A LGPD e seu impacto nos contratos administrativos

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), popularmente conhecida como LGPD, entrou em vigência em setembro de 2020. O fascínio de trabalhar com contratações públicas repousa, muitas vezes, no conhecimento multidisciplinar exigido a todos os agentes de compras. Recentemente, vivenciamos com inovações normativas diárias em virtude de uma pandemia, a qual […]

Criado em 23 jun 21

Blog

Por Dr. Luiz Eduardo Zanoto

Blog
A LGPD e seu impacto nos contratos administrativos

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), popularmente conhecida como LGPD, entrou em vigência em setembro de 2020.

O fascínio de trabalhar com contratações públicas repousa, muitas vezes, no conhecimento multidisciplinar exigido a todos os agentes de compras. Recentemente, vivenciamos com inovações normativas diárias em virtude de uma pandemia, a qual exigiu a alteração de diversas rotinas e a adaptação de procedimentos, em um contexto de distanciamento social. Mesmo assim, não é exagero afirmar que o maior impacto no cotidiano das pessoas jurídicas – e dos entes públicos, por óbvio – foi trazido pela Lei nº 13.709/2018, a denominada Lei Geral de Proteção de Dados Pessoais (LGPD). E esse desconforto é gerado pela necessidade de comprovação do adequado tratamento de informações pessoais manejadas pelos entes públicos, inerentes a qualquer atividade administrativa.

O assunto exige tamanha premência que, no exato momento em que escrevo estas linhas, uma concessionária de energia elétrica disponibiliza dados pessoais de seus consumidores para uma empresa contratada, com sede em Estado da Federação distinto ao da referida contratante, imprescindíveis para a prestação do serviço contratado. A empresa privada, no caso, é responsável pela leitura dos medidores de energia elétrica e emissão instantânea da fatura para os consumidores residenciais daquela região. Esse pequeno banco de dados contem, no mínimo: nome completo do titular da unidade consumidora, CPF, endereço, consumo mensal e informações para contato direto. Isto é, trata-se de um banco de dados fidedigno e, por isso mesmo, valioso.

Nesse contexto, a LGPD admite o tratamento de dados pessoais, conforme previsão constante em seu art. 7º, não havendo qualquer infringência à nova norma, em princípio, em relação a esse repasse de informações. Todavia, imaginemos que, nesse universo de consumidores, há uma certa frequência de solicitações de troca de titularidade. Para essa alteração de titularidade, como regra, as distribuidoras, com base nas disposições da ANEEL, exigem comprovação da posse ou da propriedade do imóvel. Assim, é muito provável que a pessoa que solicita uma troca de titularidade da unidade consumidora de energia elétrica está em mudança para um novo imóvel. Consequentemente, se estamos tratando de consumidores que estão potencialmente trocando de residência, é também muito provável que essas pessoas necessitam realizar algum reparo no imóvel de destino, ou podem ter interesse em comprar móveis novos, ou em investir em acabamentos e decoração. Logo, nesse cenário, há uma clara congruência de interesses: por um lado, consumidores em busca de fornecedores para atender a uma finalidade específica, e fornecedores em busca de potenciais clientes para oferecerem seus produtos ou serviços.

É perfeitamente possível visualizar o quão vantajoso é para um fornecedor de móveis planejados, por exemplo, direcionar a publicidade de seus serviços para pessoas que recém trocaram de residência. E isso pode ser feito, nesse nosso exemplo, com a compra de dados das unidades consumidoras de energia elétrica que tiveram alterada sua titularidade, em determinado período de tempo. Basta saber quem é a empresa responsável pelo serviço da leitura de medidores e fazer a oferta. E a LGPD, veio, justamente, para regular esse tipo de situação, uma vez que o “dono” do dado, ou seja, aquele ao qual o dado se refere, na quase totalidade dos casos, desconhece eventual comercialização de suas informações pessoais.

Assim, temos o seguinte ponto de atenção, permanecendo na hipótese acima exposta: uma empresa, que trata dados pessoais de terceiros em decorrência de uma relação com a Administração Pública, obtidos de forma legítima, somente pode repassar esses dados a outros interessados, para fins econômicos, se atendidas as exigências da LGPD, como, por exemplo, com a formalização inequívoca do consentimento do titular, e para uma finalidade específica.

A LGPD no universo das contratações públicas

Então, percebe-se que, no universo das contratações públicas, começa a se mostrar relevante o controle, pela Administração, da forma como os dados pessoais disponibilizados a terceiros são tratados por seus fornecedores. Afinal, como já mencionado acima, é lícito à Administração tratar dados pessoais, nas hipóteses do art. 7º da LGPD, dentre as quais podemos destacar: para o cumprimento de obrigação legal ou regulatória; para execução de políticas públicas; e, para a celebração ou execução de contratos. De um modo geral, o tratamento de dados pessoais, pela Administração, é vinculado a atividades específicas, e, uma vez encerrada a necessidade de tratamento desses dados, estes devem ser descartados ou anonimizados, respeitando os princípios gerais da proteção de dados. E não esqueçamos que o fornecedor contratado pela Administração também é considerado como “agente público”, durante a prestação de serviços.

Nesse aspecto, a transferência de dados pessoais constantes na base de dados da Administração somente é admitida a terceiros no caso de execução descentralizada de atividade pública, mantendo-se a finalidade específica e determinada do banco de dados, consoante parágrafo primeiro do art. 26 da LGPD, o qual vale transcrever:

Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.

§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ;

II - (VETADO);

III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.

IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;

V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.  

Logo, quem contrata com a Administração deve estar ciente que os dados pessoais disponibilizados pelo ente público serão utilizados exclusivamente para os fins definidos no contrato administrativo celebrado. E isso será devidamente fiscalizado pela Administração, cabendo ao fornecedor provar o correto tratamento de dados.

Desde logo, portanto, a redação dos contratos administrativos merece cuidados com a inserção de obrigações específicas para respeito e atenção ao disposto na LGPD. Mostra-se relevante explicitar ao contratado os cuidados que a Administração exige no tratamento dos dados pessoais disponibilizados, inclusive quanto à sua vedação para finalidades diversas, especialmente se envolverem proveitos econômicos a terceiros. Ao final do contrato, deverá ser comprovado à Administração como se dará a eliminação ou anonimização dos dados pessoais que receberam tratamento durante a realização do escopo. Ainda, a cláusula de sanções administrativas também deverá estabelecer as penas para o descumprimento específico dessas obrigações.

Dessa forma, caberá à Administração certificar-se de que o fornecedor contratado está apto a tratar dados pessoais de terceiros, através da comprovação da implementação das rotinas pertinentes à LGPD, como a definição das funções dos agentes de tratamento (operador e controlador) e do encarregado, e a manualização dos fluxos pertinentes à entrada e saída desses dados que podem ser tratados. Por seu turno, o fornecedor deverá comprovar a implementação dessas medidas, durante toda a vigência contratual.

Uma dúvida que não pode ser ignorada estabelece-se acerca da exigência desses requisitos de cumprimento da LGPD na fase de habilitação das licitações. Num primeiro momento, vemos que o art. 40 da Lei nº 8.666/93, ao tratar de qualificação técnica, indica que as exigências devem ser limitadas ao previsto em seus incisos. Contudo, o seu inciso IV abarca a possibilidade de estabelecer requisitos específicos, desde que objetivamente descritos no instrumento convocatório, eis que o dispositivo da Lei de Licitações trata da “prova de atendimento de requisitos previstos em lei especial, quando for o caso”. Tal exigência permanece no art. 67, IV, da Lei nº 14.133/2021.

Luiz Eduardo Zanoto

  • Advogado OAB/SC 53.405-B.
  • Especialista em Direito do Estado e MBA em Planejamento Tributário.
  • Vencedor do Concurso de Palestrantes do Grupo Negócios Público.
Compartilhe
WhatsApp Linkedin Facebook Twitter
Esse site usa cookies
Ver termos
plugins premium WordPress