Consultor Jurídico

Dados pessoais nas contratações públicas e a fase preparatória

imprimir

A Nova Lei de Licitação e Contratos joga luz sobre a fase preparatória reconhecendo-a, e diferente não pode ser, como decisiva para o sucesso ou fracasso da contratação pública.

Spacca
No procedimento que pode desaguar na divulgação do edital e seus anexos, destaca-se a necessidade de se apurar se a contratação é mesmo o caminho que conduz ao atendimento do interesse público e, em caso afirmativo, de se promover o levantamento da melhor solução entre as possíveis. A título de exemplo, a demanda de imóvel para sediar certo órgão pode ser atendida (em tese) por meio de desapropriação ou contratação via locação ou aquisição. Cumpre identificar a partir das circunstâncias do caso em exame qual a melhor alternativa. Não por outra razão, dita o artigo 44 da Lei 14.133/21 que:

"Quando houver a possibilidade de compra ou de locação de bens, o estudo técnico preliminar deverá considerar os custos e os benefícios de cada opção, com indicação da alternativa mais vantajosa."

Da lição apresentada por Ronny Torres [1], destacamos: "em suma a função do ETP é gerar reflexão prévia à definição do objeto licitatório, notadamente em relação às soluções disponíveis e questões técnicas pertinentes¸ para fins de melhor atendimento à pretensão contratual".

O estudo técnico preliminar, se apontar que o percurso ótimo é a contratação pública, influenciará a elaboração do termo de referência, documento que revelará as especificidades do objeto perseguido.

Por outro lado, a publicação da Lei Geral de Proteção de Dados (LGPD) [2] significou a aderência do Brasil à normatização do tema de proteção de dados pessoais, já existente em mais de 150 países, concentrando em um normativo direitos e deveres para que o uso dos dados pessoais não seja inadequado, além de apresentar sanções a infratores e poderes da autoridade nacional.

Qual o ponto de interseção entre as leis de proteção de dados pessoais e de licitações e contratos? Embora os dados das pessoas jurídicas, personagens geralmente contratados pela administração pública, estejam à margem dos tentáculos da Lei Geral de Proteção de Dados, as contratações públicas podem demandar, direta ou indiretamente, o tratamento de dados pessoais. De norte a sul celebram-se contratos de prestação continuada, um dos exemplos em que o cumprimento do objeto da licitação envolverá o tratamento de dados pessoais, tornando imperioso pensar em como proteger a administração para que o prestador de serviços cumpra a LGPD.

A proposta desse artigo é apresentar os cuidados mínimos para o respeito à LGPD, considerando as restrições de escolha de fornecedor impostas numa contratação pública, diferente do que ocorre na iniciativa privada. Serão destacados, assim, os pontos de atenção para que a escolha do fornecedor e a execução contratual se deem em conformidade e gerem menos riscos para a administração.

Lembremos que dados pessoais estão presentes em mais variados ambientes: sistemas informatizados sobre servidores e cidadãos, dados coletados para acesso a prédios públicos, formulários preenchidos, e-mails, e arquivos em meios físicos dos mais variáveis [3].

A administração, quando da contratação de serviços terceirizados, por exemplo, recebe dos contratados informações sobre esses empregados para fins de controle, de acesso às instalações, de fiscalização. Nesse sentido, apontam Greycielle Amaral; Maria Fernanda Pires Carvalho Pereira e Carolina F. Dolabela Chagas in Cristiana Fortini; Flaviana Vieira Paim [4], a disposição da Lei nº 14.116/220:

Divulgar o nome do empregado terceirizado que exerce atividade pública de forma exclusiva e contínua, com o respectivo cargo ou atividade exercida, lotação e local do seu exercício teria a finalidade de cumprir a Lei de Acesso à Informação, bem como, no caso da administração federal, atender o disposto na Lei nº 14.116/2020.

Essa é uma forma de controle/participação, que caracteriza o paradigma estatal democrático.

Sabe-se que o Cadastro de Pessoa Física (CPF) é um documento que melhor identifica o cidadão atualmente no Brasil, pois apenas o nome pode conduzir a homonímias. Contudo, o próprio governo federal está adotando mecanismos para cumprir a finalidade de transparência com o cuidado de evitar a divulgação do número inteiro do CPF, tendo em vista o potencial prejudicial que pode ocasionar por meio de fraudes e uso indevido.

Dois conceitos são importantes quando se fala em proteção de dados. O primeiro é o privacy by design: significa que a proteção de dados deve ser pensada ao longo de todo o processo, em cada etapa, desde a coleta até sua eliminação. Ao se definir os cuidados que devem ser observados na coleta os dados exigidos para assinatura de um contrato, por exemplo, também devem ser identificados os cuidados para acesso a terceiros, como órgãos de controle e cidadãos e a forma de exclusão dos dados. O outro conceito é o privacy by default: proteção de segurança concebida durante o desenvolvimento, de forma automática, ou seja, privacidade por padrão, devendo ser verificado a cada novo processo, nova tarefa, novo modelo de documento, se o mínimo necessário em termos de proteção de dados está sendo observado, tais como finalidade específica e legítima para o tratamento de dados pessoais.

O ETP, ao identificar a solução, também deve atentar para a questão do tratamento dos dados pessoais inclusive avaliando alternativas que possam minimizar riscos a isso relacionados.

Quando se estuda a descrição da necessidade, os requisitos da contratação e o levantamento de soluções, a primeira pergunta a se fazer é se, em relação aos dados pessoais, há possibilidade de utilização da capacidade institucional própria ou se será necessária a contratação de prestador de serviços externo. Dentre as soluções possíveis pode-se exemplificar:

  • Não há nenhuma necessidade de tratamento de dados (exemplo: fornecimento de material de expediente).
  • Não há internamente nenhuma possibilidade de realização dos tratamentos (exemplo: obtenção de certificado digital para servidores).
  • Parte do tratamento pode ser realizado internamente, por pessoal próprio, efetivo ou mão-de-obra com dedicação exclusiva (exemplo: coleta de dados) mas parte não pode (exemplo: processamento, armazenamento).
  • É possível parceria com órgão público para parte do tratamento (exemplo: Sistema Eletrônico de Informações – Sei).
  • Parte do tratamento deve ser realizado por estatal que é contratada por dispensa de licitação (exemplo: Serpro).

Em relação aos tratamentos realizados domesticamente, ou seja, por servidores e empregados públicos, os cuidados a serem observados devem ser trabalhados juntamente com os demais processos de implementação da LGPD dentro do órgão ou entidade. Porém, quando o caso é de tratamento externo, quais os cuidados a serem adotados pela administração pública? O que exigir do contratado? Como certificar que os dados colocados nas mãos dele serão tratados de forma adequada? A resposta não é fácil, mas o que será apresentado se propõe a trazer direcionadores.

O Gerenciamento de Risco de Terceiros (GRT) ou Third Party Risk Management (TPRM), é o processo de identificação e mitigação de riscos associados à terceiros, fornecedores, parceiros e prestadores de serviço [5]. Na iniciativa privada [6] o GRT vem ganhando importância, assim como compliance. Um exemplo de processo completo pode ser demonstrado a seguir:

Reprodução
Quadro1: Jornada do terceiro: caminho no curso do contrato – Elaboração: EY [7]

 

Porém, na administração pública essa realidade é bastante distante. Basta lembrar que não há a liberdade de contratação.

Desta forma, foi adaptada a técnica acima apresentada ao modelo de contratação da administração pública objetivando o atendimento de precauções em todas as fases do macroprocesso de contratação: planejamento, escolha do fornecedor e execução contratual. Todas as fases demandam atenção.

A escolha do fornecedor é o ponto crítico da prestação de serviços e o cuidado se concentra, nas aquisições públicas, na correta elaboração do ETP e na confecção do TR dele decorrente. A análise de riscos tem como foco a análise das exigências cabíveis num edital de licitação. Em termos de qualificação técnica do fornecedor (artigo 67 da Lei 14.133/21) pode-se exigir a experiência prévia em relação à proteção de dados, observado o objeto contratual. Assim, parece-nos que em se tratando de objeto em que ganha destaque a mão de obra se poderia cogitar de exigir:

  • Atestado de capacidade técnica destacando as características de maior relevância em termos de segurança e de proteção de dados, comprovando a execução de serviços similares de complexidade tecnológica e operacional equivalente ou superior.
  • Declaração do fornecedor de cumprimento a todas as exigências (que depois pode ser convertido em declaração falsa, caso não cumprida na fase contratual).
  • Exigências de certificações de segurança (artigo 17, § 6º: a Administração poderá exigir certificação por organização independente acreditada pelo Inmetro como condição para aceitação de material e corpo técnico apresentados por empresa para fins de habilitação).

O que se registra, por fim, é a importância de, na fase de planejamento, todas as regras para a contratação futura serem levantadas e de se considerar o impacto da LGPD. Tais regras serão refletidas nos diversos documentos da licitação e influenciarão no preço de referência da contratação e no valor das propostas.

Mas não é apenas na fase de planejamento e seleção de fornecedor a relevância desses estudos: também a execução contratual e a saída do fornecedor absorvem regras provenientes da primeira fase que constarão na minuta de contrato [8] e ditarão a toda a prestação dos serviços, incluindo a saída do fornecedor. Podem estar previstas no TR e, consequentemente, na minuta do contrato, condições e obrigações que o futuro contratado deverá cumprir em o respeito à LGPD.

A administração pode incluir nas obrigações das partes dispositivos como a realização por parte da administração de avaliações periódicas baseadas em pessoas, através de inspeção e entrevistas presenciais/online com evidências, periódicas, por exemplo ou baseadas em processos. Essas ocorrem por coletas de dados não-intrusivas ou externas, cuja avaliação é feita a partir do ambiente de ativos expostos à internet. Exemplos: softwares ou soluções que avaliam a postura de segurança de terceiros. Essas avaliações não precisam da permissão do fornecedor para ocorrer. Podem também ser intrusivas (ou internas) com a coleta automatizada de dados do ambiente interno, análise e modelagem e reportes executivos, automatizados e recorrente.

Muitas vezes relegada, o fim do contrato deve também ser ponto de atenção. Isso porque é necessário definir qual o tratamento de dados que deve ser aplicado ao fim da contratação. Para isso há que se estipular procedimentos para cada tipo de elemento:

  • Ações: revogação de acessos aos sistemas utilizados pelo fornecedor, coleta de ativos sob responsabilidade do fornecedor, descarte de dados físicos e/ou lógicos sob posse do fornecedor.
  • Expurgo de dados pela LGPD: os dados devem ser descartados quando atingirem seu período máximo de retenção, alinhados aos seus prazos legais, cumprirem sua finalidade para qual foram contratados ou houver o rompimento do contrato ou término da prestação de serviço.
  • Registro: identificação, ou seja, quais dados precisam ser descartados e onde estão armazenados; análise de qual será o método de descarte a ser aplicado; execução ou realização de descarte de dados em todas as mídias de armazenamento e registro para gerar relatório de descarte como forma de evidência de descarte de dados.
  • Conectividade e equipamentos: tipos de saída que podem ter interrupção planejada (fim do contrato) ou interrupção não planejada (solicitada pelo fornecedor ou solicitada pela Administração devido à algum tipo de incidência contratual).

A administração tem a obrigação de cumprimento da LGPD em todas as suas funções inclusive quando necessita contratar um terceiro para o atendimento a uma necessidade pública. É necessário, assim como o privacy by design exige que o dado seja tratado desde a coleta até a eliminação, também na contratação pública é necessário pensar desde o planejamento até a conclusão da execução contratual.

Como foi apresentado, embora reduzidas as possibilidades de análise de um fornecedor, comparado ao que se pode exigir na iniciativa privada, é possível, uma vez constatado que haverá algum tratamento de dados pessoais para se atender à necessidade pública que deu origem à contratação, observar alguns pontos norteadores sobre proteção de dados.

Foram apresentados cuidados mínimos na elaboração do estudo técnico preliminar que refletirão no termo de referência e, por consequência, no edital e minuta de contrato, que poderão resguardar a administração na escolha de um bom fornecedor e para minimizar os riscos da sua execução contratual. Dentre os cuidados, inclui-se o ponto de saída do fornecedor, pouco pontuado em muitos editais.

 


[1] TORRES, Ronny Charles Lopes. Leis das Licitações Públicas Comentadas. 12ª ed. rev. ampl. e atual. São Paulo: Editora JusPodivm, 2021, p. 139.

[2] BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

[3] Sugestão: artigo LGPD e contratações públicas: desafios da implementação e posicionamentos recentes disponível em: https://www.incpbrasil.com.br/lgpd-e-contratacoes-publicas-desafios-da-implementacao-e-posicionamentos-recentes/ dessa autora.

[4] FORTINI, Cristiana; PAIM, Flaviana Vieira (coordenação). Terceirização na Administração Pública: boas práticas e atualização à luz da nova Lei de Licitações. Belo Horizonte: Fórum, 2022, p.300-301.

[9] Sugestão para elaboração de minta conforme tipo de objeto: item 7 do artigo "LGPD e contratações públicas: desafios da implementação e posicionamentos recentes", já citado.