Você já deve ter ouvido falar muito nos últimos anos sobre a Lei Geral de Proteção de Dados – “LGPD”, e talvez ainda não saiba do que se trata e como afeta a rotina das pessoas e empresas, por isso, em tempos de Nova Lei de Licitação – NLL, resolvi escrever um pouco sobre o tema para meus leitores entenderem a relevância do tema.
Então o que é e o que representa para os municípios, a LGPD?
Com o crescente avanço da era digital, e visando não transformar a internet em “terra de ninguém”, fez-se necessário regular o seu uso, protegendo especialmente os direitos fundamentais da liberdade e privacidade, além do livre desenvolvimento da personalidade da pessoa natural, coibindo primordialmente, fraudes e crimes cibernéticos.
E um dos regulamentos a respeito é a Lei nº 13.709, de 14 de agosto de 2018 – a famosa LGPD – que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, de pessoa natural, por pessoa jurídica de direito público ou privado.
Por representar uma quebra de paradigma com impactos consideráveis no âmbito das empresas e setor público, que vai desde a estruturação interna com os novos personagens (integrar recursos materiais, tecnológicos e humanos) até a capacitação dos integrantes das organizações (preparação do público interno), foi estipulado um período de transição para a implantação da norma, tendo a LGPD iniciado a sua vigência em agosto de 2021, para que os ajustes necessários fossem implementados.
As normas gerais contidas na Lei nº 13.709/2018 são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
Mas, afinal, o que ela visa proteger?
Basicamente protege as informações pessoais das pessoas físicas (pessoa natural), que as pessoas jurídicas tem acesso, disciplinando condições para o seu tratamento. No âmbito dessa proteção estão as informações pessoais sensíveis e não sensíveis das pessoas naturais a própria LGPD esclarece a diferença entre essas informações pessoais.
Dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável, como por exemplo, nome, RG, CPF, endereço residencial, data e local de nascimento, número do telefone, e-mail, placa do carro, dentre outros. Já o dado pessoal sensível envolve origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (física).
Desse modo, qualquer exposição ou compartilhamento desses dados somente poderá ocorrer dentro dos limites legais, sendo um deles, o consentimento do titular, e sempre atendendo estritamente a uma finalidade determinada.
Logo, muito calma nessa hora! Divulgar dados pessoais sem o consentimento e fora das hipóteses da lei configura atentado à dignidade da pessoa humana, culminando em responsabilização de quem deu causa, seja na esfera cível (dano moral), na esfera administrativa (aplicação de multa), seja ainda, na esfera criminal (ato omissivo impróprio), já que a disciplina da proteção de dados pessoais tem como fundamentos o respeito à privacidade, liberdade de expressão, informação, comunicação e de opinião, além da inviolabilidade da intimidade, honra e da imagem, e outros.
E o que seria esse tratamento?
É qualquer atividade realizada que contenha dados pessoais, tais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Nota-se que a responsabilidade dos operadores vai da coleta, passa pelo armazenamento, até o descarte dos dados pessoais.
E engana-se quem pensa que essas implicações são restritas às empresas privadas. Na Administração Pública o cuidado deve ser o mesmo, tanto que a LGPD trouxe um capítulo próprio cuidando do tratamento de dados pessoais pelo Poder Público.
Nele consta que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento da sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
1) sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
2) seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais – o chamado DPO (data protection officer).
Para o atendimento da previsão constante no item 1 o órgão público deve adotar uma política de privacidade, promover adequação tecnológica necessária, com objetivo de imprimir transparência ao usuário, segurança e confidencialidade no tratamento dos dados.
Mas o que a LGPD tem a ver com as licitações? Como fica o aparente conflito entre os princípios da transparência na Administração Pública e o da privacidade?
Como é sabido, os processos licitatórios são essenciais para a Administração Pública, garantindo a transparência, a competitividade e a seleção dos melhores fornecedores para a contratação de bens e serviços. No entanto, durante esse processo é comum a coleta e o compartilhamento de informações pessoais dos licitantes, como nome, endereço, CPF/CNPJ, entre outros.
Dessa forma, um dos principais desafios enfrentados pelos órgãos públicos em relação à LGPD é a necessidade de adaptar suas práticas e processos para estar em conformidade com as disposições legais. Isso inclui a revisão e atualização dos editais de licitação, termos de referência, contratos e demais documentos utilizados nesses procedimentos, a fim de garantir a proteção adequada dos dados pessoais manejados.
Todavia, a LGPD estabelece uma série de princípios que devem ser observados no tratamento de dados pessoais. Alguns desses princípios têm aplicação direta nas contratações públicas. Destaque-se a seguir três deles:
- Finalidade: os dados pessoais devem ser coletados para finalidades específicas, legítimas e informadas aos titulares dos dados. No contexto das licitações, isso significa que as informações pessoais dos licitantes devem ser solicitadas apenas para o propósito de avaliar e selecionar os fornecedores. É fundamental que as entidades públicas informem claramente aos licitantes sobre como seus dados serão utilizados nesse processo.
- Minimização: o tratamento de dados pessoais deve ser limitado ao mínimo necessário para atingir a finalidade pretendida. Portanto, os órgãos públicos responsáveis pelas licitações devem evitar a coleta excessiva de dados pessoais dos licitantes, solicitando apenas as informações estritamente necessárias para a avaliação e contratação.
- Segurança: os dados pessoais devem ser protegidos por medidas de segurança adequadas, a fim de evitar o acesso, a divulgação ou o uso não autorizado.
Por tal razão, reafirma-se a necessidade de a Administração Pública adotar práticas de segurança da informação robustas, como criptografia/mascaramento, controle de acesso, restrição de compartilhamento e constante monitoramento, tudo para garantir a integridade e a confidencialidade dos dados dos licitantes.
A LGPD aborda a governança – essa indispensável ferramenta de gestão – para orientar que os controladores e operadores responsáveis pelo tratamento de dados pessoais – no âmbito de suas competências – implementem programa de governança em privacidade e formulem regras de boas práticas que estabeleçam as condições de organização, o regime de funcionamento e os procedimentos, incluindo, reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, dentre outros aspectos relacionados ao tratamento de dados pessoais.
E quais são as consequências da não conformidade dos órgãos públicos (e privados) com a LGPD?
A LGPD prevê sanções em caso de descumprimento de suas disposições e, nesse sentido, as entidades públicas que não se adequarem às exigências da lei estarão sujeitas a penalidades, que podem variar de advertências a publicização da infração, bloqueio dos dados pessoais até a sua regularização e eliminação dos dados pessoais a que se refere a infração.
Embora não seja possível a aplicação de multa ao setor público, a não conformidade com a LGPD resulta em danos à imagem e à reputação do órgão, afetando a confiança dos cidadãos e dos licitantes.
Em suma, a conformidade com a LGPD traz benefícios tanto para os licitantes quanto para a Administração Pública, promovendo a transparência, a confiança e o respeito à privacidade dos indivíduos. Portanto, é urgente que os órgãos públicos estejam cientes das suas obrigações legais e implementem medidas efetivas para garantir a proteção dos dados pessoais nos procedimentos de licitação, por meio de campanhas de conscientização e treinamento específico para os servidores e demais envolvidos. Somente assim poderemos avançar rumo a segurança da informação no estrito cumprimento da Lei.
Em breve novo artigo sobre o tema, para o aprofundamento maior e o necessário auxílio para as adaptações necessárias dos municípios para a NLL no contexto da LGPD.
E ATENÇÃO!
A ANPD (Autoridade Nacional de Proteção de Dados), com competência/abrangência em todo território nacional para zelar, implementar e fiscalizar o cumprimento da LGPD começou a instaurar processos administrativos sancionadores, inclusive contra órgãos públicos.
E aí, o seu município possui uma política de proteção de dados?
