COMO PREPARAR AS LICITAÇÕES DA NLL PARA ATENDER A LGPD?

Dando continuidade ao tema da vez, falarei no artigo de hoje sobre as questões práticas envolvendo a proteção de dados nas contratações públicas e um panorama de como preparar as licitações da NLL para atender a LGPD.

      Embora a lei em comento tenha sido publicada em 2018, entidades públicas e privadas tiveram até 2021 para se adequar às suas disposições.

      Contudo, pesquisa recente apontou que apenas 20% das empresas no país estão completamente adequadas às normas.  No setor público essa realidade não é diferente.  Relatório de auditoria realizada pelo TCU concluiu que somente 3% das organizações públicas estão no nível aprimorado de adequação.

      E a situação é ainda mais preocupante quando dos 8 investigados atualmente, 7 são do setor público.  Isso mesmo!

      A ANPD divulgou recentemente a relação atualizada dos processos administrativos instaurados pela Coordenação-Geral de Fiscalização.  São eles:

Dentre as condutas investigadas estão:

  •           ausência de encarregado de dados pessoais;
  •         ausência de comunicação a titulares de incidente de segurança;
  •           ausência de comunicação à ANPD de incidente de segurança;
  •           ausência de medidas de segurança;
  •           não atendimento à requisição da ANPD.

      E neste cenário, pergunta-se:  o que os municípios devem fazer para atingir o nível esperado pelas autoridades competentes em relação à adequação à LGPD?

      Primeiramente, é preciso uma conscientização geral da importância da lei e sua aplicabilidade na prática.  Também será necessário designar um servidor como “Encarregado de Dados”, que será a ponte entre o controlador (Prefeitura, Câmara, Secretaria, etc), os titulares dos dados (cidadãos) e a ANPD.

      É necessário, ainda, mapear os dados para que seja possível identificar:

  •         Qual a sua categoria (sensível ou não);
  •         Qual a finalidade do tratamento;
  •         Se será compartilhado, e se sim, o porquê;
  •         Qual a base legal desse tratamento;
  •         Onde ficará armazenado;
  •         Quem terá acesso ao dado e a razão do acesso.

      A partir daí os envolvidos terão condições de constatar eventuais desconformidades com a legislação e implementar as ações necessárias para saná-las, além do monitoramento contínuo.  Tudo isso requer, por certo, a instituição de práticas voltadas à capacitação, instituição de um Comitê Gestor e normatização interna sobre política de proteção de dados.

      De qualquer forma, a Administração Pública estará sempre limitada às seguintes bases legais: consentimento, legítimo interesse, cumprimento de obrigação legal e regulatória, bem como, execução de políticas públicas.

      Quanto ao consentimento, a autorização do titular deve ser intencional e ele deve saber exatamente para qual fim os seus dados serão utilizados (tratados), sendo prudente que o órgão adote um termo de ciência e declaração de cumprimento, conforme modelos I e II constantes no final deste artigo.

      Além disso, os contratos públicos deverão conter cláusula específica sobre as obrigações atinentes à LGPD, conforme sugestão no modelo III, inserido no final do artigo.

      Em relação à contratação pública, é preciso avaliar, cuidadosamente, a efetiva necessidade de obter dados pessoais.

      Um exemplo dado pela própria ANPD foi: 

A Secretaria de Educação de um Município contrata, por licitação, uma empresa para fornecer merenda nas escolas. Para firmar o contrato com a Secretaria, tanto o representante da empresa quanto o servidor público que assinará o contrato fornecem os seus dados, como nome, profissão, CPF, RG, estado civil e endereço residencial. Para atender a outros dispositivos legais e dar publicidade à contratação da empresa, o contrato é divulgado no sítio eletrônico da Secretaria de Educação. É possível que dados como estado civil e endereço residencial não sejam necessários para a identificação dos responsáveis pela contratação e para viabilizar o exercício do controle social sobre a atividade do órgão público. Assim, a fim de limitar o tratamento ao mínimo necessário para a realização de suas finalidades, o ideal é não coletar esses tipos de dados.

No entanto, se for necessário a coleta de dados pessoais, deve-se adotar medidas de segurança, como o mascaramento/criptografia e anonimização, e uma das formas mais simples é a técnica de substituição de alguns números do CPF por “x”, por exemplo.

Alguns exemplos de uso inadequado de dados pessoais:

  •         Coleta não autorizada;
  •         Uso não autorizado;
  •         Compartilhamento não consentido;
  •         Armazenamento inadequado;
  •         Retenção excessiva;
  •         Consentimento inválido

O que é preciso ter em mente é que, mesmo contratando com a Administração Pública, o cidadão tem direito de saber para que fins seus dados pessoais serão utilizados e por quem, podendo, inclusive, recusar a fornecer, e em havendo uso indevido de dados pessoais e dados pessoais sensíveis o prejudicado poderá representar junto à ANPD (Autoridade Nacional de Proteção de Dados).

Importante ressaltar, por fim, que o servidor público que infringir a LGPD poderá ser responsabilizado pessoalmente.

Logo, todo cuidado é pouco, ainda mais se tratando de dados pessoais e dados pessoais sensíveis, envolvendo direitos fundamentais de liberdade, privacidade e de livre desenvolvimento da personalidade da pessoa natural.

MODELO I

TERMO DE CIÊNCIA DE DEVERES, RESPONSABILIDADES E REQUISITOS DE TRATAMENTO DE DADOS PESSOAIS – LGPD

Pelo presente termo, declaro que fui devidamente orientado sobre os deveres, requisitos e responsabilidades decorrentes da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD, sobre as formas de coleta, tratamento e compartilhamento de dados pessoais a que tiver acesso, bem como respectivas responsabilidades, em especial sobre aqueles que constam nos artigos 7º a 10 e 42 a 45 da LGPD. Declaro conhecimento sobre as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; e de que a responsabilidade de qualquer pessoa que intervenha em uma das fases abrangidas pelo fluxo dos dados pessoais subsiste mesmo após o término do tratamento. Por fim, declaro ainda ciência sobre as condições do tratamento dos meus próprios dados pessoais.

           Cidade, data.

    ______________________________________________

           (Nome e assinatura)

 

MODELO II

DECLARAÇÃO DE CUMPRIMENTO DA LEI GERAL DE PROTEÇÃO DE DADOS – LEI Nº 13.709/2018

1. É vedada às partes a utilização de todo e qualquer dado pessoal repassado em decorrência da execução contratual para finalidade distinta daquela do objeto da contratação, sob pena de responsabilização administrativa, civil e criminal.

2. As partes se comprometem a manter sigilo e confidencialidade de todas as informações – em especial os dados pessoais e os dados pessoais sensíveis – repassadas em decorrência da execução contratual, em consonância com o disposto na Lei n. 13.709/2018, sendo vedado o repasse das informações a outras empresas ou pessoas, salvo aquelas decorrentes de obrigações legais ou para viabilizar o cumprimento do edital/instrumento contratual.

3. As partes responderão administrativa e judicialmente, caso causarem danos patrimoniais, morais, individual ou coletivo, aos titulares de dados pessoais, repassados em decorrência da execução contratual, por inobservância à LGPD.

4. Em atendimento ao disposto na Lei n. 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), o CONTRATANTE, para a execução do serviço objeto deste edital, terá acesso aos dados pessoais dos representantes da LICITANTE/CONTRATADA, tais como: número do CPF e do RG, endereços eletrônico e residencial e cópia do documento de identificação.

5. A LICITANTE/CONTRATADA declara que tem ciência da existência da Lei Geral de Proteção de Dados Pessoais (LGPD) e, se compromete a adequar todos os procedimentos internos ao disposto na legislação, com intuito de proteção dos dados pessoais repassados pelo CONTRATANTE.

6. A LICITANTE/CONTRATADA fica obrigada a comunicar ao CONTRATANTE, em até 24 (vinte e quatro) horas, qualquer incidente de acessos não autorizados aos dados pessoais, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito que possa vir causar risco ou dano relevante aos Titulares de Dados Pessoais, apresentando as informações descritas nos incisos do § 1º do art. 48 da LGPD, cabendo ao CONTRATANTE as demais obrigações de comunicação previstas no referido artigo.

7. O canal de comunicação em caso de incidentes de segurança será o Comitê Gestor de Dados Pessoais.

Declaro que cumpro e acato todos os dispositivos estabelecidos.

_______________________, _____de _______________________de 2023.

______________________________________

REPRESENTANTE LEGAL

 

MODELO III
CLÁUSULA CONTRATUAL – DAS OBRIGAÇÕES PERTINENTES À LGPD

 

1.        As partes deverão cumprir a Lei nº 13.709, de 14 de agosto de 2018 (LGPD), quanto a todos os dados pessoais a que tenham acesso em razão do certame ou do contrato administrativo que eventualmente venha a ser firmado, a partir da apresentação da proposta no procedimento de contratação, independentemente de declaração ou de aceitação expressa.

 

2.        Os dados obtidos somente poderão ser utilizados para as finalidades que justificaram seu acesso e de acordo com a boa-fé e com os princípios do art. 6º da LGPD.

 

3.        É vedado o compartilhamento com terceiros dos dados obtidos fora das hipóteses permitidas em Lei.

 

4.        A Administração deverá ser informada no prazo de 5 (cinco) dias úteis sobre todos os contratos de suboperação firmados ou que venham a ser celebrados pelo Contratado.

 

5.        Terminado o tratamento dos dados nos termos do art. 15 da LGPD, é dever do contratado eliminá-los, com exceção das hipóteses do art. 16 da LGPD, incluindo aquelas em que houver necessidade de guarda de documentação para fins de comprovação do cumprimento de obrigações legais ou contratuais e somente enquanto não prescritas essas obrigações.

 

6.        É dever do contratado orientar e treinar seus empregados sobre os deveres, requisitos e responsabilidades decorrentes da LGPD.

 

7.        O Contratado deverá exigir de suboperadores e subcontratados o cumprimento dos deveres da presente cláusula, permanecendo integralmente responsável por garantir sua observância.

 

8.        O Contratante poderá realizar diligência para aferir o cumprimento dessa cláusula, devendo o Contratado atender prontamente eventuais pedidos de comprovação formulados.

 

9.        O Contratado deverá prestar, no prazo fixado pelo Contratante, prorrogável justificadamente, quaisquer informações acerca dos dados pessoais para cumprimento da LGPD, inclusive quanto a eventual descarte realizado.

 

10. Bancos de dados formados a partir de contratos administrativos, notadamente aqueles que se proponham a armazenar dados pessoais, devem ser mantidos em ambiente virtual controlado, com registro individual rastreável de tratamentos realizados (LGPD, art. 37), com cada acesso, data, horário e registro da finalidade, para efeito de responsabilização, em caso de eventuais omissões, desvios ou abusos.

 

11. Os referidos bancos de dados devem ser desenvolvidos em formato interoperável, a fim de garantir a reutilização desses dados pela Administração nas hipóteses previstas na LGPD.

 

12. O contrato está sujeito a ser alterado nos procedimentos pertinentes ao tratamento de dados pessoais, quando indicado pela autoridade competente, em especial a ANPD por meio de opiniões técnicas ou recomendações, editadas na forma da LGPD.

 

13. Os contratos e convênios de que trata o § 1º do art. 26 da LGPD deverão ser comunicados à autoridade nacional.

Qual sua Dúvida?