Lei Geral de Proteção de Dados e contratações públicas

Informações são fundamentais para o pleno desenvolvimento do potencial humano em qualquer das áreas do conhecimento ou da vida pessoal. A facilidade que hoje se tem para obter informações é uma causa espetacular de grandes avanços pessoais e sociais e de otimização de tempo. Porém, a par das vantagens, essa facilitação e universalização de obtenção de informações tem nítidas consequências negativas também, que devem ser moduladas e controladas, de modo a garantir direitos fundamentais individuais, como a privacidade. Num mundo globalizado, conectado e digitalizado é preciso garantia mínima de um núcleo intangível de privacidade e proteção contra divulgação de dados ou informações pessoais que pode ser utilizada em prejuízo do seu titular.

Diversos dispositivos da Lei Lei nº 13.709/18 suscitam dos operadores do direito esforços hermenêuticos para identificar com precisão o alcance das normas no plano geral, e, em especial, como se pretende, no plano das licitações e contratações públicas.

O primeiro aspecto elementar a se destacar é que o objeto da lei são os dados pessoais de pessoa natural. Não contempla a norma a proteção de dados relativos a pessoas jurídicas, o que se subsume a regime jurídico diverso.

Os dados tutelados pela lei se distribuem em três espécies: o dado pessoal: informação relacionada a pessoa natural identificada ou identificável; o dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; e o dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Em abordagem introdutória, destaque-se, ainda, que tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O processo licitatório e de contratação pública implica tratamento de dados pessoais, na forma da lei, o que não significa que todas as disposições de proteção de dados nela previstas tenham aplicação pelo Poder Público quando de suas relações licitatórias e contratuais.

No processo da contratação pública há o tratamento — na acepção legal — de dados pessoais (da pessoa natural) e de dados relativos às pessoas jurídicas. Reitere-se que os dados relativos à pessoa jurídica não são alcançados pela LGPD, ao menos de modo direto. Pode-se, contudo, cogitar de tratamento de dados de pessoa jurídica que mediata ou indiretamente impliquem tratamento de dados de pessoa natural.

Dados como condição para participar de licitações
Como condição para participar de licitações e serem contratados, os interessados devem fornecer para a Administração Pública diversos dados pessoais, como por exemplo (1) aqueles inerentes a documentos de identificação; (2) referentes a participações societárias; (3) informações inseridas em contratos sociais; (4) endereços físicos e eletrônicos; (5) estado civil; (6) eventuais informações sobre cônjuges; (7) relações de parentesco; (8) número de telefone; (9) sanções administrativas que esteja cumprindo perante a Administração Pública; (10) informações sobre eventuais condenações no plano criminal ou por improbidade administrativa; dentre outros.

Essas informações constarão do processo administrativo e serão objeto de tratamento por parte da Administração Pública.

O tratamento dos dados pessoais relacionados aos processos de contratação presume-se válido, legítimo e, portanto, juridicamente adequado.

Primeiro porque ao participar de processo licitatório ou de contratação direta o titular dos dados manifesta seu inequívoco consentimento [1] para tratamento dos dados pessoais pela Administração Pública (artigo 7º, I).

Em segundo lugar, os dados pessoais exigidos nos processos licitatórios ou de contratação direta se destinam a cumprimento de obrigação legal pelo controlador (artigo 7º II).

Por terceiro, o tratamento dos dados, nesta hipótese em exame é "necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados" (art. 7º V).

Tem-se, então, que o tratamento de dados pessoais informados pelo titular no processo da contratação pública tem autorização legal prevista em, no mínimo, três dispositivos da LGPD.

Sob outro ângulo jurídico, a norma prevista no artigo 13 da Lei nº 14.133/21 estipula que "os atos praticados no processo licitatório são públicos, ressalvadas as hipóteses de informações cujo sigilo seja imprescindível à segurança da sociedade e do Estado, na forma da lei".

Essa disposição normativa, fundada no princípio da publicidade previsto no artigo 37 da Constituição implica que todos os dados pessoais informados pelos licitantes e pelos contratados também serão acessíveis e disponíveis ao público.

Não se trata de disposição normativa geral que possa ser afastada por norma especial, no caso a LGPD. A lei não determina, como regra, o sigilo de informações, mas tão somente o cuidado exigível com o tratamento de dados pessoais de modo a não violar direitos e garantias fundamentais do seu titular.

Em primeira conclusão, se pode deduzir que os dados pessoais que forem fornecidos pelos interessados em participar de licitações ou ser contratados pela Administração Pública poderão receber o tratamento legítimo por parte do controlador ou do operador [2], sem que se possa cogitar de violação da Lei.

Do uso compartilhado de dados pessoais pelo Poder Público
Uso compartilhado de dado é "a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados" [3].

O uso compartilhado de dados pessoais pode ocorrer quando do cadastramento de sanções aplicadas pela Administração Pública nos sistemas de cadastro legalmente instituídos, como o Ceis (Cadastro de Empresas Inidôneas e Suspensas), o CNEP (Cadastro Nacional de Empresas Punidas); ou quando do cadastramento em sistemas de registro cadastral como o Sicaf (Sistema de Cadastramento Unificado de Fornecedores), ou sistemas similares.

A divulgação ou comunicação da aplicação de sanções ou de informações cadastrais, ainda que contenham dados pessoais é legítima e regular, desde que feitas na forma da lei.

Irregular seria, por exemplo, o compartilhamento pela Administração, de documento ou informação que contivesse dados pessoais, eventualmente até sensíveis, sem que isto ocorra para o cumprimento de uma finalidade de interesse público, amparada em lei.

Condutas vedadas à Administração Pública
Antes dito que todos os dados pessoais informados pelos titulares em processos licitatórios e de contratação pública podem ser objeto do tratamento legítimo de que trata a LGPD.

A legitimidade do tratamento dos dados pessoais, nesta hipótese, pressupõe a legitimidade das informações e documentos contendo dados pessoais que serão exigidos como condição para participar de licitações ou de ser contratado pela Administração Pública.

Nesta medida, não devem ser exigidas informações ou documentos que contenham dados pessoais quando referidas informações ou documentos não forem indispensáveis à satisfação de algum imperativo de interesse público relacionado à licitação ou ao contrato.

Assim, documentos e informações somente podem ser exigidos, se contiverem dados pessoais, se, de modo justificado forem absolutamente necessários em relação ao objeto da licitação ou do contrato. Em sentido contrário, caso um documento ou informação que contenham dados pessoais forem dispensáveis por não se mostrarem necessários à prova de situação de fato relacionada com o objeto da contratação, não podem ser exigidos.

É vedada também a divulgação de documentos e informações que contenham dados pessoais fora dos limites da lei.

Vedado também o compartilhamento de informações de licitantes e contratados que contenham dados pessoais fora dos limites de lei.

Deveres da Administração Pública
Primeiro dever: instituir processos e sistemas de capacitação de agentes públicos para operar as normas previstas na LGPD quando das licitações e contratações.

Segundo dever: elaborar normas internas e manuais versando sobre a aplicação da LGPD em processos licitatórios e contratações públicas.

Terceiro dever: no planejamento das licitações e das contratações diretas, avaliar o conteúdo de documentos e informações que serão exigidos como condição para participar do certame ou ser contratado — no que diz respeito a dados pessoais que serão apresentados.

Quarto dever: avaliar a efetiva necessidade de obter, pela via indireta, dados pessoais de interessados em participar de licitações ou de serem contratados.

Quinto dever: deixar de exigir documentos que não sejam de apresentação obrigatória ou necessária, a depender do objeto da contratação, que contenham dados pessoais.

Sexto dever: justificar a exigência de documentos que não sejam de apresentação obrigatória por força de lei, em licitações ou quando da contratação direta, caso contenham dados pessoais.

Sétimo dever: implementar sistema de gestão dos riscos de tratamento de dados pessoais no processo da contratação pública.

Oitavo dever: implementar regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Da gestão dos riscos e responsabilidade pelo tratamento de dados
O Gerenciamento de Riscos é um processo que consiste nas seguintes atividades: 1 – identificação dos principais riscos a que está sujeita a conduta administrativa; 2 – avaliação dos riscos identificados, consistindo da mensuração da probabilidade de ocorrência e do impacto de cada risco; 3 – tratamento dos riscos considerados inaceitáveis por meio da definição das ações para reduzir a probabilidade de ocorrência dos eventos ou suas consequências; 4 – para os riscos que persistirem inaceitáveis após o tratamento, definição das ações de contingência para o caso de os eventos correspondentes aos riscos se concretizarem; e 5 – definição dos responsáveis pelas ações de tratamento dos riscos e das ações de contingência.

No que tange ao tratamento de dados pessoais, a Administração Pública deve identificar todos os riscos envolvidos no tratamento de dados pessoais quando da licitação e da contratação, avalia-los e trata-los de modo a evitar o cometimento de seu uso abusivo ou ilegal, e, por consequência, a responsabilização pessoal ou institucional.

Há um dever jurídico genérico previsto no artigo 46 da LGPD: "os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito". Dever jurídico, quando descumprido, pode gerar a responsabilidade por ação ou por omissão, estatal ou pessoal.

Dever de governança em relação aos dados utilizados no processo
Governança nas contratações públicas é o "conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão das contratações públicas, visando a agregar valor ao negócio do órgão ou entidade, e contribuir para o alcance de seus objetivos, com riscos aceitáveis" [4].

Nos termos do disposto no artigo 11, parágrafo único da Lei nº 14.133/21, a alta administração de órgão ou entidade pública é responsável pela governança dos contratos celebrados.

Dentre as atribuições de liderança (edição de normas), estratégia (planejamento) e controle (fiscalização) estão as de monitorar e direcionar as atividades realizadas pelos contratados.

Para o cumprimento de seus desideratos legais e constitucionais a Administração Pública, inevitavelmente, contrata bens, serviços e obras com particulares. Inerente ao objeto destas contratações pode estar o tratamento, direto ou indireto, de dados pessoais de terceiros. Nesta linha, se pode afirmar que inúmeros contratos celebrados pela Administração implicarão a utilização (ou o mero acesso) de dados pessoais tutelados pela LGPD.

O tratamento ilegal e ilegítimo de dados pessoais a que tenha acesso um contratado da Administração Pública poderá implicar a responsabilidade objetiva do contratante público — nos termos do disposto no artigo 37, § 6º da Constituição —, a depender dos contornos da situação fática em concreto.

Nesta medida, constitui elemento de governança, a conferir segurança jurídica para contratante, contratados e terceiros interessados na proteção de seus dados pessoais, a implementação de mecanismos jurídicos adequados e destinados a prevenir riscos de uso indevido de informações.

Normas administrativas de cunho geral devem ser editadas contemplando limites e possibilidades para o uso de dados pessoais a que tenham acesso os contratados da Administração. Fundamental também é que os instrumentos convocatórios e os instrumentos contratuais contenham regras precisas e suficientes para delimitar a conduta dos contratados. Indispensável também a fixação de tipos penais administrativos especificando as infrações decorrentes do uso irregular de dados pessoais e as sanções correlatas.

A existência efetiva, eficaz e eficiente de estrutura administrativa e normativa de governança dos contratos públicos pode — ao menos em tese — descaracterizar o nexo causal no plano da responsabilidade objetiva pelo uso indevido de dados pessoais por contratados da Administração Pública. E, assim, afastar a responsabilidade estatal — ao menos em tese, repita-se.