ADVOCACIA-GERAL DA UNIÃO
CONSULTORIA-GERAL DA UNIÃO
CAMARA NACIONAL DE MODELOS DE LICITAÇÕES E CONTRATOS ADMINISTRATIVOS - CNMLC/DECOR/CGU
PARECER n. 00004/2022/CNMLC/CGU/AGU
NUP: 00688.000716/2019-43
INTERESSADOS: DECOR
ASSUNTOS: LICITAÇÕES E OUTROS
EMENTA: I - Manifestação jurídica sobre a aplicação da Lei Geral de Proteção de Dados nos modelos de licitação e contratos elaborados no âmbito desta Câmara. Respostas a questionamentos formulados por áreas técnicas. Teses iniciais para fundamentar a inserção de cláusulas gerais a esse respeito. Possibilidade de aprofundamento da matéria mediante provocação específica. Abertura para sugestões quanto às cláusulas pelo e-mail cgu.modeloscontratacao@agu.gov.br.
II - no que se refere à transferência internacional de dados pessoais, a contratação é possível nas hipóteses do art. 33 da LGPD, atentando-se para o fato de que pontuais incisos ainda aguardam regulamentação por parte da ANPD e de que a transferência para empresas privadas necessita observar o art. 26 da LGPD;
II.1 - enquanto não é editada essa regulamentação, em especial no que se refere às contratações públicas, recomenda-se inserção de cláusula genérica nas minutas contratuais que eventualmente possam exigir transferência internacional;
II.2 - caso a própria Administração necessite efetuar transferência internacional de dados, também deverá observar essas hipóteses restritas do art. 33 da LGPD, bem como o art. 26 desta Lei;
III - a contratação de suboperador de dados é, em princípio, lícita, pois não há vedação na legislação vigente;
III.1 - respondem, de forma solidária, todos os agentes de tratamento pelos danos eventualmente causados;
III.2 - recomenda-se que haja inclusão de cláusula para tratar do tema dos impactos da LGPD nas subcontratações;
IV - pode ser exigida declaração da contratada de que seu pessoal cumpre adequadamente a LGPD, todavia, caso se entenda necessário que seus empregados firmem declaração individual de que cumprem essa Lei, pode-se usar como sugestão o modelo constante do item “C” desse parecer;
V - entende-se possível a exigência de uma declaração que dê conta da adaptação da licitante ou contratada aos termos da LGPD, inclusive no que se refere ao conhecimento necessário dos empregados para o cumprimento dos deveres da Lei;
VI - é possível que a Administração realize diligências para aferir o cumprimento da LGPD pela licitante ou pela contratada;
VII - é recomendável inclusão de disposições específicas na documentação de contratação para abordar as questões tratadas, podendo-se adotar, como sugestão, a cláusula genérica contida no item “F” desse parecer;
VIII - com relação às minutas, recomenda-se supressão de números de documentos pessoais, notadamente nos contratos, bem como de exigência de atestados de antecedentes criminais, uma vez que a possibilidade dessa exigência é excepcional;
VIII.1 - admite-se que a Administração continue exigindo comprovação de exames admissionais e demissionais, devendo tal documentação ser guardada apenas enquanto não prescritas as obrigações trabalhistas correlatas e somente para a finalidade de comprovar o cumprimento dessas obrigações;
VIII.2 - quanto ao dado pessoal do endereço, que somente foi localizado na minuta de contrato de locação, é recomendável que seja suprimido quando o locador for pessoa natural, uma vez que a divulgação desse instrumento poderia expor indevidamente esse dado. Nesse caso, tal dado deverá ser arquivado em local à parte, uma vez que a Administração poderá necessitar dele para eventual contato com o locador, inclusive para eventual citação ou intimação em processos judiciais ou administrativos;
IX - quando exigido documento pessoal para fins de identificação de pessoa responsável por realizar vistoria em procedimento licitatório, é recomendável que no termo de vistoria conste consentimento da pessoa para que seu nome e documento fiquem no processo e que possam ser acessados por terceiros, ante a natureza pública do processo; e
X - recomenda-se a observância dos itens complementares, inseridos no presente estudo para além dos questionamentos formulados.
Tomando um caminho já imaginado por George Orwell em sua obra 1984 escrita há mais de 50 anos, a sociedade avança a passos largos para informatização e o monitoramento dos indivíduos tanto pelo Estado como por inúmeras instituições privadas[1]. Sequer as orwellianas “teletelas” podem ser consideradas ficção à medida que, em tempos de Internet of Things – IoT, traços de personalidade são captados por computadores, smartfones e eletrodomésticos, bem como um incontável número de câmeras públicas que tomam imagens a todo tempo. O “grande irmão” da obra de Orwell se faz presente para além do entretenimento televisivo dos programas de reality show.
Na chamada “sociedade da informação”, há quem diga que os dados são o novo petróleo[2]. A “economia dos dados” já se mostra decisiva na competição entre as empresas. A partir das práticas de vigilância total tem-se o big data. Conjunto extraordinário de dados que se por um lado exigirá esforço hercúleo para sua gestão, proporcionará às instituições ferramenta extraordinária a servir de guia para suas decisões. Não é o bastante, portanto, ter acesso aos dados. Assim como o petróleo, dados precisam ser armazenados, refinados no sentido de estudados e por fim utilizados[3].
No que se refere à Administração Pública, dados mostram-se relevantes, a rigor, para viabilizar o desempenho de suas atribuições de forma adequada e eficiente. Podem servir à composição do planejamento estratégico e à tomada de decisões concretas.
A coleta e tratamento de dados, em especial após o advento da internet e do fenômeno da globalização, confere material de valor significativo. Essa tendência esbarra no fato de que os dados coletados, enquanto dados pessoais, correspondem a projeções das personalidades dos indivíduos. E os direitos de personalidade são objeto de tutela em países razoavelmente desenvolvidos.
Evidente que a captação de dados permite que as instituições se ajustem e projetem bens e serviços customizados, com algum potencial para beneficiar os indivíduos. Contudo, o choque entre os interesses institucionais nos dados e o necessário respeito à intimidade e vida privada dos indivíduos exige alguma intervenção por parte do Estado com o objetivo de equilibrar a balança.
Pelo mundo, a necessidade de intervenção estatal não é novidade, partindo da tutela da vida privada em um primeiro momento para evoluir no sentido da tutela expressa dos dados pessoais tempos depois, como nos seguintes instrumentos:
- Declaração Universal dos Direitos Humanos, adotada e proclamada pela Assembleia Geral das Nações Unidas (resolução 217 A III) em 10 de dezembro 1948 trouxe em seu art. 12 as primeiras referências utilizadas para proteção de dados pessoais[4].
- Convenção Europeia dos Direitos Humanos foi adotada pelo Conselho da Europa, em 4 de novembro de 1950, e entrou em vigor em 1953, estabelecendo proteção da vida privada em seu art. 8º[5].
- Conselho da Europa disciplinou o tratamento de dados pessoais, a princípio, por meio da Resolução nº 22, de 1973 e da Resolução nº 29, de 1974, ambas versando sobre princípios para a proteção de informações pessoais em bancos de dados automatizados, no setor público e privado[6].
- A OCDE publicou já em 1980 a primeira recomendação de outras que se seguiram, trazendo Diretrizes para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais.
- Conselho da Europa adotou, em 1981, a Convenção n. 108 para a proteção dos indivíduos tratando do processamento automático de dados pessoais. Trata-se do primeiro instrumento internacional juridicamente vinculativo adotado no domínio da proteção de dados.
- O Conselho Da União Europeia editou em 1995 a Diretiva nº 95/46/CE de 24.10.1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
- O Parlamento Europeu proclamou em Nice, ao final de 2000, a Carta dos Direitos Fundamentais da União Europeia[7]. O documento tornou-se vinculativo aos países da União Europeia em dezembro de 2009, a partir do Tratado de Lisboa e proveu tutela expressa a dados pessoais em seu art. 8º[8].
- A Convenção nº 108 foi objeto de um protocolo adicional em 2001, tratando de estabelecer disposições sobre fluxos transfronteiriços de dados para Estados não signatários, os chamados países terceiros, e sobre a criação obrigatória de autoridades nacionais de controlo de proteção de dados[9]. A partir dessa atualização a Convenção 108 passou a ser tratada por Convenção 108+, tendo sido editada pouco antes da entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD) (UE) (General Data Protection Regulation, mais conhecido como GDPR), exatamente para adaptar a Convenção à nova regulamentação.
- O Tratado sobre o Funcionamento da União Europeia – TFUE, por sua vez, tratou o tema ao seu art. 16[10].
- O Regulamento Geral de Proteção de Dados Pessoais Europeu n. 679, aprovado em 27 de abril de 2016 (GDPR) estabelece novo modelo protetivo e revoga a Diretiva nº 95/46/CE de 24.10.1995.
No que se refere ao direito interno, a tutela conferida aos dados pessoais tem evoluído de forma significativa desde a promulgação da atual Constituição Federal.
Sob a perspectiva constitucional, a proteção dos dados pessoais foi garantida a partir do direito fundamental à privacidade constante do inciso X do art. 5º da Constituição Federal, que assegura a inviolabilidade da intimidade, a vida privada, a honra e a imagem das pessoas. O STF posicionou-se nesse sentido quando do julgamento da ADI 6387 MC[11].
A partir da Emenda Constitucional nº 115, de 10 de fevereiro de 2022, foi inserido o inciso LXXIX ao art. 5º da Constituição Federal, instituindo a proteção de dados pessoais conforme segue: “LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
No âmbito infraconstitucional, também se estabeleceu evolução significativa da tutela de dados pessoais, a saber, o Código de Defesa do Consumidor (lei 8.079/90), a Lei da política nacional de arquivos públicos e privados (Lei 8.159/1991), Código Civil (Lei nº 10.406/2002, art. 21), Lei do Cadastro Positivo (Lei nº 12.414/2011), Marco Civil da Internet (Lei nº 12.965/2014) e por fim a Lei Geral de Proteção de Dados (Lei nº 13.709/2018).
Para além de todas as inovações alinhadas, o ordenamento pátrio recebeu em 1º de abril de 2021 uma nova Lei Geral de Licitações, com inúmeros dispositivos que demandam regulamentação.
O Poder-Executivo federal vem desenvolvendo relevante trabalho no sentido da regulamentação e aplicação desses dispositivos. Foi em meio a essa atividade que se entendeu pertinente formular pontuais questionamentos acerca da aplicação da estrutura protetiva pertinente aos dados pessoais nos processos de contratação pública, notadamente em relação aos modelos elaborados pela Câmara Nacional de Modelos de Licitações e Contratos Administrativos da AGU. Dentre os questionamentos levantados tem-se os que seguem:
A – Tendo em vista a eventual possibilidade fática de haver uso pelo contratado de servidores ou nuvens sediados no exterior, será permitida a transferência internacional de dados? Quais cuidados relativos a essa operação?
A sociedade de dados vivenciada na atualidade tem trazido, dentre outras preocupações, a definição do método mais adequado para armazenamento desses dados.
Em um primeiro momento a iniciativa privada, como é natural, e posteriormente a Administração Pública terminaram por identificar nas técnicas de computação em nuvem - cloud computing alternativa promissora para atendimento, dentre outras, de sua demanda por serviços de armazenamento de dados.
Computação em nuvem já foi definida como “modelo computacional que permite acesso por demanda, e independentemente da localização, a um conjunto compartilhado de recursos configuráveis de computação (rede de computadores, servidores, armazenamento, aplicativos e serviços), provisionados com esforços mínimos de gestão ou interação com o provedor de serviços;” (Norma Complementar 14/IN01/DSIC/SCS/GSIPR, item 4.3)[12].
Do item 2.1. do relatório do acórdão do TCU 1739/2015 – PLENÁRIO, relatado pelo Min. Benjamin Zymler, consta o seguinte conceito:
22. Das muitas definições encontradas para computação em nuvem, a definição do National Institute of Standards and Technology (NIST), agência governamental não-regulatória da administração de tecnologia do Departamento de Comércio dos Estados Unidos, tem sido amplamente utilizada:
Computação em nuvem é um modelo que permite acesso ubíquo, conveniente e sob demanda, através da rede, a um conjunto compartilhado de recursos computacionais configuráveis (por exemplo: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e disponibilizados com o mínimo de esforço de gerenciamento ou de interação com o provedor de serviços. (Tradução livre)
O mercado disponibiliza diversas modalidades de serviços de computação em nuvem, a saber:
Infraestrutura como um serviço (IaaS)
Um fornecedor fornece aos clientes acesso Pay As You Go para armazenamento, rede, servidores e outros recursos de computação na cloud.
Plataforma como um serviço (PaaS)
Um provedor de serviços oferece acesso a um ambiente baseado em cloud no qual os usuários podem desenvolver e fornecer aplicativos. O provedor fornece infraestrutura subjacente.
Software como um serviço (SaaS)
Um provedor de serviços oferece software e aplicativos por meio da Internet. Os usuários subscrevem ao software e o acessam por meio da web ou de APIs do fabricante[13].
A computação em nuvem apresenta diversas vantagens que tendem a concretizar a eficiência na contratação pública. Entre elas, podem ser mencionadas:
Em função de todas essas vantagens, a Administração Pública Federal vem adotando a computação em nuvem como solução de Tecnologia da Informação e Comunicação – TIC.
A iniciativa foi institucionalizada desde o Decreto nº 9.319/2018[15], que instituiu o Sistema Nacional para Transformação Digital. O anexo I do referido Decreto definiu os eixos temáticos da Estratégia Brasileira para a Transformação Digital - E-Digital.
Em especial no que se refere ao Eixo de transformação digital, dentre os objetivos a serem alcançados pela e-Digital foi inserida a adoção pela Administração Pública de tecnologia de processos e serviços governamentais em nuvem.
O Decreto nº 10.332/2020[16] institui a Estratégia de Governo Digital para o período de 2020 a 2022. O referido normativo trouxe um anexo fixando objetivos específicos pertinentes à Estratégia de Governo Digital. O objetivo de nº 16 apontou para a “Otimização das infraestruturas de tecnologia da informação”. À iniciativa 16.5 do referido objetivo tem-se: “Iniciativa 16.5. Migração de serviços de, pelo menos, trinta órgãos para a nuvem, até 2022.”
A contratação dos serviços de computação em nuvem, em quaisquer das modalidades ofertadas pelo mercado, encerra tendência institucionalizada ao âmbito do Poder-Executivo federal.
Na atualidade, há ampla gama de fornecedores disponíveis no mercado, seja no âmbito nacional seja no exterior. Profissionais como cloud brokers ou “corretores de nuvens” têm sido contratados exatamente para intermediar a relação entre clientes e os detentores das nuvens.
Há quem reconheça alguma vantagem em termos de custo, no que se refere a serviços de computação em nuvem, a partir de data centers mantidos no exterior[17][18]. Eventualmente em função da fartura de oferta e dos menores custos para composição e manutenção dos servidores. A ideia deve, contudo, ser ponderada com cuidado à medida que variações pertinentes ao preço do dólar, dificuldades com a tributação[19], latência do serviço e suporte podem liquidar qualquer vantagem decorrente do preço[20].
De todo modo, é possível que se conclua no sentido da conveniência da contratação de serviço de nuvem, a partir de data centers no exterior. Fixada essa premissa, o questionamento seguinte aponta para a avaliação da licitude dessa contratação por parte da Administração Pública Federal, já que pode envolver uma transferência internacional de dados para o servidor do provedor respectivo de tal serviço.
Em um primeiro momento identificou-se alguma resistência por parte do então Departamento de Segurança da Informação e Comunicações, vinculado à Secretaria de Coordenação de Sistemas e ao Gabinete de Segurança Institucional da Presidência da República.
Por meio da Norma Complementar nº 14/IN01/DSIC/SCS/GSIPR, foram estabelecidos princípios, diretrizes e responsabilidades relacionados à segurança da informação para o tratamento da informação em ambiente de computação em nuvem. Estabeleceu-se como diretriz, no item 5.1.9 do normativo mencionado, a prevalência da legislação brasileira sobre qualquer outra.
Baseado na leitura desse dispositivo, o então Ministério do Planejamento, Orçamento e Gestão, por meio de sua Secretaria de Tecnologia da Informação e Departamento de Infraestrutura e Serviços de Tecnologia da Informação, editou Manual de Boas Práticas, restringindo as contratações de serviços em nuvem em servidores residentes em território nacional. Considere-se o item 8 do referido Manual:
Os órgãos deverão exigir, por meio de cláusulas contratuais, em conformidade com o disposto na NC 14/IN01/DSIC/GSIPR, que os dados e informações do contratante residam exclusivamente em território nacional, incluindo replicação e cópias de segurança (backups), de modo que o contratante disponha de todas as garantias da legislação brasileira enquanto tomador do serviço e responsável pela guarda das informações armazenadas em nuvem.
Por meio da Portaria nº 20, de 14 de junho de 2016, o Secretário de Tecnologia da Informação Substituto determinou que as contratações de soluções de Tecnologia da Informação (TI) deveriam observar as boas práticas, vedações e orientações constantes no sítio Orientações para Contratação de Soluções de TI.
A Lei 12.965/2014, em seu art. 11, permitiu a realização de qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais por pessoa jurídica sediada no exterior. Portanto, inexiste vedação quanto a essas operações.
Recentemente o Conselho Monetário Nacional aprovou a Resolução 4568/18, que trata de política de segurança cibernética e permite o uso de computação em nuvem no mercado financeiro, com liberdade para armazenamento de dados fora do Brasil. No mesmo sentido apontou o art. 11 da Resolução CMN nº 4.893, de 26 de fevereiro de 2021[21].
Fixada a premissa da licitude da contratação de serviços em nuvem com servidores no exterior, é o caso de seguir avaliando a questão, com objetivo de compatibilizar a Lei 12.965/2014 com as exigências da LGPD no que se refere à remessa de dados pessoais ao exterior.
Com efeito, é razoável tratar de forma especial do serviço de computação em nuvem ao se abordar a temática da remessa de dados ao exterior à medida que:
A.1 Transferência Internacional de Dados
O tratamento do questionamento exige abordagem, ainda que perfuntória, das diretrizes fixadas pela LGPD para realização de transferências internacionais e, ainda, de noções essenciais acerca da contratação do serviço de armazenamento em nuvem.
No Brasil, o Marco Civil da Internet, Lei 12.965, de 23 de abril de 2014, não tratou de forma incisiva dos contratos de computação em nuvem – cloud computing, tampouco da remessa de dados para o exterior, restringindo-se a estabelecer a proteção da privacidade e dados pessoais como princípio no art. 2º. De relevo para o deslinde do questionamento analisado, a Lei 12.965, de 2014, colaborou com o ordenamento, em especial com Direito Internacional Privado[22], no que se refere aos contratos de computação em nuvem, ao determinar a aplicação da legislação brasileira para qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional[23].
A LGPD, por sua vez, trouxe um tratamento mais detalhado quanto à transferência internacional de dados.
A.2 Conceito
O inciso XV do art. 5º da LGPD considera transferência internacional de dados aquela realizada para “[...] país estrangeiro ou organismo internacional do qual o país seja membro.”
A.3 Principais fontes a respeito do tema
O inciso X do art. 5º da Constituição Federal[24] norteia a interpretação de todas as demais fontes infraconstitucionais em termos de uso e tratamento de dados pessoais.
No que se refere às transferências internacionais, a LGPD, nos termos do inciso IV do seu art. 4º, não se aplica a dados “[...] provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei”.
Do art. 64 da LGPD, por sua vez, tem-se que os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.
A LGPD tratou das transferências internacionais em seus artigos 33 a 36, embora pontualmente suas disposições exijam ainda regulamentação[25].
Parte dessa regulamentação incumbe à Autoridade Nacional de Proteção de Dados (ANPD), como se nota, por exemplo, nos incisos XIII[26] e XVIII[27] do art. 55-J da LGPD.
O Decreto nº 10.474, de 26 de agosto de 2020, que aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, também trouxe referências pertinentes às transferências internacionais de dados em seu Anexo I, em especial a partir da descrição das atribuições do Conselho Diretor da ANPD no art. 4º desse Anexo[28].
Com base no artigo 5º desse Decreto, a ANPD, por meio de seu Conselho Diretor, editou seu Regimento Interno por meio da Portaria nº 1, de 8 de março de 2021[29].
A importância da menção a esses aspectos está no fato de que as conclusões da presente manifestação poderão ser impactadas pelos eventuais regulamentos que venham a ser editados.
A.4 Hipóteses autorizadoras de transmissão internacional de dados
A literalidade do caput do art. 33 da LGPD revela relação taxativa de hipóteses em que é autorizada a transferência internacional de dados pessoais:
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
Embora tais hipóteses condicionem a possibilidade de realizar transferências internacionais, elas são independentes, ou seja, não se exige que sejam cumuladas.
Entre elas, algumas, sem serem necessariamente mais importantes ou mais comuns do que as demais, pareceram, numa primeira leitura da Lei, exigir alguns esclarecimentos, principalmente em razão dos questionamentos que foram formulados.
A.5 Condições para a Transferência Internacional de Dados
A.5.1 Aferição do grau de proteção de dados pessoais
O inciso I do art. 33 da LGPD permite a transferência internacional de dados para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Embora não esteja claro na Lei o que seria considerado um grau adequado de proteção, o parágrafo único do art. 33 permite que a ANPD faça essa avaliação[30].
O inciso XI do art. 4º do Anexo I do Decreto 10.474, de 2020, conferiu ao seu Conselho Diretor a atribuição de avaliar:
a) os requerimentos encaminhados à ANPD sobre o nível de proteção de dados pessoais conferido por outro País ou por organismo internacional; e
b) o nível de proteção de dados de país estrangeiro ou de organismos internacionais que proporcionem grau de proteção de dados pessoais e sua adequação às disposições da Lei nº 13.709, de 2018;
Portanto, o Conselho Diretor da ANPD irá avaliar e definir se o sistema de proteção de dados de determinado país ou organismo internacional é “adequado” ou não.
Aspectos importantes da regulamentação da LGPD ainda estão em desenvolvimento ou são bem recentes. A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, por exemplo, aprovou o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte[31].
A.5.2 Autorização para realização da transferência
O inciso V do art. 33 da LGPD previu a possibilidade de se realizar transferências internacionais de dados mediante autorização da autoridade nacional.
O inciso X do art. 4º do Decreto nº 10.474, de 2020, conferiu ao Conselho Diretor da ANPD a atribuição de autorizar as transferências internacionais de dados pessoais[32]. Por sua vez, o Conselho Diretor da ANPD é assistido em suas atribuições, nos termos do art. 3º, III, do Anexo I desse Decreto, pela Secretaria-Geral, pela Coordenação-Geral de Administração e pela Coordenação-Geral de Relações Institucionais e Internacionais. O inciso IV do art. 12 Regimento Interno da ANPD conferiu à Coordenação-Geral de Relações Institucionais a atribuição de “IV - autorizar a transferência internacional de dados pessoais, de acordo com os parâmetros estabelecidos em regulamento”.
A referência a “regulamento” na parte final desse dispositivo é relevante na medida em que também não se verifica ainda sua edição entre os itens de produção normativa disponibilizados no site da ANPD[33].
A.5.3 Garantias a serem disponibilizadas pelo controlador
O controlador, nos termos do inciso VI do art. 5º da LGPD, é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Como já referido acima, o inciso II do art. 33 da LGPD exigiu, como condição para transferência internacional de dados pessoais, que o controlador garanta a observância dos direitos conferidos pela LGPD por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais ou selos, certificados e códigos de conduta regularmente emitidos.
O caput do art. 35 da LGPD determinou que cabe à ANPD definir o conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o mencionado inciso II do caput do art. 33.
Ocorre que, de acordo com informação disponibilizada ao site da ANPD, também não houve regulamentação desse aspecto até o momento[34].
A.6 Contrato de armazenamento de dados em nuvem
Pontuadas as condições a serem observadas para transferência internacional de dados, é importante trazer algum conteúdo acerca da chamada “Computação em Nuvem (Cloud Computing)”. É que muitas vezes a transferência ocorrerá para, entre outras possibilidades, os dados serem processados ou armazenados em nuvem.
Os contratos relativos a essa solução já não são considerados como novidade e o TCU já possui precedentes no sentido de balizar a metodologia adequada para sua licitação e contratação[35].
Há alguns cuidados, contudo, previstos no art. 26 da LGPD, que serão analisados mais abaixo.
Com relação às empresas de pequeno porte, há uma orientação da ANPD para que seja firmado contrato com acordo de nível de serviço para a contratação de computação em nuvem estabelecendo o dever de garantir a segurança dos dados[36].
A.7 Conclusões
No sentido do enfrentamento do questionamento formulado pode-se afirmar o quanto segue:
B – É lícito ao operador fazer uso de suboperador, no tratamento de dados pessoais realizados no contexto de contratos administrativos? Caso possível, quais os cuidados (autorização prévia, responsabilidades) e impactos nos modelos, notadamente na cláusula de subcontratação?
B.1 - Os agentes de tratamento de dados pessoais na LGPD
O processo de tratamento de dados administrativos foi conceituado pelo inciso X do art. 5º da LGPD como “... toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
As referidas práticas são desenvolvidas por um conjunto de pessoas físicas e jurídicas que a LGPD buscou identificar. Nesse contexto foram isolados os papéis desenvolvidos pelo controlador, pelo operador e pelo encarregado do tratamento de dados.
O controlador, conforme inciso VI do art. 5º da LGPD é a “... pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
O operador, por sua vez, foi conceituado no inciso II do art. 5º da LGPD como “... pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
Por fim, o encarregado, nos estritos termos do inciso VIII do mesmo dispositivo citado, é “... pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
A LGPD não trouxe, portanto, previsão expressa de suboperador de dados. Por outro lado, também não foi inserida qualquer vedação expressa. A partir do princípio constitucional da livre iniciativa (CF, art. 170, IV) combinado com o princípio da legalidade (CF, art. 5º, II), é razoável concluir que não há óbice à contratação, por parte do operador, de um suboperador de dados.
A utilização pelo operador de um suboperador de dados não caracteriza, por si só, subcontratação em relação ao contrato administrativo. A rigor, a subcontratação implica realocação para terceiro de trecho das obrigações assumidas pela contratada. Enquanto o tratamento de dados compuser o bojo da operação da contratada sem integrar o objeto do contrato administrativo, a utilização de suboperador pelo operador não caracteriza subcontratação. A partir da premissa pontuada, sequer é o caso de aprofundar análises referentes às normas pertinentes ao instituto da subcontratação.
A Agência Nacional de Proteção de Dados – ANPD editou, em 2021, um Guia Orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. No referido guia, a ANPD dispõe de forma expressa a possibilidade de utilização do suboperador no tratamento de dados. Considere-se a literalidade do conteúdo:
62. Muito embora não exista um conceito de suboperador na LGPD, o tema pode ser utilizado como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados.
63. Isso porque a falta do conceito de suboperador na LGPD não impossibilita ou torna ilegal que ele exista ou que tenha funções, competências e responsabilidade no ambiente de proteção de dados pessoais brasileiro, principalmente porque pode desempenhar a função de operador em subordinação a outro operador. Dito isso, importa saber que o suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e não com controlador. Porém, independentemente dos arranjos institucionais entre operador e suboperador, para efeitos da LGPD, ambos podem desempenhar, a depender do caso concreto, a função de operador e responder perante a ANPD.[37]
O guia editado pela ANPD apontou alguns cuidados específicos para a contratação de suboperador:
64. Considerando que o operador realiza o tratamento de dados pessoais em nome do controlador, é de se supor que a relação entre eles esteja fundada na confiança. Nesse sentido, é recomendável que o operador, ao contratar o suboperador, obtenha autorização formal (genérica ou específica) do controlador, a qual pode inclusive constar do próprio contrato firmado entre as partes. Tal medida visa evitar que se entenda que, ao contratar o suboperador, o operador tenha executado o tratamento de dados descumprindo orientações do controlador, o que poderia atrair para o operador responsabilidades que normalmente são exclusivas do controlador.
Com efeito, a partir da diretriz fixada pela ANPD, mostra-se importante exigir transparência de todos os operadores de dados relacionados com contratos administrativos. Nesse sentido é possível sugerir para as minutas o quanto segue:
C - É possível exigir que empregados das empresas contratadas assinem termo de responsabilidade individual pelo manejo de dados?
Considerando o exposto no presente parecer, é possível exigir que funcionários assinem termo de responsabilidade individual pelo manejo de dados. Com efeito, por parte deles se trata de mero cumprimento de dever legal. Por sua vez, quando a Administração faz essa exigência, está apenas colaborando para cientificá-los desse dever. De todo modo, para que não represente ingerência na empresa, recomenda-se que essa exigência seja feita por intermédio da empresa contratada, que é empregadora das pessoas que terão que firmar o termo.
O termo de responsabilidade aventado, como exigência isolada, pode ser objeto de críticas em função da ausência de relevantes efeitos práticos. Contudo, a fim de corroborar a exigência pertinente ao documento avaliado, recomenda-se que as empresas contratadas sejam instadas a demonstrar a realização de capacitação específica voltada à implementação da LGPD, em especial no que se refere aos empregados que tendem a lidar diretamente com dados pessoais. Inclusive os tópicos a serem abordados na referida capacitação poderiam ser definidos pela Administração. A exigência implica exploração lícita e elogiável do potencial regulatório e conformador das contratações públicas.
A capacitação deve ser objeto de tratamento no edital e anexos, devendo ser exigida apenas como obrigação da contratada. É importante ressaltar que essa exigência não pode consistir em condição de participação ou de habilitação na licitação.
Embora por enquanto não seja viável por falta de regulamentação, mais adiante, a partir do amadurecimento do ambiente de tutela dos dados pessoais e da produção da ANPD, certamente será possível desenvolver a prática de certificações relativas ao atendimento da LGPD, na linha do quanto previsto no §6º do art. 17, inciso III e §1º do art. 42 da Lei 14.133/2021. É possível, para o futuro próximo, avaliar a exigência de alguma certificação referente à LGPD da contratada.
Em princípio pode ser desnecessário e até impraticável (por exemplo no caso de uma empresa com enorme quadro de pessoal) que empregados da contratada firmem termo de ciência e responsabilidade quanto ao cumprimento da LGPD. Normalmente bastará a declaração da própria empresa contratada de que seu pessoal cumpre adequadamente essa Lei, além da obrigação contratual de que a empresa garanta a rastreabilidade de quem efetuou tratamento dos dados, inclusive para efeito de responsabilização, em caso de eventuais omissões, desvios ou abusos.
Todavia, caso se reconheça a necessidade de exigir declaração firmada pelos empregados da contratada, sugere-se a inserção de um documento anexo às minutas de edital de licitação, contendo o seguinte teor:
ANEXO xxx
TRATAMENTO DE DADOS PESSOAIS - LGPD
TERMO DE CIÊNCIA DE DEVERES, RESPONSABILIDADES E REQUISITOS
Pelo presente termo, declaro que fui devidamente orientado sobre os deveres, requisitos e responsabilidades decorrentes da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD, sobre as formas de coleta, tratamento e compartilhamento de dados pessoais a que tiver acesso, bem como respectivas responsabilidades, em especial sobre aqueles que constam nos artigos 7º a 10 e 42 a 45 da LGPD. Declaro conhecimento sobre as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e de que a responsabilidade de qualquer pessoa que intervenha em uma das fases abrangidas pelo fluxo dos dados pessoais subsiste mesmo após o término do tratamento. Por fim, declaro ainda ciência sobre as condições do tratamento dos meus próprios dados pessoais.
Cidade, data.
______________________________________________
(Nome e assinatura)
D - É possível exigir que os empregados das empresas contratadas tenham conhecimento sobre os deveres impostos pela LGPD?
Infrações às normas constantes da LGPD têm potencial para causar severos prejuízos à Administração Pública. Por mais que as sanções pecuniárias previstas na LGPD não lhes sejam aplicáveis conforme incisos II e III de seu art. 52[38], fato é que nada impede a judicialização de eventuais demandas buscando reparação civil por danos materiais e morais. A matéria ganha ainda contornos mais dramáticos ao se considerar a possibilidade do reconhecimento de responsabilidade objetiva nos termos do parágrafo único do art. 927[39] do Código Civil e §6º do art. 37[40] da Constituição.
O princípio da indisponibilidade do interesse público impõe à Administração Pública atuação no sentido de mitigar o quanto possível as chances da caracterização de eventual prejuízo ao erário.
A LGPD, em seu art. 46, determinou que os agentes de tratamento deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Padrões mínimos de atuação poderão ser definidos pela ANPD conforme §1º do mesmo art. 46 da LGPD.
O art. 47[41], por sua vez, foi abrangente e incisivo o suficiente para não deixar alheia à sua incidência sequer eventuais empresas terceirizadas, contratadas pela Administração Pública.
Justifica-se, pois, exigência de que os empregados da contratada, em especial os que atuarão no tratamento de dados pessoais, dominem o conteúdo da LGPD, sua regulamentação e os principais normativos editados pela ANPD.
Nada impede ainda que a metodologia de compartilhamento de dados se estabeleça conforme boas práticas e governança estabelecidas pela Administração Pública. Evidentemente essas diretrizes deverão tomar parte em detalhes no termo de referência ou projeto básico, sem prejuízo da inserção de previsão genérica de observância dessas obrigações, como sugerido abaixo.
Importante que as normas específicas pertinentes à governança e boas práticas sejam divulgadas como anexo ao edital, a fim de conferir pleno conhecimento a todos os eventuais interessados. Como tais normas podem variar a depender das peculiaridades de cada contratante, este será responsável por sua elaboração.
Embora ainda não haja previsão expressa nos normas editadas até o momento, é possível que no futuro instituições sejam credenciadas pela ANPD para eventual certificação de práticas pertinentes ao tratamento de dados. Essa possibilidade já existe no que se refere a transferências internacionais de dados, conforme art. 5º do Regimento Interno da ANPD e é possível que seja ampliada no futuro. Nesse caso, poder-se-ia avaliar inclusive a possibilidade de utilizar tais certificados como alternativa de comprovação da adequação aos ditames da LGPD.
Em linhas gerais pois, com objetivo de reforçar o cuidado com dados pessoais tratados em função de contratos administrativos reconhece-se a possibilidade das práticas que seguem:
Para hipótese da caracterização de eventuais danos a terceiros, o bojo dos cuidados tomados pela Administração tende a ser levado em conta quando da apreciação de responsabilidades e fixação de indenizações. Portanto, a otimização das proteções ao interesse dos titulares de dados tratados encerra prática salutar.
E - É possível que a Administração realize diligências para verificar o cumprimento da LGPD?
A Lei 8.666, de 1993, previu a possibilidade da realização de diligências durante o processo licitatório ao §3º de seu art. 43[42]. No mesmo sentido é a norma do art.64 da nova Lei de Licitações[43]. Identificado o licitante vencedor do certame, seria conveniente à Administração Pública verificar sua conformidade com a LGPD e se seu pessoal está devidamente apto no que diz respeito aos deveres legais relativos aos dados pessoais. Diligências para verificar atendimento de cláusula editalícia encontram respaldo na jurisprudência do TCU[44].
A depender da complexidade das circunstâncias, observado o princípio da segurança inserido no art. 6º da LGPD, uma auditoria técnica em eventuais bancos de dados formados poderá ser realizada, em especial para avaliar se todas as exigências técnicas estão sendo adequadamente observadas (controle e registro de acesso a banco de dados, por exemplo).
Recomenda-se que a possibilidade dessa diligência específica já conste do edital, conforme cláusula sugerida abaixo. Para atender também os casos de contratação direta, é recomendável que tal cláusula conste do Termo de Referência ou do Projeto Básico.
F - Como tratar da questão da responsabilidade pelo reuso de dados, descarte de dados e uso conforme a finalidade? É necessário incluir obrigações gerais de atuação conforme a LGPD?
Ante o dever de a Administração cumprir a LGPD e a eventual necessidade de tratamento de dados pessoais por si própria ou por meio das empresas contratadas, é recomendável a inserção de cláusula nos modelos de Termo de Referência ou de Projeto Básico com o objetivo de tratar do tema, abrangendo essas questões e as demais tratadas acima na presente manifestação.
Com relação à fiscalização do cumprimento dessa cláusula, não se vislumbra necessidade de disposições adicionais, uma vez que os modelos já contemplam diversas outras cláusulas que também são mera decorrência de deveres legais a serem cumpridos pela Administração ou pela contratada.
Como o advento da LGPD é recente e ainda aguarda regulamentação em alguns pontos, o ideal é que a cláusula, no presente momento, tenha teor mais genérico, conforme sugestão abaixo[45]:
.1 A partir da apresentação da proposta no procedimento de contratação, independentemente de declaração ou de aceitação expressa, a empresa passa a ser obrigada a cumprir a Lei nº 13.709, de 14 de agosto de 2018 (LGPD), quanto a todos os dados pessoais a que tenha acesso em razão do certame ou do contrato administrativo que eventualmente venha a ser firmado.
.1.1 Os dados obtidos somente poderão ser utilizados para as finalidades que justificaram seu acesso e de acordo com a boa-fé e com os princípios do art. 6º da LGPD, vedado seu compartilhamento com terceiros, ressalvados contratos específicos para tratamento de dados firmados de acordo com os ditames dessa Lei.
.1.1.1 Nas hipóteses em que cabível a contratação de suboperador, a Administração e o controlador deverão ser mantidos informados sobre todos os contratos de suboperação existentes e comunicados imediatamente sempre que nova contratação ocorra.
.1.2 a transferência internacional de dados somente será admitida nas hipóteses do art. 33 da LGPD e a empresa responderá legalmente caso desrespeite as disposições desta Lei.
.1.3 Terminado o tratamento dos dados nos termos do art. 15 da LGPD, é dever da empresa eliminá-los, com exceção das hipóteses do art. 16 da LGPD, incluindo aquelas em que houver necessidade de guarda de documentação para fins de comprovação do cumprimento de obrigações legais ou contratuais e somente enquanto não prescritas essas obrigações.
.1.4 É dever da empresa orientar e treinar seus empregados sobre os deveres, requisitos e responsabilidades decorrentes da Lei nº 13.709, de 14 de agosto de 2018.
.1.5 Caso seja admitida subcontratação, o instrumento de subcontratação deverá estabelecer para a subcontratada os deveres da presente cláusula expressamente.
.1.6 A Administração poderá realizar diligência para aferir o cumprimento dessa cláusula, devendo a contratada atender os pedidos de comprovação eventualmente efetuados.
.1.7. Diante de eventual solicitação de titular de dados, a contratada deverá prestar as informações a que alude o art. 9º da LGPD ou, em sendo o caso, informação acerca do descarte realizado.
.1.8. Bancos de dados formados a partir de contratos administrativos, notadamente aqueles que se proponham a armazenar dados pessoais, devem ser mantidos em ambiente virtual controlado, com registro individual rastreável de tratamentos realizados (LGPD, art. 37), com cada acesso, data, horário e registro da finalidade, para efeito de responsabilização, em caso de eventuais omissões, desvios ou abusos; os referidos bancos de dados devem ser desenvolvidos em formato interoperável[46], a fim de garantir a reutilização desses dados pela Administração nas hipóteses previstas na LGPD;
A partir do dever de transparência e publicidade acerca dos tratamentos realizados (LGPD, art. 6º, VI), a Administração poderia esclarecer desde o edital, que serão inseridos em banco de dados públicos registro referente ao desempenho da contratada, eventuais incidentes contratuais, punições em banco de dados pertinente[47], bem como preços, notas fiscais, referências sobre outros contratos e atas de registro de preços. Tais registros teriam finalidade pública de prover mais eficiência às contratações públicas, em especial no que se refere à gestão de riscos e aferição de preços.
Em sendo possível é interessante que a Administração, desde o edital, identifique dados pessoais que tendem a ser tratados na execução do contrato, expresse a base legal e a duração do tratamento. Considerando que essas questões variam de forma significativa a partir do objeto da contratação, não é o caso de se inserir nos modelos gerais qualquer cláusula.
Importante que os dados a serem tratados ou compartilhados sejam específicos, definidos de forma clara e restritos àqueles essenciais à finalidade pretendida. Não é recomendável o tratamento de dados sem critérios bem definidos, seja pela afronta ao princípio da necessidade, elencado no art. 6º da LGPD, seja em função do desnecessário risco a que se expõe a Administração. Cada dado pretendido deve ser justificado desde fase preparatória, já na confecção do ETP.
O compartilhamento dessas informações com as demais instituições públicas, por meio do PNCP ou mesmo pelo SICAF, por exemplo, tem previsão no inciso IV do §1º do art. 26 da LGPD[48]. De todo modo, mesmo diante de hipótese contemplada em Lei, o Guia Orientativo da ANPD para Tratamento de Dados Pessoais pelo Poder Público recomenda a inserção da informação referente ao compartilhamento nos contratos administrativos[49].
Em se tratando de contrato administrativos com intenso fluxo de dados pessoais, sejam dados fornecidos pelo particular ou pela Administração, esse mesmo Guia Orientativo da ANPD recomenda a edição de atos normativos específicos por cada órgão ou entidade, definindo rotinas específicas[50]. Definir conteúdo para tais normativos não é possível no presente estudo, visto que a solução deve ser customizada e elaborada de acordo com a estrutura de cada órgão.
A depender da natureza do contrato realizado, a manutenção de adequado banco de dados, nos termos definidos pela LGPD, poderá ensejar custo que deve ser considerado desde a fase preparatória do certame.
G - Há alguma cláusula nos modelos atuais que exija algum dado pessoal?
Realizada uma verificação dos modelos constantes do Portal da AGU na internet para constatar se haveria alguma exigência de dado pessoal, foram considerados os seguintes critérios de pesquisa na varredura dos arquivos: “identi* anteced* crimina* médic* atest* certid* endere* admission* demission* CPF RG”
Como resultado, para cada arquivo analisado foram utilizados números para indicar o tipo de dado pessoal envolvido, conforme tabela que segue:
Legenda:
1: documentos pessoais
2: antecedentes criminais
3: dados médicos (admissional, demissional)
4: endereço
Assim, abaixo segue a lista dos arquivos analisados identificados pelo “kit” a que pertencem e acompanhados dos números que indicam o tipo de dado pessoal que tais arquivos exigem em alguma de suas cláusulas. Quando não há exigência de dado pessoal, foi assinalado “ok” à frente do nome do arquivo:
Kits analisados:
- Serviços Não Continuados - Leis 8.666/93 e 10.520/02:
edital_-_servicos_nao-continuados__atualizacao_jul_2020_: ok
termo_de_referencia__servicos_nao_continuadosatualizacao_julho_2021: 1 (para vistoria)
contrato_-_servicos_nao_continuados_-_jul_2020: 1
ata_-_servicos_nao-continuados__atualizado_dez_2019_: ok
- Serviços Continuados Sem Mão de Obra Exclusiva - Leis 8.666/93 e 10.520/02:
edital_-_servicos_continuados_sem_dedicacao_exclusiva__atualizacao_jul_2020_: ok
Termo_de_Referncia_Servios_Continuados_semdedicacaoJulho_2021: 1 (para vistoria)
contrato_-_servicos_continuados_sem_dedicacao_exclusiva_-_jul_2020: 1
ata_-_servicos_continuados_sem_dedicacao_exclusiva__atualizado_dez_2019_: ok
- Serviços Continuados Com Dedicação de Mão de Obra Exclusiva - Leis 8.666/93 e 10.520/02:
edital_-_servicos_continuados_com_dedicacao_exclusiva_de_mao_de_obra__atualizado_jul-2020_: ok
Termo_de_Referncia_Servios_Continuados_com_Dedicao_Exclusiva_Julho_2021: 1 (para vistoria e dos empregados), 3
contrato_-_servicos_continuados_com_dedicacao_exclusiva_de_mao_de_obra_-_jul-2020: 1 ata_-_servicos_continuados_com_dedicacao_exclusiva_de_mao_de_obra__atualizado_dez_2019_ : ok
- Serviços Comuns de Engenharia - Leis 8.666/93 e 10.520/02:
edital_-_servicos_comuns_de_engenharia__atualizacao_jul-2020_: ok
Termo_de_Referncia_engenharia_setembro21: 2
contrato__servicos_comuns_de_engenharia__setembro_21_: 1
ata_-_servicos_comuns_de_engenharia__atualizado_dez_2019__: ok
termodejustificativastcnicasrelevantes: ok
- Compras - Leis 8.666/93 e 10.520/02:
edital_-_compras_-_pregao_eletronico__atualizacao_jul_2020_: ok
termo_de_referencia__compras__atualizacao_julho_2021: ok
contrato_-_compras_-_jul_2020: 1
ata_-_registro_de_precos__atualizado_dez_2019_: ok
- Coleta seletiva:
edital_-_coleta_seletiva__decreto_n__5: identidade do representante e dos catadores: 1
- Contratação Direta de Objeto Específico (Lei 8.666/93):
ContratoInexigibilidadeparaCapacitao25IIIJulho2021: 1
modelo_de_termo_de_contrato_locacao_de_imovel: 1, 4 (para locador pessoa natural)
ProjetoBsicoInexigibilidadeparaCapacitao25IIIJulho2021: ok
- Modelos Covid-19 (MP nº 1.047/21):
copy_of_projeto_basico__compras__dispensamai21: ok
edital_de_pregao_comprasmai21: ok
edital_de_pregao_para_servicos_comuns_de_engenhariamai21: ok
edital_de_pregao_servicosmai21: ok
minuta_contratual_compras__pregao_ou_dispensa_MAI21: 1
minuta_contratual_servicos__pregao_ou_dispensa_MAI21: 1
minuta_contratual_servicos_de_engenharia__pregao_ou_dispensa_MAI21: 1
projeto_basico__servicos__dispensamai21: 1, 2 (nota explicativa) e 3
projeto_basico__servicos_de_engenharia__dispensamai21: 1, 2 (nota explicativa) e 3
termo_de_referencia__compras__pregaomai21: ok
termo_de_referencia__servicos__pregaomai21: 1, 2 (nota explicativa) e 3
termo_de_referencia__servicos_comuns_de_engenharia__pregaomai21: 1, 2 (nota explicativa) e 3
Com relação aos achados apontados nessa lista, cabem algumas considerações.
Em relação aos documentos pessoais, se forem exigidos apenas para identificação instantânea com devolução imediata ao titular, não são vislumbrados maiores preocupações. Caso haja anotação do número de documentos pessoais, como ocorre na identificação para fins de vistoria, recomenda-se que seja obtido consentimento do titular do dado pessoal. Sugere-se para tanto que no próprio termo de vistoria, que será firmado pela Administração, também se colha a assinatura do representante da licitante que está realizando a vistoria consentindo com a utilização de seu dado pessoal, sugerindo-se para tanto a seguinte redação: “o responsável pela vistoria consente que seu nome e o número de seu documento de identificação fiquem constando dos autos do processo de contratação e tem ciência de que esse processo é público”.
Já nos contratos, recomenda-se que não constem os números de documentos pessoais das pessoas naturais que irão assiná-los, como ocorre normalmente com os representantes da Administração e da empresa contratada. Em vez disso, propõe-se nos instrumentos contratuais os representantes da Administração sejam identificados apenas com a matrícula funcional, que já é suficiente para a finalidade a que se destina e evita a necessidade de tratamento adicional e principalmente dos cuidados exigidos para evitar que números de documentos pessoais sejam eventualmente acessados indevidamente.
Com relação aos representantes da contratada também se propõe que os instrumentos contratuais os identifiquem apenas pelo nome, até porque o art. 61 da Lei nº 8.666, de 1993[51], e o §1º do art. 89 da Lei nº 14.133, de 1º de abril de 2021[52], exigem apenas esse dado.
Quanto à exigência de atestado de antecedentes criminais, recomenda-se seja suprimida dos modelos, uma vez que a possibilidade de tal exigência é excepcional e demanda justificativa específica para demonstrar a necessidade de tal documento. Recomenda-se a inserção nos modelos de uma nota explicativa esclarecendo que, como regra, a Administração deve evitar a exigência de atestados de antecedentes[53], mas nada impede que a Administração, de forma motivada, exija o documento nas hipóteses que entender pertinente.
Em relação aos dados médicos, notadamente os exames admissionais e demissionais, não há vê óbices quanto à exigência, pois no caso a Administração atua para proteger interesses do titular. Essa documentação, contudo, somente pode ser mantida enquanto não prescrita reclamação trabalhista relativa aos deveres relacionados a tais documentos.
Finalmente, quanto ao endereço, esse dado pessoal somente consta do modelo de contrato de locação. Caso o locador seja pessoa natural, é recomendável que o endereço conste apenas em documentação à parte e não no instrumento contratual. Isso porque, como visto acima, as normas das Leis de Licitações não exigem esse dado. A Administração somente necessitará de tal dado para eventual contato com o locador.
H – Recomendações de caráter geral e complementar aos questionamentos formulados
Recomendações complementares a fim de garantir a compatibilização das contratações públicas em âmbito federal com os termos da LGPD:
CONCLUSÃO
Ante o exposto, conclui-se que:
À consideração dos membros da CNMLC.
Fabrício Lopes Oliveira Relator Procurador Federal Membro da CNMLC
|
||
Carolina Zancaner Zockun Revisora Procuradora da Fazenda Nacional Coordenadora do GT-Pareceres Membro da CNMLC |
Leandro Sarai Revisor Procurador do Banco Central Membro da CNMLC |
Bruno Eduardo Araújo Barros de Oliveira Revisor Advogado da União Membro da CNMLC
|
Diego da Fonseca Hermes Ornellas de Gusmão Revisor Procurador Federal Membro da CNMLC |
Alyne Gonzaga de Sousa Revisora Advogada da União Membro da CNMLC
|
De acordo. À consideração superior do Sr. Diretor do DECOR.
Adriano Dutra Carrijo Advogado da União Membro da CNMLC |
Carolina Saraiva de Figueiredo Cardoso Advogada da União Membro da CNMLC |
Caroline Marinho Boaventura Santos Procuradora Federal Membro da CNMLC |
Daniel Lin Santos Advogado da União Membro da CNMLC |
Eliete Viana Xavier Advogada da União Membro da CNMLC |
Hugo Teixeira Montezuma Sales Advogado da União Coordenador da CNMLC |
Lucas Hayne Dantas Barreto Procurador Federal Membro da CNMLC |
Marcela Ali Tarif Roque Procuradora Federal Membro da CNMLC |
Rachel Nogueira de Souza Procuradora da Fazenda Nacional Membro da CNMLC |
Atenção, a consulta ao processo eletrônico está disponível em http://sapiens.agu.gov.br mediante o fornecimento do Número Único de Protocolo (NUP) 00688000716201943 e da chave de acesso 39abe440
Notas