A LGPD nas licitações e contratações públicas
- 12 de agosto de 2021
- Posted by: Inove
- Category: Conteúdos
A Nova Lei de Licitações n.º 14.133/21 (NLLC) consagrou diversas tendências em matéria de licitações e contratações públicas, previstas principalmente na Lei 10.520/2002 (Lei de Pregão) e na Lei 12.462/2011 (Regime Diferenciado de Contratações Públicas – RDC), como é o caso da intensificação do uso da tecnologia.
É nesse contexto que a NLLC prevê no art. 174 e seguintes a criação do Portal Nacional de Contratações Públicas (PNCP)[1], sitio eletrônico oficial que reunirá as informações de todas as licitações e contratações públicas regidas pela Lei n.º 14.133/21, com o objetivo de conferir maior publicidade e transparência aos processos de contratação.
O PNCP adotará o regime de dados abertos, observará as exigências da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) e será gerido por um Comitê interfederativo, composto por três representantes da União indicados pelo Presidente da República, dois representantes dos Estados e do Distrito Federal indicados pelo Conselho Nacional de Secretários de Estado da Administração e dois representantes dos Municípios indicados pela Confederação Nacional de Municípios (art. 174, §1º).
Para além da simples comunicação de determinados atos previstos na lei, como os planos de contratação anuais, os catálogos eletrônicos de padronização e as notas fiscais eletrônicas, o PNCP integrará diferentes sistemas, a saber: o sistema de registro cadastral unificado, o sistema de planejamento e gerenciamento de contratações, o cadastro de cumprimento de obrigações, o acesso ao Cadastro Nacional de Empresas Inidôneas e Suspensas (Ceis) e ao Cadastro Nacional de Empresas Punidas (Cnep) e o sistema de gestão compartilhada com a sociedade de informações referentes à execução dos contratos (Art. 174, §3º). Todos, de alguma forma, acabam tratando dados que identificam ou possam identificar pessoas físicas, na acepção da Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou simplesmente “LGPD”).
O sucesso do PNCP está diretamente relacionado à implementação de recursos que permitam a efetiva divulgação e pesquisa de informações em ambiente virtual com a LGPD, cujas normas sancionatórias entrarão em vigor no próximo dia 1º de agosto[2].
Como entidade que detém a maior quantidade de dados pessoais, o Poder Público é alcançado pela LGPD, exceto com relação aos dados utilizados em atividades que envolvam segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4°, III, ‘a’ a ‘d’).
Nesse sentido, a LGPD prevê que o “tratamento de dados pessoais pelas pessoas jurídicas de direito público (…) deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.
A reflexão sobre a adequação dos entes públicos às normas de proteção de dados é necessária, considerando que há conceitos que dependem de regulamentação pela Agência Nacional de Proteção de Dados (ANPD)[3], que é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
A ausência de diretrizes objetivas por parte da ANPD pode dar margem ao tratamento indevido de dados pessoais pelos entes públicos, que têm como desafio conciliar os fundamentos que lhes são próprios, como as normas relativas à Lei de Acesso à Informação e o princípio da publicidade, com o respeito aos direitos tutelados pela LGPD, como os da privacidade, da inviolabilidade da intimidade, da honra e da imagem, que também contam com proteção constitucional (art. 5, X da CF e art. 2º, I e IV da LGPD).
Para orientar o gestor público, a LGPD dispõe de princípios e regras gerais e de capítulo próprio (IV) disciplinando mecanismos e deveres específicos da Administração Pública na condição de agente de tratamento de dados.
Nesse passo, a LGPD impõe a indicação em veículos de fácil acesso, de um encarregado ou autoridade e as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades (art. 23).
Quanto ao compartilhamento de dados entre os entes públicos, a LGPD alerta para a observância da atribuição legal pelos órgãos públicos e para que os dados sejam mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à estrita execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
De outro lado, o ente público não pode transferir a entidades privadas dados constantes de bases de dados a que tenha acesso, exceto nas seguintes hipóteses: (i) nos casos de execução descentralizada de atividade pública que exija a transferência, (ii) nos casos em que os dados forem acessíveis publicamente, (iii) quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, ou (iv) na hipótese da transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados[4].
Em relação às licitações e contratações públicas, a leitura conjunta da Nova Lei de Licitações com a LGPD aponta para o dever específico da Administração Pública de avaliar o conteúdo de documentos e informações que contenham dados pessoais que serão exigidos como condição para participar do certame ou ser contratado e de justificar a exigência de documentos que não sejam de apresentação obrigatória por força de Lei.
No caso de infração das normas relativas a proteção de dados pessoais por órgãos públicos, a ANPD[5] poderá instaurar processo administrativo e encaminhar informe com as medidas cabíveis para fazer cessar a violação (arts. 31 e 32 da LGPD).
E embora não esteja sujeito às sanções administrativas previstas nos incisos II e III do Art. 52 da LGPD (multa simples e multa diária), a Administração Pública poderá sofrer as penalidades de advertência, com indicação de prazo para adoção de medidas corretivas, de publicização da infração, de bloqueio dos dados pessoais a que se refere a infração até a sua regularização, e eliminação dos dados pessoais a que se refere a infração.
Além disso, por expressa remissão no §3º do art. 52 da LGPD, ao agente público poderão ser impostas as sanções previstas na Lei nº 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público Federal), na Lei nº 8.429, de 2 de junho de 1992 (Lei de Improbidade Administrativa) e na Lei de Acesso à Informação.
Neste momento, a adequação do Poder Público à LGPD em licitações e contratações públicas e, nesse passo, o bom uso dos dados que serão acoplados ao PNCP, depende essencialmente de sopesar se e quando a integração de dados pessoais é realmente necessária para a finalidade de conferir mais transparência às contratações e quais desses dados pessoais são realmente necessários e adequados a tanto.
De outro lado, é fundamental o papel da ANPD por meio de ações educacionais relativas à nova cultura de proteção de dados, de orientação e conscientização sobre os processos de conformidade com a LGPD, antes mesmo de assumir como prioridade as ações fiscalizatórias e punitivas com a entrada em vigor das penalidades previstas na lei.
Elaine Perez é advogada sócia da Huck Otranto Camargo. Especialista em Direito Tributário pela PUC/SP e em Direito Empresarial pelo IBMEC/DF. Integrante do Grupo de Pesquisa empírica sobre improbidade administrativa do Instituto de Direito Público de Brasília (IDP). Coautora do livro “Direito Tributário nos Tribunais Superiores”, Estudos em Homenagem à Ministra Regina Helena da Costa”, lançado em 2021 pela Editora Almedina.
Referências:
[1] https://direitoadm.com.br/pncp-portal-nacional-de-contratacoes-publicas/
[2] Os artigos 52, 53 e 54 da LGPD, que tratam das sanções administrativas da lei, entrarão em 1º de agosto de 2021, na forma da Lei nº 14.010/2020.
[3] No dia 09 de julho de 2021, foi publicada a Portaria ANPD nº 16 que dispõe sobre o processo de regulamentação no âmbito da Autoridade https://www.in.gov.br/en/web/dou/-/portaria-n-16-de-8-de-julho-de-2021-330970241
[4] Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto: I – nas hipóteses de dispensa de consentimento previstas nesta Lei; II – nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; ou III – nas exceções constantes do § 1º do art. 26 desta Lei.
[5] https://www.gov.br/casacivil/pt-br/assuntos/noticias/2020/novembro/201103-faq-anpd-2.pdf