja o primeiro a comentar
Utilize sua conta no Facebook ou Google para comentar Google

Assine nossa newsletter e junte-se aos nossos mais de 100 mil leitores

Clique aqui para assinar gratuitamente

Ao informar seus dados, você concorda com nossa política de privacidade

Você também pode gostar

Continua depois da publicidade

Colunas & Autores

Conheça todos os autores