LGPD e contratações públicas: desafios da implementação e posicionamentos recentes

 

 

 

 

 

Andréa Heloisa da Silva Soares

@andrea.hsoares

Especialista em Direito Público e Direito Processual Civil. Bacharel em Administração e em Direito pela UFMG. Gestora de Privacidade. Empregada pública licenciada. Atuante nas áreas de contratações públicas, compliance e LGPD por 18 anos. Atualmente é Gerente Administrativo e Financeiro na Conexis Brasil Digital e professora.

 

 

 

 

 

1 - INTRODUÇÃO

A Lei Geral de Proteção de Dados, LGPD, não se trata de uma normatização inédita no cenário mundial. No Brasil, mais uma vez, uma lei veio para responder às demandas externas. Desde 2018 temos uma legislação que, embora permeada de lacunas e pendente de regulamentações para eficácia de diversos dispositivos, está em plena e total vigência.

A LGPD é aplicável tanto a organizações privadas quanto à Administração Pública. Ambas precisam implantar a lei de forma a garantir a proteção de dados pessoais transitados interna e externamente. A tarefa não é simples, exige a interação entre várias disciplinas, em especial jurídica e tecnologia da informação, assim como entre as áreas responsáveis pelas atividades-meio e atividades-fim. É preciso o envolvimento e patrocínio pela alta administração, a disseminação dos conceitos básicos como princípios, bases legais, atores e sanções. É preciso conhecer os processos e as atividades para mapeá-los, revisá-los e alterá-los, se for o caso. É preciso investimento para garantir a segurança e evitar vazamentos. Enfim, trata-se de um momento para reavaliar toda a organização, o que pode gerar oportunidades de melhoria e mudança de cultura.

Para discutir os desafios da implantação da LGPD na Administração Pública, em especial nas contratações públicas, vamos analisar a necessidade de adequar o tratamento dos dados pessoais sob dois prismas: os dados pessoais de terceiros que a Administração utiliza durante as fases da contratação e os dados pessoais que ela fornece a terceiros em virtude da contratação. Considerando a necessidade de controle social, também discutiremos os pontos de interseção de dois princípios: proteção de dados e acesso à informação. Por fim traremos posicionamentos emanados pela ANPD, procuradorias e normativos.

2 – CONTEXTO HISTÓRICO

A LGPD, Lei nº 13.709/2018, inovou o ordenamento jurídico pátrio, porém já existia em mais de 150 outros países. A proteção do dado pessoal alcança a vida de todas as pessoas naturais e, por isso, perpassa todos os ramos do direito existentes.

A LGPD tem forte inspiração europeia, no Regulamento Geral sobre Proteção de Dados - RGPD[1],  idealizado em 2012, aprovado em 2016 e em vigor desde 2018. O instrumento teve como versão prévia, em 1995, a Diretiva de Proteção de Dados que não possuía, como o próprio nome diz, função normativa. Porém, em função de escândalos de violação de dados, em especial no contexto das eleições americanas de 2016[2], o tema tomou corpo e foi aprovado enquanto norma. Segundo MALDONADO, 2019, p. 15:

Felizmente, a Lei brasileira é bastante similar à Lei europeia, o que certamente favorece estudo sistemático comparativo, inclusive no que diz respeito a apontar as diferenças essenciais. E, como a nova Lei, o País agora se eleva em nível reputacional de modo a garantir a continuidade dos fluxos de dados para a União Europeia e o regular recebimento de dados daquela origem.

 

No Brasil a legislação previu vigências parciais específicas. Houve alterações de algumas e outras tentativas de adiar as vigências, em especial atrelando às dificuldades impostas pela pandemia de Covid-19, iniciada no começo de 2020. Fato é que desde 1º de agosto de 2021 a lei está integralmente vigente em todos os seus dispositivos, inclusive a parte das sanções.

3 – CONCEITOS BÁSICOS

Para entendimento das implicações da Lei Geral de Proteção de Dados às contratações públicas, é importante a exposição de alguns conceitos fundamentais. O primeiro se refere ao próprio dado pessoal: qualquer dado que permite a identificação de uma pessoa natural, ou seja, pessoa viva. Pode ser uma identificação direta como um número de CPF de um representante de uma empresa ou os dados dos servidores públicos arquivados em um datacenter ou mesmo uma referência incontestável que permite a identificação^[3].

Outro conceito basilar é o de tratamento de dados que está disposto de modo exemplificativo na LGPD no artigo 5º, inciso X:

toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

Os atores previstos na LGPD são o titular, aquela pessoa natural a que se refere o dado pessoal tratado; o controlador, pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; o operador, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; os agentes, controlador e operador; e o encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Nas contratações públicas normalmente o controlador é a Administração e operador a empresa contratada. Mas é importante destacar que muitas vezes a contratada também funciona como controlador, ou controlador conjunto, ou co-controlador, uma vez que toma decisões em relação aos dados pessoais. Esse ponto precisará de emissão de diretriz da ANPD já que a LGPD não trouxe disposições nesse sentido, ao contrário do RGPD, e essa lacuna pode exigir posicionamentos quando da ocorrência de incidentes.

Também é importante trazer aqui os princípios da LGPD porque se algum deles for desrespeitado, há violação da proteção de dados pessoais. São eles previstos no artigo 6º da lei e podemos descrever como:

ü  Finalidade: especificada e informada ao titular; o dado não pode ser usado para outra finalidade que a inicialmente informada.

ü  Adequação: compatibilidade do tratamento com as finalidades informada.

ü  Necessidade: limitação do tratamento ao mínimo de dados necessários.

ü  Livre acesso: os titulares devem ter acesso gratuito e facilitado aos seus dados vedando-se procedimentos burocráticos.

ü  Qualidade dos dados: exatidão, clareza e atualização dos dados.

ü  Transparência: informações claras e acessíveis sobre o tratamento.

ü  Segurança: medidas técnicas e administrativas para a proteção de dados

ü  Prevenção: adoção de medidas prévias que evitem danos aos titulares.

ü  Não discriminação: impossibilidade de tratamento discriminatório ilícito ou abusivo.

ü  Responsabilização e prestação de contas: demonstração pelos agentes da adoção de medidas de segurança eficazes e capazes.

As bases legais, por sua vez, são as hipóteses que permitem o tratamento de dados e são exaustivos na LGPD:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres,;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;     

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Das bases legais existentes, aquelas que justificam o tratamento de dados nas contratações públicas, na maioria dos casos, são as dispostas nos incisos II, III e V acima, podendo também ser o legítimo interesse do controlador ou o exercício regular de direito.

Vale destacar que as maiores punições aplicadas por descumprimento à GDPR referem-se à problemas com base legal ou não conformidade a princípios e não, como muitos podem associar, com vazamento de dados, como mostra a relação de punições aplicadas pela Autoridade Europeia de Proteção. Além disso a ausência de “medidas técnicas e organizacionais insuficientes para garantir a segurança da informação” ou vazamento de dados, são 168 num total de 1231 multas aplicadas, ou 13,65%, e a de maior valor é a 10ª na relação das maiores multas aplicadas:

Quadro 1: 10 maiores punições aplicadas pela Autoridade Europeia de Proteção de dados até 18/06/2022, conforme site https://www.enforcementtracker.com/.

Por fim, dois conceitos são fundamentais quando se fala em proteção de dados. O primeiro é o privacy by design: significa que a proteção de dados deve ser pensada ao longo de todo o processo, em cada etapa, desde a coleta até sua eliminação. Ao se definir os cuidados que devem ser observados na coleta os dados exigidos para assinatura de um contrato, por exemplo, também devem ser identificados os cuidados para acesso a terceiros, como órgãos de controle e cidadãos e a forma de exclusão dos dados. O outro conceito importante é o privacy by default: proteção de segurança concebida durante o desenvolvimento, de forma automática, ou seja, privacidade por padrão, devendo ser verificado a cada novo processo, nova tarefa, novo modelo de documento, se o mínimo necessário em termos de proteção de dados está sendo observado, tais como finalidade específica e legítima para o tratamento de dados pessoais.

4 – COMITÊ DE PRIVACIDADE

A implantação da LGPD exige um conhecimento multidisciplinar: vários ramos de direito, tecnologia da informação, recursos humanos, processos, dentre outros. Assim, é recomendável a instituição de um comitê ou comissão, formado por profissionais com expertise nessas e em outras áreas ligadas às atividades do órgão ou entidade, para que a implementação se dê em alinhamento com as necessidades e realidade da organização.

5 – CICLO DE IMPLEMETAÇÃO DA LGPD

A implementação da LGPD não pode ser padronizada para empresas de portes e segmentos diferentes, assim como para organizações públicas e privadas. Há uma série de particularidades que fazem com que o tratamento de dados seja diferenciado para que os resultados atinjam a finalidade da Lei. Porém, pode-se traçar um caminho de implementação e controle mais adequados e com menos chances de retrabalhos ou abertura para ocorrência de incidentes.

Em um contexto privado alguns pontos iniciais são estudados como, por exemplo, quanto a organização está disposta a investir em proteção de dados e contratação de consultorias. Porém na Administração Pública, muito mais em tempos difíceis como o atual, de pandemia, os custos tendem a ser os menores possíveis. Assim partimos para um modelo mais prático. LIMA, Adriano (in MALDONADO, Viviane, 2019, p. 147), apresenta a seguinte sugestão:

Diagrama 1: Sugestão de fluxo para Implementação da LGPD – Adriano Lima

Já ZENKENER, Marcelo e SPINELLI, Mario (in PIRONTI, Rodrigo, 2021, p. 295 a 297) apresentam um roteiro para a implementação da LGPD em empresas estatais. Como a parte referente às contratações se insere no contexto de toda a organização pública, a explanação é geral e nos pontos de detalhe serão mais exploradas. Com base nos pontos elencados pelos autores, qualquer órgão ou entidade pode seguir os passos apresentados no quadro abaixo:

Quadro 2: roteiro de implementação da LGPD em órgão ou entidade. Elaborado pela autora.

Boa parte da doutrina apresenta outros passos além dos apontados acima. Um deles é a criação de uma política de privacidade^[4] que reúne as diretrizes de como a organização trata a proteção de dados devendo apresentar regras, dentre outras, sobre os riscos e responsabilidades das unidades organizacionais, a conformidade geral da organização, a capacidade de aplicar penalidades e ações disciplinares e a compreensão das penalidades por não conformidade. Entretanto, muitas organizações elaboram a política após o mapeamento dos processos internos, inventário de dados e riscos e a realização das readequações necessárias.

6 – IMPLEMENTAÇÃO DA LGPD

A partir da estrutura apresentada no item anterior, passamos a descrever como é possível realizar a implementação da proteção de dados nas contratações públicas.

6.1. Mapeamento dos processos

Em relação aos processos é fundamental entender que uma contratação pública é um todo que começa com a detecção de uma necessidade de pública e finaliza com a satisfação da mesma. Tudo começa com o planejamento e termina na execução contratual, como pode-se observar abaixo nesse macroprocesso:

Diagrama 2: Macroprocesso da Contratação pública. Elaborado pela autora.

6.2. Mapeamento das bases de dados

Considerando que o macroprocesso de contratação, desdobra-se em vários processos e cada um possui várias etapas, é possível realizar o inventário de dados, ou seja, em cada etapa, em cada atividade, quais as áreas, sistemas e documentos são envolvidos, quais os responsáveis e qual o tratamento realizado. Um exemplo se apresenta abaixo: processo de aquisição/contratação por dispensa ou inexigibilidade. Por essa análise registra-se todas as áreas envolvidas nas atividades, ou seja, os responsáveis, o fluxo, os documentos e cada sistema envolvido.

Diagrama 3: Dispensa ou inexigibilidade – Jornada de Processos da Unidade Centralizadora – Projeto CCC[5]

Em alguns pontos do processo acima há “checklist” com relação de todos os documentos necessários, alguns padronizados, outros não, alguns provenientes de formulários, outros não, alguns provenientes de sistemas, outros não. Em cada um desses documentos do checklist deve ser levantado quais os dados pessoais tratados como, por exemplo, dados exigidos de representantes de licitante em modelo de proposta.  O inventário de dados tem como objetivos, segundo VIEIRA, Claudinei (in MALDONADO, Viviane, 2019, p. 66):

Entender com detalhes a diversidade dos dados coletados, armazenados e processados; categorizar melhor os dados; mensurar mais claramente os riscos de privacidade de dados; permitir elaborar planos de ações mais direcionados e efetivos; confirmar as bases legais para cada finalidade e categoria de dados; elaborar um bom plano de auditoria de dados.

6.3. Identificação dos riscos envolvidos

O próximo passo é a análise dos riscos relacionadas a incidentes. A primeira preocupação que surge aqui é separar os riscos inerentes a cada tratamento possível. Assim, quando se trata de processos de contratação em andamento, em fase interna, há que se avaliar os riscos relacionados à coleta, produção, recepção, classificação e utilização em respeito aos princípios da LGPD (como necessidade, adequação e finalidade, por exemplo). A partir da publicidade do processo há que se atentar também para riscos referentes a acesso, reprodução, transmissão, distribuição, processamento e arquivamento, uma vez que os processos licitatórios passam a ser de acesso público em função da Lei nº 12.257/2011, a Lei de Acesso à Informação[6], apenas com as exceções[7] nela previstas. Durante toda a fase externa e a execução contratual há que se assegurar também o correto tratamento referente ao armazenamento, eliminação, avaliação e controle da informação, modificação, comunicação, transferência, difusão ou extração. Mais uma vez é necessário considerar a guarda de documentos conforme tabela de temporalidade e também a necessidade de transferência de informações a órgãos de controle.

Tudo isso analisado, é hora de avaliar os riscos de descumprimento da LGPD identificando medidas mitigadoras que podem ser técnicas e precisam da TI para solucionar (como adotar verificação de segurança em duas etapas[8]) e procedimentais (como cuidado com guarda adequada de documentos físicos).

Boas referências são citadas por LOUREIRO, Beatriz Faria de Almeida; BLEME, Nicolle; MIRANDA, Rodrigo Fontenelle de A., (in PIRONTI, Rodrigo, 2019, p. 60) para realização do mapeamento dos dados e de riscos: documentos já disponibilizados pelo Governo Federal[9] e Governo do Estado de Minas Gerais[10] como planilhas eletrônicas. 

6.4. Revisão de rotinas, fluxos e processos

Realizado o inventário e identificados os riscos, é então necessário realizar a revisão de todas as operações executadas internamente para a avaliação de conformidade e proceder às alterações pertinentes. Nesse momento podem ser instalados ou alterados sistemas, softwares, procedimento operacional padrão (POPs), a partir do redesenho dos fluxos internos adaptados à LGPD.

6.5. Adequação de documentos

Nos itens 7 e 8 trataremos com mais detalhes esse assunto.

6.6. Definição de política de treinamento

A política de treinamento é ferramenta comum às organizações públicas e privadas sendo diretriz para capacitação dos empregados e servidores nas mais diversas temáticas. Com a LGPD não é diferente, pelo contrário. A proteção de dados pessoais é assunto atual, porém ainda não embutida na cultura organizacional. Desta forma é fundamental que o treinamento ocorra, de forma prévia à implantação, mas também de forma contínua, posteriormente. É importante que todos os envolvidos em qualquer fase do processo de contratação recebam treinamento para realizar suas tarefas respeitando a proteção de dados.

6.7. Edição de manuais e normas internas

Os manuais estão mais voltados para questões operacionais, o “como fazer”, enquanto as normas internas refletem as regras que devem ser seguidas. Então esses documentos devem refletir as diretrizes da organização dispostas nas políticas internas, na LGPD e nas instruções da Agência Nacional.

6.8. Produção de relatórios

Deve ocorrer ao longo de todo o processo de implantação para documentar o que foi feito e também para melhor proporcionar o monitoramento e o controle. A documentação de qualquer projeto tem a importância de servir como base de entendimento para do programa de implementação adotado.

6.9. Definição de responsabilidades

Para que possa haver organização dos papeis e individualização de condutas, é necessário que as responsabilidades e as competências, sejam claramente definidas e registradas. Nesse ponto deve-se tanto delimitar a responsabilidade de colaboradores, de gestores, de unidades organizacionais, em todos os processos, inclusive nas contratações públicas.

6.10. Operacionalização da função do encarregado

O encarregado, além de atuar como canal entre o controlador, os titulares e a ANPD, tem uma série de funções na organização como as dispostas no § 2º do artigo 41 da LGPD:

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

6.11. Monitoramento do processo

O processo de implantação da LGPD é apenas o primeiro passo para a adequação. Isso significa que passa a ser perene o processo. Deve haver monitoramento por meio de auditorias para apuração de resultados. Por outro lado, o controle deve ocorrer de modo a detectar incidentes e corrigindo rotinas, fluxos, documentos, de modo a mitigar novas ocorrências. O controle tem papel crucial na manutenção da conformidade da Administração. Segundo ALMEIDA, Pedro Luiz Ferreira de e GALIL, João Victor Tavares (in DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes, 2020, p. 728):

Por fim, no que diz ao regime sancionador, a LGPD recomenda a adoção de um programa de boas práticas e governança pelos agentes de tratamento. Apesar de não ser um dever imposto pela LGPD, a adoção dessas práticas permite que os controladores identifiquem e corrijam problemas e falhas no tratamento de dados.  No mais, caso essas falhas constituam também infração administrativa, a adoção de um programa de governança efetivo e funcional servirá como um atenuante da sanção aplicável, tal qual ocorre com o programa de integridade no âmbito da Lei Anticorrupção.

7 – DADOS PESSOAIS DE TERCEIROS TRATADOS PELA ADMINISTRAÇÃO

O processo administrativo deve registrar todos os atos ocorridos em todas as fases da contratação pública: fase interna, seleção de fornecedor e execução contratual. Como as bases legais são via de regra o cumprimento de obrigação legal pelo controlador, para procedimentos preliminares e para execução de contrato, podemos apontar os principais cuidados a serem observados.

Em relação à fase interna, antes de um processo de contratação se tornar público, pode haver dados pessoais de representantes de fornecedores em orçamentos encaminhados para a formação de preços. Pode haver dados referentes à lista de participantes em consulta ou audiência pública, caso tenham ocorrido.

Na seleção de fornecedores, um cuidado básico está na elaboração de modelos de editais, de contratos, de propostas e outros anexos de forma a não exigirem a inserção de dados pessoais além dos adequados para atender à finalidade (como RG e CPF, além de nome e matrícula, de responsáveis por fiscalização ou por vistorias e autoridade que assinará contrato, por exemplo).  É preciso ter em mente sempre que o que é necessário é a documentação do fornecedor que sendo pessoa jurídica reduz os dados pessoais aos mínimos para identificação dos responsáveis.

Para adequação pode-se utilizar documentos padronizados que exijam apenas os dados pessoais adequados para atender à finalidade. Por exemplo, modelo de proposta de preço para orçamento prévio e para contratação. O que é necessário é a documentação do fornecedor que pode, inclusive, ser pessoa física ou MEI, mas que sendo pessoa jurídica dispensa detalhamentos de dados pessoais.

Na fase de execução contratual pode haver informações em documentação com dados pessoais de signatários de contratos e aditivos, fiscais de contratos, prepostos das contratadas, responsáveis técnicos, prestadores de serviços autorizados a entrar em imóveis e canteiros de obras, dentre outros. Nesse caso é responsabilidade da Administração o tratamento tanto dos dados de seus servidores/empregados quanto das pessoas físicas que atuam em nome do fornecedor.

Também devem ser adequados modelos de contrato, formulários, relatórios técnicos com a exigência do mínimo de dados em respeito aos princípios da necessidade e da finalidade.

7.1. Dados pessoais de terceirizados

A Administração, quando da contratação de serviços terceirizados, recebe dos contratados informações sobre esses empregados para fins de controle, de acesso às instalações, de fiscalização. Nesse sentido, apontam AMARAL, Greycielle; PEREIRA, Maria Fernanda Pires Carvalho e CHAGAS, Carolina F. Dolabela (in FORTINI, Cristiana; PAIM, Flaviana Vieira, 2022, p.300-301) a disposição da Lei nº 14.116/220:

Divulgar o nome do empregado terceirizado que exerce atividade pública de forma exclusiva e contínua, com o respectivo cargo ou atividade exercida, lotação e local do seu exercício teria a finalidade de cumprir a Lei de Acesso à Informação, bem como, no caso da Administração Federal, atender o disposto na Lei nº 14.116/2020.

Essa é uma forma de controle/participação, que caracteriza o paradigma estatal democrático.

Sabe-se que o Cadastro de Pessoa Física (CPF) é um documento que melhor identifica o cidadão atualmente no Brasil, pois apenas o nome pode conduzir a homonímias. Contudo, o prórpio Governo Federal está adotando mecanismos para cumprir a finalidade de transparência com o cuidado de evitar a divulgação do número inteiro do CPF, tendo em vista o pontencial prejudicial que pode ocasionar por meio de fraudes e uso indevido.

A referida Lei traz a seguinte redação:

Art. 149. Os instrumentos de contratação de serviços de terceiros deverão prever o fornecimento pela empresa contratada de informações contendo nome completo, CPF, cargo ou atividade exercida, lotação e local de exercício dos empregados na contratante, para fins de divulgação em sítio eletrônico.

...

§ 2º A divulgação prevista no caput deverá ocultar os três primeiros dígitos e os dois dígitos verificadores do CPF.

7.2. Disponibilização de dados pessoais constantes nos processos

Um ponto importante a ser tratado são os dados pessoais constantes nos processos de contratações públicas e que também estão presentes em contrato social de empresas. Há quem defenda que todas as informações referentes a sócios que constem no contrato social devem ser públicas nas contratações, não havendo justificativa de qualquer anonimização ou pseudo-anonimização desses dados mesmo que em outros documentos. Isso porque as informações são registradas no contrato por exigência dos artigos 997 e 998 do Código Civil, Lei nº 10.406/2002:

Art. 997. A sociedade constitui-se mediante contrato escrito, particular ou público, que, além de cláusulas estipuladas pelas partes, mencionará:

I - nome, nacionalidade, estado civil, profissão e residência dos sócios, se pessoas naturais, e a firma ou a denominação, nacionalidade e sede dos sócios, se jurídicas;

Art. 998. Nos trinta dias subsequentes à sua constituição, a sociedade deverá requerer a inscrição do contrato social no Registro Civil das Pessoas Jurídicas do local de sua sede.

Pois bem, a Lei nº 8.934/94, sobre registro público de empresas, dispõe sobre a publicidade do registro das empresas e sobre o acesso para qualquer pessoa:

Art. 1º  O Registro Público de Empresas Mercantis e Atividades Afins, observado o disposto nesta Lei, será exercido em todo o território nacional, de forma sistêmica, por órgãos federais, estaduais e distrital, com as seguintes finalidades: (Redação dada pela Lei nº 13.833,de 2019)

I - dar garantia, publicidade, autenticidade, segurança e eficácia aos atos jurídicos das empresas mercantis, submetidos a registro na forma desta lei;

II - cadastrar as empresas nacionais e estrangeiras em funcionamento no País e manter atualizadas as informações pertinentes;

III - proceder à matrícula dos agentes auxiliares do comércio, bem como ao seu cancelamento.

....

Art. 29. Qualquer pessoa, sem necessidade de provar interesse, poderá consultar os assentamentos existentes nas juntas comerciais e obter certidões, mediante pagamento do preço devido.

 

Sobre os registros públicos, foi publicada a Medida Provisória nº 1.085 de 27 de dezembro de 2021 sobre o Sistema Eletrônico de Registros Públicos – SERP, enviada para sanção presidencial em 08/06/2022. Essa MP não trouxe mudanças em relação à consulta de dados em poder de tais entidades. O que consta sobre a LGPD é:

Art. 9º  Para verificação da identidade dos usuários dos registros públicos, as bases de dados de identificação civil, inclusive de identificação biométrica, dos institutos de identificação civil, das bases cadastrais da União, inclusive do Cadastro de Pessoas Físicas da Secretaria Especial da Receita Federal do Brasil do Ministério da Economia e da Justiça Eleitoral, poderão ser acessadas, a critério dos responsáveis pelas referidas bases de dados, desde que previamente pactuado, por tabeliães e oficiais dos registros públicos, observado disposto na Lei nº 13.709, de 14 de agosto de 2018, e na Lei nº 13.444, de 11 de maio de 2017.

 

Mais um ponto para reflexão é a Lei nº 12.527/11, de Acesso à Informação, que traz os seguintes dispositivos:

Art. 7º O acesso à informação de que trata esta Lei compreende, entre outros, os direitos de a:

...

VI - informação pertinente à administração do patrimônio público, utilização de recursos públicos, licitação, contratos administrativos;

...

Art. 8º É dever dos órgãos e entidades públicas promover, independentemente de requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de informações de interesse coletivo ou geral por eles produzidas ou custodiadas.

§ 1º Na divulgação das informações a que se refere o caput, deverão constar, no mínimo:

IV - informações concernentes a procedimentos licitatórios, inclusive os respectivos editais e resultados, bem como a todos os contratos celebrados;

 

Então, se a própria lei garante o acesso a qualquer pessoa os dados constantes nos contratos sociais (Lei 8.934/94), se nos contratos sociais é obrigatória a informação de vários dados pessoais (Código Civil), se as informações de licitações e contratos administrativos, incluída a documentação que tem esses dados pessoais, é um direito (LAI), logo a Administração Pública não deve se preocupar com a coleta e divulgação desses dados já que há bases legais para isso, correto? Talvez sim, talvez não.

Até 2018 não tínhamos uma lei específica que protegesse dados pessoais e não havia margem para interpretação diversa da conclusão anterior. Porém, a LGPD prevê a proteção de dados pessoais e o respeito a diversos princípios. A questão é se a publicidade exigida pela LAI e Lei de Registros Públicos não fere o princípio da adequação da LGPD, afinal, há compatibilidade do tratamento (coleta, divulgação) com as finalidades da contratação pública? É relevante para um processo de contratação pública o endereço residencial, estado civil ou formação de um sócio, por exemplo? A ANPD pode interpretar de forma diversa? Como fica a coexistência de princípios diversos como proteção de dados, acesso à informação e publicidade?

CANHADAS, Fernando Augusto Martins (in DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes, 2020, p. 436) traz importante apontamento a esse respeito:

Ou seja, não há dúvidas de que a LGPD trouxe ao tratamento de dados pessoais uma maior relevância do que a que ele possuía no passado, e essa circunstância não pode ser olvidada pelo intérprete. Assim, quando estamos a tratar de conflito ente direitos fundamentais que haviam recebido uma análise em momento anterior à entrada em vigor do novo diploma, é extremamente importante que essas questões sejam revisitadas, para que se adeque o processo de sopesamento a essa nova realizada normativa.

 

FORTINI, Cristiana (Conjur, 2022) analisa a necessidade de proatividade do Poder Público em relação à transparência observando-se os princípios de proteção de dados:

Na toada da LAI, o inciso I do artigo 23 da LGPD está a exigir mais um exercício proativo do Poder Público: veicular, preferencialmente em seus sítios eletrônicos, as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.

 

Trazemos como referência a Portaria GM-MD nº 5.396, de 28 de dezembro de 2021, que dispõe sobre as orientações gerais acerca da disponibilização, para consulta, do inteiro teor dos processos administrativos de compras e contratações, por licitações ou contratações diretas, e execuções dos contratos decorrentes, no âmbito do Ministério da Defesa e assim dispõe:

Art. 1º Esta Portaria dispõe sobre as orientações gerais acerca da disponibilização, para consulta, do inteiro teor dos processos administrativos de compras e contratações, por licitações ou contratações diretas, e execuções dos contratos decorrentes, no âmbito do Ministério da Defesa.

...

Art. 6º Os processos de que trata esta Portaria serão disponibilizados de acordo com as regras de acesso restrito e sigilo definidas na legislação e normativos aplicáveis.

Parágrafo único. Os documentos dos processos de licitações que apresentarem informações pessoais estarão sujeitos às disposições da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI), e da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD), e regulamentações correspondentes.

 

Outra referência é a orientação da Advocacia Geral da União a partir do questionamento do encarregado de proteção de dados da Agência Nacional de Transportes Terrestres – ANTT, exarado no Parecer n. 00260/2021/PF-ANTT/PGF/AGU:

a) Nos contratos administrativos de competência da Superintendência de Gestão Administrativa - relativos às contratações de obras, bens e serviços - deverão ser expostos na qualificação apenas o nome e o CPF da pessoa física contratada ou do representante da pessoa jurídica.

b) Nos processos administrativos de competência da Superintendência de Gestão Administrativa - relativos às contratações de obras, bens e serviços - deverão ser protegidos todos os dados pessoais, exceto o nome e o CPF da pessoa física contratada ou do representante da pessoa jurídica.

c) Nos casos de contratação de competência da Superintendência de Gestão Administrativa - relativos às contratações de obras, bens e serviços - quando a execução do contrato se der fora das dependências a ANTT, o endereço de execução do contrato não está acobertado por proteção que impeça o acesso público a esta informação, ainda que caracterizada como dado pessoal.

d) Nos contratos administrativos de competência da Superintendência de Gestão Administrativa - relativos às contratações de obras, bens e serviços - os agentes públicos deverão ser identificados apenas por seu nome e cargo, seguidos dos dados do ato administrativo que conferiu a competência - específica ou genérica - para figurar no contrato.

e) Não deverá ser permitido o acesso público a nenhum outro dado pessoal além dos mencionados acima. Eventuais pedidos de acesso aos dados protegidos deverão ser analisados conforme o caso, considerando a justificativa do demandante da informação quanto à imprescindibilidade do acesso ao dado pessoal para a efetividade do controle social.

 

Por fim, outro exemplo vem do Estado de Minas Gerais que criou um Grupo de Trabalho^[11] o sobre Lei Geral de Proteção de Dados Pessoais. Esse GT submeteu à Advocacia Geral do Estado consulta sobre publicidade de dados pessoais no Portal da Transparência, incluindo aqueles constantes em preâmbulos de contratos. A AGE elaborou o Parecer^[12] nº 16.248/2020 em que apresentou a conclusão de manutenção de publicidade, porém com a descaracterização ou ocultação de dados e apresentou justificativa da não violação da LAI:

31. Em conclusão, ao responder aos questionamentos que nos foram formulados, somos de opinião favorável à adoção das soluções pensadas pela consulente. Seja pela descaracterização de parte do número CPF e de outros documentos de identificação civil de candidatos aprovados em concursos públicos, representantes de sociedades e entidades contratantes e credores do Estado. Seja pela ocultação de dados pessoais adicionais constantes de termos negociais entabulados pelo Estado. Entendendo-as, quando avaliadas em sua razoabilidade e legalidade, adequadas a dar cumprimento à ditames que, à primeira vista, mas de forma meramente aparente, seriam contraditórios. Preservando-se, de tal modo, o dever de transparência sedimentado na Lei de Acesso à Informação e o dever de proteção de dados pessoais de que trata, de forma sistematizada, a Lei Geral de Proteção de Dados.

32. Não se vislumbrando na primeira, todavia, o dever de divulgação de toda e qualquer informação de posse da Administração. Ao contrário. Sendo válido apontar que a preocupação com a preservação de dados pessoais está também presente na Lei de Acesso à Informação. E reflete norma constitucional destinada à preservação dos direitos à privacidade e propriedade de seu titular. Reconhecendo-se, pois, na ocultação no Portal da Transparência de parte de dados de pessoas com as quais a Administração se relaciona por força de concursos públicos que realiza, de contratos que celebra e de despesas públicas que empenha e paga, medida legítima. Que não inviabiliza, sob qualquer ângulo, o dever de publicidade e transparência que caracteriza sua atuação. A exemplo do que já ocorre em situações outras aqui indicadas e já adotadas no mesmo Portal, como é o caso da divulgação da remuneração de seus agentes e de apostadores agraciados com premiações da Loteria Mineira.

 

Outra questão que podemos apresentar, a partir desse parecer, é a seguinte: se os dados para disponibilização em Portal da Transparência devem ser descaracterizados ou mesmo ocultados, como proceder com aqueles constantes em documentos, inseridos pelo licitante em portal de compras para efeito de habilitação e disponíveis ao público? O fato de participar de uma licitação eletrônica, que prevê o envio de documentos para o portal, é suficiente para ser considerado consentimento de disponibilização pelo titular, não só para a Administração, como também para seus concorrentes e o público em geral? Ou os portais de compras precisam ser adequados, por exemplo, permitindo inserção em campos diferentes, um para documentos com dados pessoais e outro sem dados pessoais e apenas esses seriam públicos?

Por isso entendemos que esse assunto deve ser estudado de forma mais criteriosa e que a análise do setor jurídico é imprescindível.

7.3. Orientação da ANPD

Em 28 de janeiro de 2022, em comemoração ao Dia Internacional da Proteção de Dados, a ANPD publicou o Guia Orientativo “Tratamento de Dados Pessoais pelo Poder Público”. Sobre a questão dos dados pessoais em contratos, assim se posicionou a Agência (BRASIL, ANPD, p. 14):

Exemplo 9. Dados coletados para elaboração de contrato administrativo A Secretaria de Educação de um Município contrata, por licitação, uma empresa para fornecer merenda nas escolas. Para firmar o contrato com a Secretaria, tanto o representante da empresa quanto o servidor público que assinará o contrato fornecem os seus dados, como nome, profissão, CPF, RG, estado civil e endereço residencial. Para atender a outros dispositivos legais e dar publicidade à contratação da empresa, o contrato é divulgado no sítio eletrônico da Secretaria de Educação. É possível que dados como estado civil e endereço residencial não sejam necessários para a identificação dos responsáveis pela contratação e para viabilizar o exercício do controle social sobre a atividade do órgão público. Assim, a fim de limitar o tratamento ao mínimo necessário para a realização de suas finalidades, o ideal é não coletar esses tipos de dados.

 

Fazemos algumas ponderações. Em primeiro lugar, o documento não é normativo, mas um guia orientativo. Em caso de descumprimento, não significa que a ANPD sancionará a Administração. Em segundo lugar, como se observa no exemplo, a orientação é de sempre ser analisada a necessidade de divulgação de dados considerando o controle social que a Lei de Acesso à Informação exige. Assim, quando da elaboração dos contratos, apenas o essencial deve ser pedido e também disponibilizado. A partir desse posicionamento, pode-se pensar que também a divulgação dos dados dos contratos sociais pelos registros públicos poderá ter orientação semelhante.

8 – DADOS DE POSSE DA ADMINISTRAÇÃO DISPONIBILIZADOS A TERCEIROS

Se por um lado a Administração precisa se preocupar com a coleta e divulgação de dados recebidos de representantes de fornecedores, cidadãos que interpõem impugnação a edital e outros que participem do processo de contratação pública de alguma forma, também precisa se preocupar com os dados que são passados para os contratados quando, via de regra, esses são operadores. Dessa preocupação devem surgir cláusulas contratuais de controle do tratamento de dados uma vez que tanto o controlador (Administração) quanto operador (fornecedor) respondem pela proteção de dados. É papel do controlador passar as instruções ao operador conforme disposto no artigo 39 da LGPD. Segundo ACOCELLA, Jéssica e SAMPAIO, Rodrigo (in DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes, 2020, p. 368):

Para tanto, importante que se preveja uma clara repartição de responsabilidades, da qual conste, entre outros aspectos: (i) sujeição à obrigação de confidencialidade; (ii) obrigatoriedade de adoção de medidas técnicas e organizativas adequadas ao tratamento de dados; (iii) colaboração com a entidade pública na resposta aos pedidos de exercício de direitos dos cidadãos; e (iv) atuação apenas mediante orientação da Administração contratante.

 

Destaca SCHRAMM, Charles (in DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes, 2020, p. 797) que é importante o edital de licitação trazer as exigências relacionadas à proteção dos dados pessoais tratados, em função do contrato administrativo e que, independentemente delas, o fornecedor deve cumprir imposições legais da LGPD:

É bem provável que a empresa contratada sob esse contexto precise adequar a sua estrutura interna para garantir a conformidade com a legislação – o que perpassa pela implementação de uma estrutura mínima de compliance. Tais adequações devem ser incluídas no rol de obrigações contratuais assumidas pelo particular e podem, inclusive, ser exigidas entre os requisitos de habilitação, previstos nos instrumentos convocatórios, na medida em que se afiguram indispensáveis à garantia do cumprimento das obrigações que envolvam o tratamento de dados pessoais. Em observância à dicção do inciso XXI do artigo 37 da Constituição Federal.

Por outro lado, a inexistência de previsão editalícia acerca das obrigações impostas pela LGPD, por evidente, não exime o particular de garantir o cumprimento da legislação – embora a cautela do ente licitante ao discriminar as normas jurídicas que balizam a atividade licitada possibilite a apresentação de propostas mais condizentes com a realidade.

 

Para auxiliar as organizações, estão disponíveis minutas de cláusulas por alguns órgãos e entidades da Administração como a minuta de Termo Aditivo para inclusão de regra de proteção de dados pessoais, pelo Serviço Federal de Processamento de Dados - Serpro^[13], e cláusulas padrão constantes na Nota Jurídica^[14] nº 5.872/2021 da Advocacia Geral do Estado de Minas Gerais - AGE. Com todo respeito, entendemos que um modelo único para todas as situações não parece o mais eficaz.

Há que se considerar algumas situações que modificam as realidades dos contratos e por isso devem ser assim tratadas quando da elaboração das cláusulas. A primeira está relacionada com o momento e a segunda com o objeto.

Em relação ao momento de inserção das cláusulas de proteção de dados, as mesmas são necessárias para novos contratos, mas também para aqueles que já estão em vigor^[15].

Para os contratos vigentes é necessária a elaboração de cláusulas que garantam o cumprimento da LGPD pelo contratado e que sejam o reflexo da diretriz definida pelo órgão ou entidade e de disposição em conceder reequilíbrio econômico-financeiro dos contratos ou mesmo em não conceder. Conforme a disponibilidade em reequilibrar a relação inicialmente estabelecida, podem ser elaboradas cláusulas mais ou menos severas incluindo a necessidade de investimento pelo contratado em tecnologia, auditoria de sistemas e treinamento de pessoal.

Já para novos contratos, as condições já podem ser pré-definidas durante a elaboração do Termo de Referência, decorrente dos Estudos Técnicos Preliminares, e apresentada ao mercado para que nos preços sejam refletidas as disposições da LGPD.

Há variações também em relação ao tipo de objeto contratado porque as exigências de proteção de dados são refletidas no preço final pago pela Administração. Num contrato em que o objeto é diretamente o tratamento de dados, como armazenamento de dados de cidadãos em datacenter ou nuvem, as cláusulas precisam ser mais rígidas e as exigências maiores de forma a mitigar os riscos de incidentes. Já num contrato cujo objeto não envolve tratamento de dados como o fornecimento de materiais de limpeza, por exemplo, as exigências em excesso apenas oneram a contratação, sem necessidade. Há, entre esses dois extremos, contratos onde existe tratamento de dados sem, contudo, ser esse o objeto, como o a emissão de crachás de acesso que dependem de transferência de dados pessoais. Assim, para cada tipo de objeto, as cláusulas podem ser diferenciadas de forma e espelhar a necessidade da proteção devida; esse é mais um ponto de atenção que deve ser estudado na relação Administração e contratado.

Além das cláusulas é necessário que a Administração promova auditorias e fiscalize a adequação à LGPD pelo contratado. Nas palavras de JACOBY, Murilo e CAMARÃO, Tatiana (in DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes, 2020, p. 144):

Não se pode perder de vista que deverão ser realizadas gestão de risco e diligências para a verificação da conformidade do contratado em relação à LGPD. Sua inadequação influi diretamente no desenvolvimento dos negócios do órgão ou entidade pública contratante.

Note-se, como mencionado acima, que os órgãos e as entidade deverão buscar expandir o alcance de seu Programa de Proteção de dados para os fornecedores e prestadores de serviços contratados.

 

Por fim, no Guia Orientativo da ANPD (BRASIL, p. 16), importantes alertas são feitos:

62. Não obstante, assim como ocorre com as demais operações de tratamento, o uso compartilhado de dados pessoais deve ser realizado em conformidade com a LGPD, notadamente com os princípios, as bases legais, garantia dos direitos dos titulares e outras regras específicas aplicáveis ao Poder Público. Além de conferir maior previsibilidade, transparência e segurança jurídica ao uso compartilhado de dados, a observância dessas disposições legais constitui peça-chave para a promoção de uma relação de confiança com os titulares e para a adequada gestão de riscos pelos controladores, inclusive para evitar a ocorrência de abusos e desvios de finalidades.

9 – PUNIÇÕES PREVISTAS PELA LGPD

O artigo 52 da LGPD apresenta o rol de sanções cabíveis ao controlador e ao operador quando do descumprimento da lei, a saber:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

VII - (VETADO);

VIII - (VETADO);

IX - (VETADO).

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (grifamos)

 

As sanções destacadas são as aplicáveis às entidades e aos órgãos públicos, conforme parágrafo 3º, ou seja, não se aplicam multas nem suspensão de funcionamento do banco de dados. Porém algumas ressalvas são valiosas.

A primeira é que a lei dispõe que para a Administração se aplicam a Lei nº 8.112/1990, Estatuto do Servidor Federal, a Lei nº 8.429/1992, de Improbidade Administrativa e a Lei nº 12.527/2011, de Acesso à Informação. Isso reflete diretamente na ação e penalização dos servidores e empregados públicos. Entretanto, essas sanções não substituem a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078/90, Código de Defesa do Consumidor, e em legislação específica.         

Mais uma ponderação importante é que, embora não sejam cabíveis multas à Administração por descumprimento à LGPD, não está excluída a possibilidade de desembolso pela Administração em função de outras leis, assim como aplicação de penalidades e também o direito de regresso contra aqueles que deram causa, inclusive servidores ou empregados públicos.

Por fim, o parágrafo 1º refere-se aos parâmetros e critérios considerados, juntamente com as peculiaridades do caso concreto, para aplicação das sanções, após a ocorrência do procedimento administrativo que possibilite a oportunidade da ampla defesa. Além disso, as sanções serão aplicadas, de forma gradativa, isolada ou cumulativa. Os parâmetros e critérios são:

I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II - a boa-fé do infrator;

III - a vantagem auferida ou pretendida pelo infrator;

IV - a condição econômica do infrator;

V - a reincidência;

VI - o grau do dano;

VII - a cooperação do infrator;

VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48;

IX - a adoção de política de boas práticas e governança;

X - a pronta adoção de medidas corretivas; e

XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

 

Destacamos alguns parâmetros que dependem da ação direta da Administração para minimização das sanções como a adoção de política de boas práticas e governança e de mecanismos internos de mitigação de riscos, por um lado, e a reincidência, por outro, ou seja, o caminho é de regulação responsiva^[16].

A Agência Nacional de Proteção de Dados tem uma estrutura enxuta, até demais, para atender a tantas demandas e efetivamente atuar como fiscalizador dos direitos e deveres dispostos na LGPD. É preciso não só criar uma lei e uma agência, mas também dar condições para que elas possam ser ativas. Nesse sentido, a recém transformação da ANPD em autarquia em 13/06/2022 pela MP 1.124, deverá permitir melhor atuação da Agência. Segundo ALVES, Fabricio da Mota (Jota, 2022):

Aliás, deve-se ter em conta que, agora, a nova autarquia tem plenas condições jurídicas e administrativas de instituir, no futuro, unidades regionais em todo o Brasil, bastando, para isso, ter condições financeiras e orçamentárias, aproximando a ANPD de todos os espaços territoriais, o que poderá levar a uma atuação regulatória e até mesmo contenciosa administrativa ou judicial bastante expressiva.

Mas fato é que, com a mudança da ANPD para autarquia especial, somente perdem aqueles que ainda insistirem em negligenciar ou ignorar o cumprimento das regras de proteção de dados.

Porque as condições para uma atuação robusta e profícua estão postas.

10 - CONCLUSÃO

            As contratações públicas enfrentam nesse momento vários desafios. O mais recente, mais divulgado e mais impactante é a necessidade de adequação à Nova Lei de Licitações e Contratos, Lei nª 14.133/21, até março de 2023. O que se espera é que todos os estudos, as regulamentações e as capacitações cabíveis ocorram dentro do prazo de dois anos.

Por outro lado, a LGPD já está em vigor. Os dois anos de adaptação já se passaram, mas é sabido que muito há que fazer, em todas as áreas, no privado, no público. É trocar pneu, amortecedor e óleo com o carro andando.

Dentre as várias dúvidas que afligem os responsáveis pelas contratações na Administração, além das adequações para processos em andamento e para os futuros, há também o arquivo legado. Embora exista base legal[17] para o armazenamento desses dados, há dificuldades em relação aos direitos do titular como, por exemplo, o direito à confirmação da existência do tratamento. Como mapear tudo que está em arquivo não ativo para responder a essa questão? Qual será a normatização ou mesmo orientação da ANPD?

Por fim, entendemos que é necessário nesse momento fazer o que é possível e já está claro na lei ou em regulamento como as medidas preventivas, inclusive de utilização de recursos de tecnologia. Havendo dúvida da aplicação da LGPD, a existência de um comitê multidisciplinar e/ou o auxílio da área jurídica para melhor interpretação são fundamentais. E, indubitavelmente, a capacitação frequente é pré-requisito para o sucesso da proteção de dados visto se tratar de uma mudança de cultura das mais significativas no contexto das organizações nos últimos anos.

11 – REFERÊNCIAS BIBLIOGRÁFICAS

(1) BRASIL. Agência Nacional de Proteção de Dados - ANPD. Guia Orientativo “Tratamento de dados pessoais pelo Poder Público”. Versão 1.0, Jan. 2022. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/no-dia-internacional-da-protecao-de-dados-anpd-publica-guia-orientativo-sobre-tratamento-de-dados-pessoais-pelo-poder-publico

(2) BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Disponível em http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm.

(3) BRASIL. Lei nº 8.112, de 11 de dezembro de 1990. Dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais. Disponível em: http://www.planalto.gov.br/ccivil_03/LEIS/L8112cons.htm

(4) BRASIL. Lei nº 8.429, de 2 de junho de 1992. Dispõe sobre as sanções aplicáveis em virtude da prática de atos de improbidade administrativa, de que trata o § 4º do art. 37 da Constituição Federal; e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/LEIS/L8429.htm.    

(5) BRASIL. Lei nº 8.934 de 18 de novembro de 1994. Dispõe sobre o Registro Público de Empresas Mercantis e Atividades Afins e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/L8934compilado.htm

(6) BRASIL. Lei nº 10.406 de 10 de janeiro de 2002. Código Civil. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm

(7) BRASIL. Lei nº 12.527 de 18 de novembro de 2011. Lei de Acesso à Informação. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm

(8) BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

(9) BRASIL. Lei nº 14.166 de 31 de dezembro de 2020. Dispõe sobre as diretrizes para a elaboração e a execução da Lei Orçamentária de 2021 e dá outras providências. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14116.htm.

(10) BRASIL. Lei nº 14.133, de 1 de abril e 2021. Lei de Licitações e Contratos Administrativos. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/lei/L14133.htm

(11) BRASIL. Advocacia Geral da União. PARECER n. 00260/2021/PF-ANTT/PGF/AGU. Disponível em: https://drive.google.com/file/d/1GuTFo7ntRGkne5U3aN8wnNj-_ZTbewlh/view?usp=sharing.

(12) BRASIL. Ministério da Defesa. Portaria GM-MD nº 5.396, de 28 de dezembro de 2021. Dispõe sobre as orientações gerais acerca da disponibilização, para consulta, do inteiro teor dos processos administrativos de compras e contratações, por licitações ou contratações diretas, e execuções dos contratos decorrentes, no âmbito do Ministério da Defesa. Disponível em: https://in.gov.br/web/dou/-/portaria-gm-md-n-5.396-de-28-de-dezembro-de-2021-370925512

(13) DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes (coordenadores). LGPD e administração pública: uma análise ampla dos impactos. São Paulo: Thomson Reuters Brasil, 2020.

(14) DONDA, Daniel. Guia prático de implementação de LGPD: tudo o que sua empresa precisa saber para estar em conformidade – São Paulo: Labrador, 2020.

(15) FORTINI, Cristiana. Inep, CGU e ANPD: o falso embate entre LAI e LGPD. Conjur. 2022. Disponível em: https://www.conjur.com.br/2022-mar-17/interesse-publico-inep-cgu-anpd-falso-embate-entre-lai-lgpd

(16) FORTINI, Cristiana; PAIM, Flaviana Vieira (coordenação). Terceirização na Administração Pública: boas práticas e atualização à luz da nova Lei de Licitações. Belo Horizonte: Fórum, 2022.

(17) MALDONADO, Viviane Nóbrega; (coordenação). LGPD: Lei Geral de Proteção de Dados: manual de Implementação – São Paulo: Thomson Reuters Brasil, 2019. Vários autores.

(18) MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coordenadores). LGPD: Lei Geral de Proteção de Dados comentada – São Paulo: Thomson Reuters Brasil, 2019. Vários autores.

(19) MINAS GERAIS. Advocacia Geral do Estado de Minas Gerais. Parecer AGE nº 16.248/2020. Disponível em: https://lgpd.mg.gov.br/materiais-disponiveis?download=7:parecer-juridico-age-n-16-248-2020.

(20) ALVES, Fabricio da Mota. ANPD como autarquia federal: o que muda para a proteção de dados no Brasil? Jota, 2022. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/anpd-como-autarquia-federal-o-que-muda-para-a-protecao-de-dados-no-brasil-14062022

(21) PIRONTI, Rodrigo (coordenador). Lei Geral de Proteção de Dados no Setor Público – Belo Horizonte: Fórum, 2021. Vários autores.