ADVOCACIA-GERAL DA UNIÃO
CONSULTORIA-GERAL DA UNIÃO
CONSULTORIA JURÍDICA JUNTO AO MINISTÉRIO DA CULTURA
COORDENAÇÃO-GERAL DE PARCERIAS E COOPERAÇÃO FEDERATIVA
ADVOCACIA-GERAL DA UNIÃO
CONSULTORIA-GERAL DA UNIÃO
CONSULTORIA JURÍDICA JUNTO AO MINISTÉRIO DA CULTURA
COORDENAÇÃO-GERAL DE PARCERIAS E COOPERAÇÃO FEDERATIVA
PARECER n. 00340/2024/CONJUR-MINC/CGU/AGU
NUP: 01400.023632/2024-87
INTERESSADOS: OUVIDORIA OUV/GM/MINC
ASSUNTOS: TRATAMENTO DE DADOS PESSOAIS.
EMENTA: Consulta. Lei Geral de Proteção de Dados - LGPD (Lei n. 13.709/2018). Cláusula padrão para contratos e parcerias que envolvam tratamento de dados, especialmente quando estes envolvam suboperadores. Sugestão de redação a ser adotada no Ministério da Cultura, quando necessário.
RELATÓRIO
Por meio do Ofício nº 783/2024/OUV/GM/MinC retificado pelo Ofício nº 818/2024/OUV/GM/MinC, a Ouvidoria do Ministério da Cultura solicita a esta Consultoria Jurídica que seja encaminhada às unidades deste Ministério uma recomendação para que sejam adotadas as cláusulas padrão constantes dos modelos de contrato, acordos, convênios e instrumento congêneres, aprovados pela Advocacia-Geral da União (AGU), em especial a cláusula de suboperadores, em todos os instrumentos que vierem a ser celebrados por este órgão.
A Ouvidora/MinC aduz que é necessário que o contrato entre o controlador (quem toma as decisões sobre o tratamento de dados) e o operador (quem realiza o tratamento em nome do controlador) contenha disposições claras sobre o uso de subcontratados (também chamados de suboperadores), a fim de atender ao disposto na Lei Geral de Proteção de Dados - LGPD (Lei n. 13.709/2018).
Considerando que o tratamento adequado dos dados pessoais é de responsabilidade de todas as entidades públicas e privadas, é fundamental que os instrumentos firmados contemplem medidas que garantam a segurança e a privacidade dessas informações, prevenindo vazamentos e qualquer uso indevido.
Nesse sentido, a Ouvidoria/MinC transcreve a Cláusula constante do Modelo de Contrato de Serviços com mão de obra exclusiva da Lei nº 14.133/2021 [1], aprovado pela AGU, e solicita a avaliação da possibilidade de que, aos instrumentos utilizados por este Ministério, sejam incorporadas disposições sobre:
A Ouvidoria entende que a utilização de uma cláusula nesses moldes contribuirá para a uniformização dos instrumentos celebrados por este Ministério, bem como para o cumprimento das disposições legais vigentes, reforçando o compromisso do Ministério da Cultura com o atendimento da Lei Geral de Proteção de Dados - LGPD (Lei n. 13.709/2018).
Além disso, a recomendação tem por objetivo a proteção do Órgão ao exigir autorização prévia e assegurar que o suboperador mantenha os mesmos padrões de proteção de dados utilizados nesta Pasta e exigidos de seus operadores.
ANÁLISE JURÍDICA
A presente análise se dá com fundamento no art. 131 da Constituição Federal e no art. 11 da Lei Complementar nº 73/93, subtraindo-se do âmbito da competência institucional deste Órgão Jurídico, delimitada em lei, análises que importem em considerações de ordem técnica, financeira ou orçamentária.
A consulta em tela diz respeito à adoção de cláusula padrão sobre o tratamento de dados, que mencione os suboperadores, em todos os instrumentos que vierem a ser celebrados pelo Ministério da Cultura, a fim de uniformizar os referidos instrumentos e reforçar o compromisso do órgão com o atendimento da Lei Geral de Proteção de Dados - LGPD (Lei n. 13.709/2018).
A proteção dos dados pessoais encontra fundamento constitucional no art. 5º, inciso X, da Constituição Federal, que assegura a inviolabilidade da intimidade, a vida privada, a honra e a imagem das pessoas.
Ademais, a Emenda Constitucional nº 115/2022 inseriu o inciso LXXIX ao art. 5º da Constituição Federal, instituindo a proteção de dados pessoais conforme segue:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
(...)
LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.
No âmbito infraconstitucional, a tutela de dados pessoais, encontra fundamento no Código de Defesa do Consumidor (lei 8.079/90), na Lei da política nacional de arquivos públicos e privados (Lei 8.159/1991), no Código Civil (Lei nº 10.406/2002, art. 21), na Lei do Cadastro Positivo (Lei nº 12.414/2011), no Marco Civil da Internet (Lei nº 12.965/2014) e, por fim, na Lei Geral de Proteção de Dados (Lei nº 13.709/2018).
O processo de tratamento de dados administrativos foi conceituado pelo inciso X do art. 5º da LGPD como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
As referidas práticas são desenvolvidas por um conjunto de pessoas físicas e jurídicas que a LGPD buscou identificar. Assim foram definidos os papéis desenvolvidos pelo controlador, pelo operador e pelo encarregado do tratamento de dados, no art. 5º da LGPD:
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
A LGPD não trouxe definição expressa de suboperador de dados. Por outro lado, também não foi inserida qualquer vedação expressa nesse sentido.
No entanto, conforme aduz o Parecer n. 00004/2022/CNMLC/CGU/AGU (anexo), a partir do princípio constitucional da livre iniciativa (CF, art. 170, IV) combinado com o princípio da legalidade (CF, art. 5º, II), é razoável concluir que não há óbice à contratação, por parte do operador, de um suboperador de dados.
Apesar de a figura do suboperador (ou subcontratante), não estar expressa na LGPD, o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, elaborado pela Autoridade Nacional de Proteção de Dados (ANPD) [2], oferece orientações sobre o tema:
63. (...) a falta do conceito de suboperador na LGPD não impossibilita ou torna ilegal que ele exista ou que tenha funções, competências e responsabilidade no ambiente de proteção de dados pessoais brasileiro, principalmente porque pode desempenhar a função de operador em subordinação a outro operador. Dito isso, importa saber que o suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e não com controlador. Porém, independentemente dos arranjos institucionais entre operador e suboperador, para efeitos da LGPD, ambos podem desempenhar, a depender do caso concreto, a função de operador e responder perante a ANPD.
64. Considerando que o operador realiza o tratamento de dados pessoais em nome do controlador, é de se supor que a relação entre eles esteja fundada na confiança. Nesse sentido, é recomendável que o operador, ao contratar o suboperador, obtenha autorização formal (genérica ou específica) do controlador, a qual pode inclusive constar do próprio contrato firmado entre as partes. Tal medida visa evitar que se entenda que, ao contratar o suboperador, o operador tenha executado o tratamento de dados descumprindo orientações do controlador, o que poderia atrair para o operador responsabilidades que normalmente são exclusivas do controlador.
Com efeito, a partir da diretriz fixada pela ANPD, a Advocacia-Geral da União, por meio do Parecer n. 00004/2022/CNMLC/CGU/AGU (anexo) recomendou que se exija transparência de todos os operadores de dados relacionados com contratos administrativos, sugerindo para as minutas de Contratos o quanto segue:
Dito isso, observo que a adoção das minutas aprovadas pela AGU é sempre recomendável, sendo importante para a parametrização e uniformização da atuação administrativa no âmbito federal, e também a fim de agilizar a análise jurídica, nos termos do Enunciado de Boas Práticas Consultivas AGU nº 6:
A atuação consultiva na análise de processos de contratação pública deve fomentar a utilização das listas de verificação documental (check lists), do Guia Nacional de Licitações Sustentáveis e das minutas de editais, contratos, convênios e congêneres, disponibilizadas nos sítios eletrônicos da Advocacia-Geral da União e da Procuradoria-Geral da Fazenda Nacional.
No intuito de padronização nacional, incumbe aos Órgãos Consultivos recomendar a utilização das minutas disponibilizadas pelos Órgãos de Direção Superior da AGU, cujas atualizações devem ser informadas aos assessorados.
Convém ainda que os Órgãos Consultivos articulem-se com os assessorados, de modo a que edições de texto por estes produzidas em concreto a partir das minutas-padrão sejam destacadas, visando a agilizar o exame jurídico posterior pela instância consultiva da AGU.
Vale notar que todas as minutas-modelo de instrumentos que normalmente envolvem o tratamento de dados pessoais, aprovadas pela Advocacia-Geral da União, já possuem cláusula específica sobre a LGPD, sejam elas minutas de contrato, parcerias com repasse de recursos (convênios, termos de compromisso do PAC, termos de fomento etc) ou mesmo parcerias não onerosas (tais como Acordos de Cooperação e Protocolos de Intenções) [3]. Tais minutas estão disponíveis para consulta nas respectivas páginas específicas do sítio eletrônico da AGU [4].
No entanto, nem todas as minutas da AGU que possuem a cláusula sobre LGPD mencionam o suboperador, ou tratam a questão de forma tão completa quanto a cláusula da minuta de Contrato mencionada como exemplo na consulta em tela, formulada pela Ouvidoria/MinC.
Por outro lado, o Ministério da Cultura possui instrumentos específicos, para os quais não há minutas elaboradas pelas Câmaras especializadas da Advocacia-Geral da União (como, por exemplo, o Termo de Execução Cultural, da Lei n. 14.903/2024, e o Termo de Compromisso Cultural, da Lei n. 13.018/2014).
Desse modo, considerando as demandas da Ouvidoria/MinC expostas na consulta em tela, propõe-se a adoção da cláusula-modelo abaixo, a ser adaptada a cada instrumento celebrado no âmbito do Ministério da Cultura, sempre que o contrato ou parceria em questão envolver tratamento de dados pessoais:
CLÁUSULA __________- OBRIGAÇÕES PERTINENTES À LGPD
_.1. As Partes deverão cumprir a Lei nº 13.709, de 14 de agosto de 2018 (LGPD), quanto a todos os dados pessoais a que tenham acesso em razão do certame do presente instrumento, independentemente de declaração ou de aceitação expressa, garantindo o armazenamento seguro das informações compartilhadas, acesso restrito e medidas contra incidentes de segurança.
_.2. Os dados obtidos em razão do presente instrumento somente poderão ser utilizados durante a vigência deste, exclusivamente para as finalidades que justificaram seu acesso e de acordo com a boa-fé e com os princípios do art. 6º da LGPD.
_.3. É vedado o compartilhamento com terceiros dos dados obtidos fora das hipóteses permitidas em Lei.
_.4. O Ministério da Cultura deverá ser informado no prazo de 5 (cinco) dias úteis sobre todos os contratos de suboperação firmados ou que venham a ser celebrados pelo XXXXX.
_.5. Os dados obtidos em razão do presente ajuste deverão ser eliminados pelo XXXXX assim que terminado o tratamento desses dados nos termos do art. 15 da LGPD, com exceção das hipóteses do art. 16 da LGPD, incluindo aquelas em que houver necessidade de guarda de documentação para fins de comprovação do cumprimento de obrigações legais ou decorrentes do presente instrumento e somente enquanto não prescritas essas obrigações.
_.6. É dever do XXXXX orientar e treinar seus empregados e colaboradores sobre os deveres, requisitos e responsabilidades decorrentes da LGPD.
_.7. O XXXXX deverá exigir de eventuais suboperadores e subcontratados o cumprimento dos deveres da presente cláusula, permanecendo integralmente responsável por garantir sua observância.
_.8. O Ministério da Cultura poderá realizar diligência para aferir o cumprimento dessa cláusula, devendo o XXXXX atender prontamente eventuais pedidos de comprovação formulados.
_.9. O XXXXX deverá prestar, no prazo fixado pelo Ministério da Cultura, prorrogável justificadamente, quaisquer informações acerca dos dados pessoais para cumprimento da LGPD, inclusive quanto a eventual descarte realizado.
_.10. Bancos de dados formados a partir de instrumentos celebrados com o Ministério da Cultura, notadamente aqueles que se proponham a armazenar dados pessoais, devem ser mantidos em ambiente virtual controlado, com registro individual rastreável de tratamentos realizados (LGPD, art. 37), com cada acesso, data, horário e registro da finalidade, para efeito de responsabilização, em caso de eventuais omissões, desvios ou abusos.
_.10.1. Os referidos bancos de dados devem ser desenvolvidos em formato interoperável, a fim de garantir a reutilização desses dados pelo Ministério da Cultura nas hipóteses previstas na LGPD.
_.11. O presente instrumento está sujeito a ser alterado nos procedimentos pertinentes ao tratamento de dados pessoais, quando indicado pela autoridade competente, em especial a ANPD por meio de opiniões técnicas ou recomendações, editadas na forma da LGPD.
_.12. O XXXXX que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo, na forma dos art. 42 a 45 da LGPD.
OBS: As lacunas indicadas por "XXXXX" deverão ser substituídas pelo nome dado à contraparte em cada instrumento específico (por exemplo: agente cultural, Ponto de Cultura, Organização da Sociedade Civil etc.)
Além de seguir a redação mais completa da minuta de Contrato aprovada pela AGU, a redação acima contempla os temas mencionados pela Ouvidoria/MinC em sua consulta, a saber:
Os instrumentos já celebrados poderão ter a cláusula acrescida via termo aditivo, caso se entenda necessário, face ao caso concreto. Todavia, a celebração do termo aditivo não é obrigatória, se não houver uma necessidade claramente identificada, já que a LGPD é válida e exigível independentemente de previsão contratual.
Eventuais dúvidas jurídicas sobre casos específicos poderão ser submetidas a esta Consultoria Jurídica.
CONCLUSÃO
Diante do exposto, e ressalvados os aspectos de conveniência e de oportunidade não sujeitos ao crivo desta Consultoria Jurídica, em resposta à consulta em tela, recomenda-se aos órgãos técnicos deste Ministério que:
a) adotem as minutas-modelo aprovadas pela Advocacia-Geral da União, disponibilizadas em seu sítio eletrônico, para fins de parametrização, uniformização da atuação administrativa no âmbito federal, e a fim de agilizar a análise jurídica;
b) ao celebrarem contratos, convênios ou instrumentos congêneres que envolvam o tratamento de dados, utilizem sempre a Cláusula proposta no item 22 deste Parecer, adaptando-a ao caso concreto no que for necessário.
Isso posto, submeto o presente processo à consideração superior, sugerindo que, após aprovação, os autos sejam encaminhados à OUVIDORIA/MINC, para as providências cabíveis.
DANIELA GUIMARÃES GOULART
Advogada da União
Coordenadora-Geral
Notas:
[1] https://www.gov.br/agu/pt-br/composicao/cgu/cgu/modelos/licitacoesecontratos/14133/pregao-e-concorrencia/modelo_contrato_servicos_com_mo_lei_14-133_v-maio23-com-percentual-de-violencia-domestica.docx
[2] www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf
[3] Sobre a aplicabilidade da LGPD aos convênios e instrumentos congêneres, vide PARECER n. 00001/2024/CNCIC/CGU/AGU - NUP: 25000.107296/2023-14 (anexo).
[4] https://www.gov.br/agu/pt-br/assuntos-1/modelos-de-convenios-licitacoes-e-contratos
Atenção, a consulta ao processo eletrônico está disponível em https://supersapiens.agu.gov.br mediante o fornecimento do Número Único de Protocolo (NUP) 01400023632202487 e da chave de acesso 5f8a8fdf