A LGPD e seu impacto nos contratos administrativos
- 14 de janeiro de 2021
- Posted by: Inove
- Category: Conteúdos
O fascínio de trabalhar com contratações públicas repousa, muitas vezes, no conhecimento multidisciplinar exigido a todos os agentes de compras. E não estamos tratando somente de um ano com eleições municipais, o qual, por si, já possui algumas regras peculiares. Vivemos um 2020 com inovações normativas diárias em virtude de uma pandemia, a qual exigiu a alteração de diversas rotinas e a adaptação de procedimentos, em um contexto de distanciamento social. Mesmo assim, não é exagero afirmar que o maior impacto no cotidiano das pessoas jurídicas – e dos entes públicos, por óbvio – foi trazido pela confirmação da vigência da Lei nº 13.709/2018, a denominada Lei Geral de Proteção de Dados Pessoais (LGPD). E esse desconforto é gerado pela necessidade de comprovação do adequado tratamento de informações pessoais manejadas pelos entes públicos, inerentes a qualquer atividade administrativa.
O assunto é tão inexorável que, no exato momento em que escrevo estas linhas, uma concessionária de energia elétrica disponibiliza dados pessoais de seus consumidores para uma empresa contratada, com sede em Estado da Federação distinto ao da referida contratante, imprescindíveis para a prestação do serviço contratado. A empresa privada, no caso, é responsável pela leitura dos medidores de energia elétrica e emissão instantânea da fatura para os consumidores residenciais daquela região. Esse pequeno banco de dados contem, no mínimo: nome completo do titular da unidade consumidora, CPF, endereço, consumo mensal e informações para contato direto. Isto é, trata-se de um banco de dados fidedigno e, por isso mesmo, valioso.
Nesse contexto, a LGPD admite o tratamento de dados pessoais, conforme previsão constante em seu art. 7º, não havendo qualquer infringência à nova norma, em princípio, em relação a esse repasse de informações. Todavia, imaginemos que, nesse universo de consumidores, há uma certa frequência de solicitações de troca de titularidade. Para essa alteração de titularidade, como regra, as distribuidoras, com base nas disposições da ANEEL, exigem comprovação da posse ou da propriedade do imóvel. Assim, é muito provável que a pessoa que solicita uma troca de titularidade da unidade consumidora de energia elétrica está em mudança para um novo imóvel. Consequentemente, se estamos tratando de consumidores que estão potencialmente trocando de residência, é também muito provável que essas pessoas necessitam realizar algum reparo no imóvel de destino, ou podem ter interesse em comprar móveis novos, ou em investir em acabamentos e decoração. Logo, nesse cenário, há uma clara congruência de interesses: por um lado, consumidores em busca de fornecedores para atender a uma finalidade específica, e fornecedores em busca de potenciais clientes para oferecerem seus produtos ou serviços.
É perfeitamente possível visualizar o quão vantajoso é para um fornecedor de móveis planejados, por exemplo, direcionar a publicidade de seus serviços para pessoas que recém trocaram de residência. E isso pode ser feito, nesse nosso exemplo, com a compra de dados das unidades consumidoras de energia elétrica que tiveram alterada sua titularidade, em determinado período de tempo. Basta saber quem é a empresa responsável pelo serviço da leitura de medidores e fazer a oferta. E a LGPD, veio, justamente, para regular esse tipo de situação, uma vez que o “dono” do dado, ou seja, aquele ao qual o dado se refere, na quase totalidade dos casos, desconhece eventual comercialização de suas informações pessoais.
Assim, temos o seguinte ponto de atenção, permanecendo na hipótese acima exposta: uma empresa, que trata dados pessoais de terceiros em decorrência de uma relação com a Administração Pública, obtidos de forma legítima, somente pode repassar esses dados a outros interessados, para fins econômicos, se atendidas as exigências da LGPD, como, por exemplo, com a formalização inequívoca do consentimento do titular, e para uma finalidade específica.
Então, percebe-se que, no universo das contratações públicas, começa a se mostrar relevante o controle, pela Administração, da forma como os dados pessoais disponibilizados a terceiros são tratados por seus fornecedores. Afinal, como já mencionado acima, é lícito à Administração tratar dados pessoais, nas hipóteses do art. 7º da LGPD, dentre as quais podemos destacar: para o cumprimento de obrigação legal ou regulatória; para execução de políticas públicas; e, para a celebração ou execução de contratos. De um modo geral, o tratamento de dados pessoais, pela Administração, é vinculado a atividades específicas, e, uma vez encerrada a necessidade de tratamento desses dados, estes devem ser descartados ou anonimizados, respeitando os princípios gerais da proteção de dados.
Nesse aspecto, a transferência de dados pessoais constantes na base de dados da Administração somente é admitida a terceiros no caso de execução descentralizada de atividade pública, mantendo-se a finalidade específica e determinada do banco de dados, consoante parágrafo primeiro do art. 26 da LGPD, o qual vale transcrever:
“Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.
§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ;
II – (VETADO);
III – nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.”
Logo, cabe à Administração, na contratação de parceiros, assegurar-se de que os dados pessoais disponibilizados aos seus fornecedores ou prestadores de serviços serão utilizados exclusivamente para os fins definidos no contrato administrativo celebrado. E isso será uma tarefa delegada àquele servidor mencionado no art. 67 da Lei de Licitações, que é “especialmente designado” para o dever de acompanhar a execução dos contratos.
Desde logo, portanto, a redação dos contratos administrativos merece cuidados com a inserção de obrigações específicas para respeito e atenção ao disposto na LGPD. Mostra-se relevante explicitar ao contratado os cuidados que a Administração exige no tratamento dos dados pessoais disponibilizados, inclusive quanto à sua vedação para finalidades diversas, especialmente se envolverem proveitos econômicos a terceiros. Ao final do contrato, deverá ser comprovado à Administração como se dará a eliminação ou anonimização dos dados pessoais que receberam tratamento durante a realização do escopo. Ainda, a cláusula de sanções administrativas também deverá estabelecer as penas para o descumprimento específico dessas obrigações.
Dessa forma, caberá à Administração certificar-se de que o fornecedor contratado está apto a tratar dados pessoais de terceiros, através da comprovação da implementação das rotinas pertinentes à LGPD, como a definição das funções dos agentes de tratamento (operador e controlador) e do encarregado, e a manualização dos fluxos pertinentes à entrada e saída desses dados que podem ser tratados.
Uma dúvida que não pode ser ignorada estabelece-se acerca da exigência desses requisitos de cumprimento da LGPD na fase de habilitação das licitações. Num primeiro momento, vemos que o art. 40 da Lei nº 8.666/93, ao tratar de qualificação técnica, indica que as exigências devem ser limitadas ao previsto em seus incisos. Contudo, o seu inciso IV abarca a possibilidade de estabelecer requisitos específicos, desde que objetivamente descritos no instrumento convocatório, eis que o dispositivo da Lei de Licitações trata da “prova de atendimento de requisitos previstos em lei especial, quando for o caso”.
Nesse cenário, seria possível cogitar que, se o objeto que está sendo licitado exige o tratamento de dados pessoais, o cumprimento da LGPD acaba se tornando um requisito para a contratação. No entanto, não há uma providência objetiva a ser atendida, por parte do fornecedor ou do licitante, que possa atestar uma fiel aderência à nova Lei. Criar uma obrigação dessa monta seria o mesmo que exigir comprovação de atendimento ao Código Civil, por exemplo. Portanto, na ausência de norma superveniente – inclusive a ser editada pela Autoridade Nacional de Proteção de Dados (ANPD), conforme o caso – não cabe ao ente licitador criar requisito não previsto na legislação, não devendo ser criada exigência editalícia específica nesse tema, na habilitação. É imperioso não confundir a impossibilidade de criar um item habilitatório objetivo com a obrigatoriedade de estabelecer a necessidade do cumprimento das novas regras legais. A exigência de aderência à LGPD deve ser prevista no contrato, todavia, até o momento, não há documento que garanta, como presunção, a aderência à LGPD, razão pela qual é um tema que deve ser afastado da fase documental do certame.
Dessa forma, nessas breves linhas, a intenção é lançar um olhar sobre uma nova preocupação aos gestores e fiscais e contratos, decorrentes de uma recente e complexa lei que interfere diretamente em diversos serviços prestados pela Administração. O desafio, pois, resta em incorporar no radar dos entes públicos essa novidade, ou seja, prever mais um tópico na fase de planejamento da contratação, acerca da necessidade de adoção de medidas para a proteção dos dados pessoais disponibilizados aos futuros contratados, as quais deverão estar explícitas no contrato administrativo e, obviamente, fazer parte da rotina de fiscalização contratual.
Luiz Eduardo Zanoto é Advogado, Especialista em Direito do Estado e MBA em Planejamento Tributário, pregoeiro, leiloeiro administrativo, gestor e fiscal de contratos, instrutor e palestrante.