A lei geral de proteção de dados e as contratações públicas
Além da nova lei de licitações, a lei geral de proteção de dados também deve estar no radar da Administração Pública para as novas contratações.
quinta-feira, 9 de março de 2023
Atualizado às 07:48
A lei 14.133/21, nova Lei de Licitações e Contratos Públicos (NLL), está prestes a entrar em vigor e todas as atenções dos agentes públicos estão nos projetos de adequação e nas adaptações necessárias das estruturas da administração para as disposições da nova lei. Talvez tal circunstância possa levar à inobservância de outro ponto diretamente ligado às contratações públicas e que é igualmente importante, tanto em impacto quanto na dificuldade de implementação, qual seja: a adequação à Lei Geral de Proteção de Dados (LGPD).
A LGPG foi publicada em 2018, mas teve a sua vigência prorrogada até 2021, muito em razão da pandemia. De 2021 até recentemente, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização da LGPD, adotou uma postura mais educativa do que fiscalizadora.
A justificativa, comemorada por todos os especialistas na matéria, era o fato de que a LGPD instituiu um microssistema jurídico inteiramente novo no ordenamento e tal inovação implicava a necessidade de conhecimento, adaptação e, principalmente, formação de um corpo de profissionais aptos a garantir o cumprimento da lei. Além da dificuldade inerente à inovação temática no ordenamento, ainda houve toda a complexidade jurídica oriunda das inúmeras demandas e necessidades de adaptação deflagradas em razão da pandemia, o que culminou por atrasar a aplicação da norma.
Assim, desde a sua instalação até fevereiro de 2023, a ANPD tratou de agir educativamente e publicou diversos materiais orientativos sobre como seria a atuação da Autoridade em face da fiscalização da aplicação da LGPD. Um dos materiais orientativos publicados é o Manual de Tratamento de Dados Pessoais pelo Poder Público, com última versão publicada em janeiro/2022.
Em 24/2/23, a ANPD publicou a Resolução CD/ANPD 04/23, que trata do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, no âmbito de competência da ANPD. A partir desta publicação, o período educativo foi ultrapassado e a ANPD ingressou na sua fase de fiscalização punitiva.
A primeira sessão de deliberação sobre denúncias e abertura de processo administrativo punitivo da ANPD ocorreu no dia 3/3/23 e surpreendeu a todos os profissionais que acompanham as atividades da ANPD. Isto porque a expectativa era que a ANPD voltasse a sua estrutura (que ainda é pequena para o tamanho da sua demanda) para as grandes empresas que tratam dados pessoais e para as empresas que mais vulneram os dados pessoais, em razão do número de reclamações em órgãos como os de proteção e defesa do consumidor.
Entretanto, contrariando as expectativas, o maior volume de demandas julgadas se referia a denúncias contra o Poder Público. Assim, além das plataformas digitais (como as redes sociais e sistemas de marketsharing), restou claro que a ANPD dará especial atenção para o Setor Público, o que adiciona este elemento como um dado de preocupação para as autoridades responsáveis pela adaptação da NLL nos diversos órgãos e entidades da Administração Pública.
Ocorre que, de forma um tanto quanto surpreendente, a NLL não traz um único dispositivo sobre proteção de dados, nem mesmo em referência indireta. Não obstante, é preciso destacar que a Administração Pública é, por excelência, a maior detentora de dados pessoais do país, mormente porque colhe compulsoriamente dados pessoais dos cidadãos.
No curso da execução das suas competências, a Administração precisa contratar produtos e serviços que se interrelacionam diretamente com seus bancos de dados. Atualmente há muitas contratações para digitalização de documentos para instituição de sistemas de serviço público digital; há a contratação de sistemas de gestão para a Administração Pública; há a contratação para gestão de bancos de dados e armazenamento, assim como para emissão de documentos; dentre inúmeras outras hipóteses.
Veja-se que em todas estas situações a Administração Pública contratará um fornecedor privado que, direta ou indiretamente, terá acesso aos dados pessoais constantes nestes bancos de dados. Em contratações desta natureza, a observância da NLL apenas não será suficiente, pois desde a concepção da contratação até a sua execução, a LGPD precisará nortear a atividades dos servidores e agentes privados envolvidos.
Apenas a título de amostra, será irregular qualquer contratação desta natureza pela Administração com empresa privada que não tenha implementado e em pleno funcionamento programa de adequação à LGPD. Ou seja, trata-se de requisito de contratação que deve ser expresso desde a elaboração da requisição da contratação, até a publicação do edital e exigível em todo o curso da contratação.
Além disso, o curso de tais contratações estarão sujeitos à fiscalização tanto dos órgãos de fiscalização externa "convencionais", como os tribunais de contas e o Ministério Público, mas agora também pela ANPD. E neste caso específico, onde se trata de grandes contratações e que envolvem relevantes volumes orçamentários, a inobservância destas regras fatalmente gerará denúncias e medidas preventivas por parte da ANPD, conforme preconiza o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD.
Na hipótese menos gravosa, a inobservância das normas em questão pode gerar atrasos relevantes na conclusão das contratações de interesse da Administração. Logo, a conformidade à NLL pela Administração Pública deve ser norteada juntamente com a nova realidade para a Administração Pública frente à observância da Lei Geral de Proteção de Dados.
Ao contrário de diversos agentes privados, como os agentes de tratamento de pequeno porte, o Poder Público não tem qualquer fundamento ou hipótese para minimizar seus esforços à adequação à LGPD. Além disso, é obrigatório que todos os entes públicos nomeiem Encarregados de Proteção de Dados, de modo que o ente público sem o encarregado já está irregular.
No contexto de adequação da Nova Lei de Licitações, o Encarregado de Proteção de Dados é agente fundamental para garantir a observância da LGPD e evitar que as atividades administrativas seja atrasadas ou prejudicadas por inadequação do tratamento de dados pessoais envolvidos na contratação. Atualmente, com o encerramento da fase educativa da ANPD, mais do que nunca esta observância por parte da Administração se torna necessária.
Hudson de Oliveira Cambraia
Advogado, mestre em Direito Público, formado em Privacidade de Dados e Sistemas de Segurança da Informação pela Privacy Academy/IBM, com certificação Internacional em Segurança da Informação e Proteção de Dados pela EXIN.