Contratação diretaContratação PúblicaLicitaçãoNova Lei de LicitaçõesVídeos
Terceirização em foco - Inclui novidades do Decreto nº 12.174/2024
por Equipe Técnica da ZêniteCapacitação Online | 18 a 21 de fevereiro
A Lei Geral de Proteção inaugurou um novo cenário naturalmente complexo e desafiador na Administração Pública Direta e Indireta e eventuais interpretações equivocadas podem dificultar a materialização da Proteção de Dados no país ou, ainda, representar a criação de entraves formais que, antes de traduzirem a boa aplicação da Lei 13.709/18, podem conduzir a consolidação de um estamento burocrático tendente a ineficiência do Estado e a ineficácia da própria Lei.
Já dissemos em outras oportunidades que a adequação à LGPD em órgãos públicos é um dos temas que mais preocupam gestores e servidores, não apenas pela responsabilização civil e administrativa decorrente do próprio texto normativo, mas pelas incertezas geradas, em grande medida, por uma inadequada interpretação da Lei ou por completo desconhecimento do Regime Jurídico Administrativo incidente nas relações da Lei Geral de Proteção de Dados, com as estruturas da Administração Direta e Indireta.
Nesse sentido, vários são os mitos que se colocam decorrentes desta falha interpretativa ou do desconhecimento do Regime Jurídico incidente nestas relações. Um dos principais deles continua a ser o do “mascaramento” ou “tarjamento” dos dados pessoais de documentos, decisões e contratos públicos, que, para além de traduzir conduta não exigida pela Lei Geral de Proteção de Dados, ampliam a ineficiência estatal e burocratizam ainda mais a atividade administrativa.
Importante lembrar, antes de adentrarmos ao mérito deste texto, que estamos em tempos em que a eficiência estatal como princípio deve ser um vetor e a redução de práticas típicas do estamento burocrático devem ser abandonadas. É esse inclusive o contexto trazido no artigo 1., da Lei 13.726/18 (Lei da Desburocratização), quando informa como premissa a necessidade de se racionalizar “atos e procedimentos administrativos dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios mediante a supressão ou a simplificação de formalidades ou exigências desnecessárias ou superpostas, cujo custo econômico ou social, tanto para o erário como para o cidadão, seja superior ao eventual risco de fraude”.
O que motiva ampliar a discussão por este texto, da impossibilidade da interpretação pelo “mascaramento” ou “tarjamento” dos dados pessoais constantes nos atos e contratos administrativos, é o fato de que inúmeros são os questionamentos sobre a orientação de assessorias jurídicas e outras estruturas de controle, no sentido de que, em razão da vigência da LGPD, deveriam ser tarjados ou mascarados os dados pessoais constantes de decisões administrativas, documentos obtidos nas fases interna e externa das licitações e nos contratos administrativos. Neste sentido, inclusive, a recente publicação da Resolução 354/23 do TCU, que regulamenta no âmbito da Corte de Contas da União, o tratamento da informação relativa ao número de inscrição no CPF dos jurisdicionados nas peças e publicações do Tribunal.
Tudo isso causa estranheza, não pelas dúvidas ou pela Resolução em si (resolução essa que traz uma obviedade tamanha e que evidencia a preocupação excessiva dos órgãos em formalizar o “cumprimento” e “respeito” a LGPD), mas pela excessiva burocratização das “exigências” legais, quando a própria Lei 13.709/18, já resolveu essas questões em seu texto, sem deixar nenhuma dúvida. Explico.
Veja que tratamento de dados pessoais em razão da vigência da LGPD deve seguir alguns princípios básicos, dentre eles, os princípios da finalidade, da adequação e da necessidade.
É isso que deflui do próprio conceito dos referidos princípios:
Art. 6. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
No âmbito do Regime Jurídico Administrativo, o tratamento de dados pessoais pelas pessoas jurídicas de direito público segue regra adicional à observância de tais princípios, qual seja, aquela elencada em seu artigo 23, que prescreve que deverá ser observada a “finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.
Diante disso, no âmbito dos contratos administrativos é necessário se avaliar, quando da coleta de dados pessoais, a pertinência destes dados com as respectivas exigências trazidas pelos editais e contratos, tanto no que se relaciona com a fase interna (fase preparatória) quanto a sua fase externa (seleção do fornecedor) do procedimento licitatório, bem como, na execução do contrato (gestão e fiscalização).
Aí nasce a possível dúvida ou falha interpretativa, pois se é certo que para participação em procedimentos licitatórios e para contratar com a administração pública, as empresas deverão fornecer alguns dados pessoais vinculados aos seus sócios e ou representantes, também é certo, que os dados pessoais coletados em razão desses certames e na execução dos contratos administrativos deverão obedecer aos ditames da Lei Geral de Proteção de Dados. Nada mais lógico!
Ora, de onde então deriva essa equivocada interpretação?
Veja que a Lei Geral de Proteção de Dados, ao estabelecer em seu artigo 7º e incisos, as diversas bases legais autorizatórias do tratamento de dados pessoais, trouxe, dentre outras, a base legal do consentimento, que orienta que o tratamento de dados pessoais, quando fundamentado naquela base, só pode ser realizado com a aquiescência livre, inequívoca e informada do titular de dados.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
Art. 5º Para os fins desta Lei, considera-se:
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Isso induz a uma conclusão lógica: quando a base legal autorizatória do tratamento dos dados for o consentimento eu só poderei fazê-lo com a concordância expressa do particular[1]. E é possível o consentimento no tratamento de dados pela Administração Pública, a própria ANPD deixou evidente[2]:
Exemplo 2. Inscrição em evento acadêmico
Estudante realiza inscrição para participar de um evento organizado por uma universidade pública. O procedimento é realizado online, ocasião em que são solicitadas informações básicas de cadastro, como nome e número de matrícula, este para o fim específico de concessão da gratuidade da inscrição, benefício exclusivo para estudantes. Adicionalmente, o estudante tem a opção de fornecer e-mail, caso queira “receber informações de outros eventos organizados pela universidade”. Uma mensagem esclarece que o fornecimento do e-mail é facultativo e a recusa não impede a participação no evento. Ademais, as informações sobre os outros eventos são rotineiramente divulgadas na página da universidade na Internet. Na hipótese, o consentimento é a base legal apropriada para a coleta do e-mail do estudante, podendo ser considerado válido, haja vista a finalidade específica informada ao titular, bem como a existência de condições efetivas para a livre, informada e inequívoca manifestação de vontade.
Ocorre que o consentimento é apenas uma das bases legais autorizatórias de tratamento de dados pessoais na LGPD, tendo, dentre as demais, ao menos três bases legais que fundamentam diretamente o tratamento dos dados relativos aos contratos administrativos, quais sejam, as bases legais da obrigação legal, do tratamento de dados pela Administração Pública a base das diligências pré-contratuais ou execução dos contratos[3]. Isto porque, a Lei 8.666/93 (ainda vigente), a Lei 14.133/21 e a Lei 13.303/16, ao disporem sobre as formas de contratação na Administração Direta e Indireta tornam evidente o caráter público do procedimento, tanto em sua fase interna, quanto em sua fase externa, dentre outros em privilégio ao controle da atividade administrativa, intrínseco ao Estado Democrático de Direito.
É exatamente esse o entendimento da ANPD:
18. Diante dessas características, em muitas ocasiões, o consentimento não será a base legal mais apropriada para o tratamento de dados pessoais pelo Poder Público, notadamente quando o tratamento for necessário para o cumprimento de obrigações e atribuições legais. Nesses casos, o órgão ou a entidade exerce prerrogativas estatais típicas, que se impõem sobre os titulares em uma relação de desbalanceamento de forças, na qual o cidadão não possui condições efetivas de se manifestar livremente sobre o uso de seus dados pessoais.[4] (grifo nosso)
Nota-se, que a própria Autoridade Nacional de Proteção de Dados, em seu guia orientativo do Tratamento de Dados Pessoais pelo Poder Público[5] destaca a relevância de se perquirir a base legal adequada a cada tipo de tratamento de dados realizado, deixando expresso o entendimento de que “uma das principais providências a serem tomadas antes de realizar o tratamento de dados pessoais é a de identificar a base legal aplicável. O tratamento de dados pessoais pelo Poder Público deve se amparar em uma das hipóteses previstas no art. 7 ou, no caso de dados sensíveis, no art. 11 da LGPD. Esses dispositivos devem ser interpretados em conjunto e de forma sistemática com os critérios adicionais previstos no art. 23, que complementam e auxiliam a interpretação e a aplicação prática das bases legais no âmbito do Poder Público”.
Resta claro, da manifestação da ANPD, que a conformidade da adequação com a LGPD deve guardar uma análise sistêmica entre a base legal autorizatória dos dados objeto de tratamento e as legislações incidentes nesta relação. Com isso, no âmbito dos processos licitatórios e contratos administrativos, não resta dúvida de que a interpretação sistemática e teleológica da LGPD (e suas bases legais) e das Leis que orientam os processos de contratação pública (com seus princípios e regras), traz como pressuposto a noção de publicidade e não de sigilo. O sigilo é exceção nestes procedimentos e possui hipóteses bastante específicas para seu reconhecimento.
Esse é, inclusive, o entendimento consolidado no Enunciado nº 05/2023 da CGU, quando expressamente dispõe que as “informações sobre licitações, contratos e gastos governamentais, inclusive as que dizem respeito a processos conduzidos pelas Forças Armadas e pelos órgãos de polícia e de inteligência, são em regra públicas e eventual restrição de acesso somente pode ser imposta quando o objeto a que se referem estritamente se enquadrar em uma das hipóteses legais de sigilo”.
Esse é o entendimento da própria Lei 14.133/21, quando expressamente manifesta em seu artigo 13, que “os atos praticados no processo licitatório são públicos, ressalvadas as hipóteses de informações cujo sigilo seja imprescindível à segurança da sociedade e do Estado, na forma da lei.” A publicidade é, inclusive um dos princípios vetores da Nova Lei de Licitações e Contratos, previsto no caput de seu artigo 5º.
Nos contratos administrativos a incidência da LGPD é lógica: se os dados coletados em contrato atendem a finalidade, adequação e necessidade do tratamento estabelecido pela relação contratual e se ajustam aos princípios e regras estabelecidos nas legislações específicas (8.666/1993; 14.133/2021 e 13.303/2016), a base legal será aquela estabelecida no artigo 7º, inciso V da LGPD, com incidência do inciso II do mesmo artigo e das regras estabelecidas no artigo 23. É dizer, a regra do consentimento prevista no inciso I do artigo 7º da LGPD, não derroga o princípio da publicidade e as regras de participação e controle previstas nas leis de contratação administrativa, possuindo hipóteses bastante limitadas e específicas nestes casos e, apenas, quando não incidente as hipóteses autorizatórias de tratamento pelas diligências pré-contratuais, pela execução dos contratos ou pela execução de políticas públicas e prestação de serviços públicos.
E que não se diga que os dados pessoais constantes dos registros contratuais da pessoa jurídica poderiam afetar os direitos dos titulares de dados, pois inclusive estes dados, como regra, são públicos e respeitam a uma base legal específica que justifica seu tratamento. É exatamente isso que esclarece a Lei 8.934/94 (Lei de Registro Público de Empresas Mercantis), por exemplo, quando assevera em seu artigo 1, inciso I, que a finalidade da Lei é “dar garantia, publicidade, autenticidade, segurança e eficácia aos atos jurídicos das empresas mercantis”[6] e, quando em seu artigo 29 manifesta que “qualquer pessoa, sem necessidade de provar interesse, poderá consultar os assentamentos existentes nas juntas comerciais e obter certidões, mediante pagamento do preço devido”.
Não há, portanto, justificativa na LGPD que autorize a interpretação pelo “tarjamento” ou “mascaramento” dos dados pessoais constantes dos documentos da fase pré-contratual ou contratual, pois públicos e com previsão expressa nas legislações específicas. Entender de forma diversa seria negar a necessidade de integração desses documentos ao processo e o seu caráter público.
Exemplificando: a existência de dados pessoais do sócio, em um documento constitutivo da empresa (contrato social), juntado na fase habilitatória do procedimento competitivo, por exemplo, não induz a noção de que os dados pessoais ali constantes devam ser “mascarados” ou “tarjados” pela Administração. Se assim o fosse, estaríamos diante de um excesso de formalidades ou exigências desnecessárias ou superpostas, da violação do caráter público do documento e das informações ali constantes, bem como, da criação de mecanismos direcionados à ineficiência estatal quando sequer existe determinação neste sentido pela LGPD. A regra ao se tratar de documento público é a da publicidade e o sigilo é a exceção, em hipóteses específicas. A regra da LGPD também é a da transparência e da publicidade nestes casos, desde que haja base legal para o tratamento, o que já vimos, neste caso, haver, no mínimo pelas regras constantes do artigo 7º, II, III e V, c/c o artigo 23.
São essas inclusive, salvo uma ressalva específica, as linhas gerais e a conclusão que parece chegar o parecer n. 00009/2022/DECOR/CGU/AGU:
Deste modo, nos temos de tudo o esclarecido neste Opinativo, forçosa é a conclusão no sentido de que os dados pessoais tratados pela Administração Pública em razão de licitações e contratos administrativos devem subsumir- se à nova Política desde a entrada em vigor da Lei Geral de Proteção de Dados – Lei nº 13.709/2018, mesmo no caso das licitações em curso e dos contratos já firmados, que parâmetros impostos pela norma, para atentar-se especialmente ao seguinte:
1. O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá guardar compatibilidade com a finalidade específica informada ao titular para o fornecimento dos dados (art. 6o) e “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público” (art. 23)
2. O tratamento dos dados pessoais poderá ocorrer se houver consentimento do titular do direito; para o cumprimento de obrigação legal; para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e também na hipótese do uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. (art. 7º, inc. I, II, III, e V)
3. Os atos da Administração Pública são regidos pelo princípio da publicidade (CRFB/88, art. 37, c/c §3º, art. 3º, da Lei nº 8.666/93). Assim, “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” (art. 46), “com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”(art. 1.)
4. Há a necessidade de manutenção dos dados fornecidos pelos licitantes não contratados e pelos contratados após o encerramento do contrato, visando o cumprimento de obrigação legal (art. 16, I)
A conclusão a que chega o parecer, após os fundamentos expostos neste artigo, parecem óbvias, contudo, nos tempos atuais e diante das equivocadas interpretações anunciadas em nome da “boa aplicação” da LGPD, parece importante reforçarmos o óbvio. Com isso, o referido opinativo alerta, em síntese, que o princípio da finalidade deve ser respeitado no tratamento dos dados fornecidos ao Poder Público; que o tratamento de dados poderá ocorrer quando do enquadramento em uma das bases legais do artigo 7º, em especial, em seus incisos I, II, III, e V; e que, a regra norteadora do Regime Jurídico Administrativo é a da publicidade, em razão disso, assevera que os agentes de tratamento devem adotar medidas aptas a proteger os dados pessoais fornecidos pelo titular, ressaltando por fim que há a necessidade de manutenção dos dados fornecidos pelos licitantes não contratados e pelos contratados após o encerramento do contrato, visando o cumprimento de obrigação legal.
É dizer, as conclusões parecem estar adequadas ao propósito da LGPD, contudo, faz-se uma importante ressalva ao item 27 deste mesmo opinativo, pois ao contrário de toda sua fundamentação e justificativa técnico-jurídica, surpreende ao lançar aleatoriamente que “no caso, o consentimento do titular do direito, que é definido pela lei como sendo a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, será um dos pilares do tratamento dos dados fornecidos pelo licitante e pelo contratante (Art. 5º, inc. XII c/c Art. 7º, inc. I).”
Após todos os argumentos elencados acima e com o acato devido, equivocado tal posicionamento estampado no parecer anteriormente mencionado, pois parece conflitar até mesmo com a conclusão por ele exarada, já que, como visto, o consentimento é apenas uma, das bases legais autorizatórias do tratamento de dados pessoais pelo Poder Público, tendo, dentre as demais, as bases legais da obrigação legal, do tratamento de dados pela Administração Pública e das diligências pré-contratuais ou execução dos contratos, que fundamentam diretamente o tratamento dos dados relativos aos contratos administrativos. Importante esclarecer, portanto, que em não havendo consentimento tácito na LGPD, a consideração exarada no parecer de que o consentimento “será um dos pilares do tratamento dos dados fornecidos pelo licitante e pelo contratante” é distante das normas que instituem o regime jurídico licitacional, pois o fundamento para o tratamento dos dados trazidos nas fases interna e externa do procedimento competitivo e do próprio contrato, tem relação direta com o Regime Jurídico Administrativo da Lei 14.133/21, e, em larga medida, com a indisponibilidade dos interesses públicos ali envolvidos, que não poderiam sucumbir ao interesse particular do consentimento ou de sua retirada, em razão, dentre outros, dos princípios constitucionais previstos no artigo 37, caput da Constituição e no artigo 5º da NLLC.
Em síntese, ao se interpretar pelo “mascaramento” ou “tarjamento” de tais documentos, para além de não encontrar suporte jurídico na legislação vigente, estar-se-ia violando princípios constitucionalmente reconhecidos, como o postulado do controle (social, interno e externo) e o princípio da eficiência, cuja consequência se traduz, dentre outros, em uma necessidade de desburocratização do Estado[7]. É dizer, ainda que a LGPD orientasse de maneira expressa tal “mascaramento” ou “tarjamento”, o que não o faz, seguramente tal regra careceria de fundamento constitucional que lhe desse amparo.
Assim, o tratamento desses dados pessoais estará autorizado, sem necessidade de “mascaramento” ou “tarjamento” quando as respostas às seguintes perguntas forem positivas:
Exemplificativamente teríamos:
Veja que o que se pretende com esse artigo é, de um lado, conferir máxima eficácia aos dispositivos e às bases legais da LGPD e, de outro lado, garantir razoabilidade interpretativa aos dispositivos da referida Lei, para que as garantias dos direitos dos titulares não representem burocratização desproporcional e onerosa a um Estado que já sofre com a escassez de pessoal e orçamentária.
Em conclusão: ou a finalidade, a adequação e a necessidade do tratamento do dado pessoal nos atos ou contratos administrativos estão presentes, com ao menos uma das respectivas bases legais que autorizam o tratamento (obrigação legal, execução de políticas públicas, execução de contratos ou diligências pré-contratuais entre outros) e portanto compatíveis com a LGPD e sem necessidade de qualquer hipótese de “mascaramento ou tarjamento”, ou não há nenhuma autorização para o tratamento do dado, hipótese em que sequer se cogitaria o “tarjamento”, mas sim, a impossibilidade do próprio tratamento, ou seja, hipótese em que sequer poderia estar versado no documento (pré-contratual ou contratual).
_____________________________________
[1] Isso porque, da leitura do dispositivo legal, que conceitua consentimento como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, é possível concluir que não existe pela Lei Geral de Proteção de Dados a hipótese de consentimento tácito, já que ao controlador não seria possível comprovar diante do caso concreto, a inequivocidade do consentimento, quando por hipótese, dado de forma tácita.
[2] TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO. ANPD. Versão 1.0, ajn. 2022. p 07.
[3] Art. 7. O tratamento de dados pessoais somente poderá́ ser realizado nas seguintes hipótese:
II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
[4] TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO. ANPD. Versão 1.0, jan. 2022. p 06.
[5] TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO. ANPD. Versão 1.0, jan. 2022. p 06.
[6] Aqueles que exercem profissionalmente atividade econômica organizada para produção ou circulação de bens ou prestação de serviços é considerado empresário nos termos do artigo 966 da Lei 10.406/2002 (“Código Civil”). Sobre o empresário, recai a obrigação de registrar os atos societários de sua sociedade na Junta Comercial da unidade da Federação na qual está localizada sua sede, sendo a Junta Comercial, portanto, o órgão responsável pela execução do registro público mercantil, conforme disposto no artigo 967 do Código Civil.
As Juntas Comerciais são responsáveis pela inscrição das sociedades, bem como pelo registro e arquivamento do contrato social e de suas alterações posteriores. O propósito de tais registros é garantir a publicidade, autenticidade e segurança dos atos jurídicos, bem como a atualização cadastral da sociedade e a proteção de seu nome empresarial.
A Lei 8.934/1994, que dispõe sobre o registro público de empresas mercantis, estabelece em seu artigo 36 que os documentos com registro obrigatório na Junta Comercial deverão ser apresentados para arquivamento dentro do prazo de 30 (trinta) dias contados de sua assinatura, cuja data retroagirão os efeitos do arquivamento.
[7] Em um exercício pragmático, fico a imaginar que, em se conduzindo a esta interpretação, em breve teríamos que ter, em algumas administrações, áreas específicas para o “tarjamento” de contrato, dado o volume de contratos e dados coletados para estes fins.
Capacitação Online | 18 a 21 de fevereiro
RESUMO A Administração Pública tem dever legal e constitucional de inovação. Tal significa que adotar objetos, produtos, sistemas, técnicas ou tecnologias inovadoras é uma ação mandada para os agentes públicos,...
A inteligência artificial tem revolucionado diversas áreas, incluindo a contratação pública. Desde os primeiros avanços em redes neurais até a criação de textos e dados sintéticos, essa tecnologia oferece ferramentas...
Nos últimos anos, a exploração comercial de imagens de operações policiais e intervenções da Receita Federal, especialmente em locais como rodovias e aeroportos, tem sido um tema recorrente na mídia...
O TCU, em representação, deu ciência ao município de que “não atende a motivação necessária para justificar o afastamento da licitação eletrônica, preferencialmente adotada, consoante expresso no art. 17, § 2º, da Lei 14.133/2021,...
O Decreto nº 12.304, de 9 de dezembro de 2024, marca um avanço significativo no fortalecimento da integridade nas contratações públicas do país, ao regulamentar dispositivos importantes da Lei nº...
O TCU, em auditoria, apontou que “o uso da contratação integrada faculta à estatal fazer uso de estimativas expeditas e paramétricas, naquela parte do objeto que não esteja suficientemente detalhada...