Licitações e o tratamento de dados pelo poder público: alguns dos novos desafios

Baixe o arquivo em .pdf clicando aqui

É inevitável buscar comparações entre a atuação da administração pública e o bom desempenho de muitas empresas privadas. Basta pensar na maior ou menor adaptabilidade às inovações tecnológicas de cada esfera. Contudo, há que se guardar as profundas diferenças entre as finalidades específicas e as limitações estruturais e burocráticas do âmbito público em relação ao privado.

Nesse contexto, buscaremos evidenciar alguns dos novos desafios para o poder público — e, indiretamente, para os administrados — face a deveres legais tradicionais inerentes às licitações, reproduzidos pela Nova Lei de Licitações — Lei nº 14.133/2021 —, e às determinações trazidas pela Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.079/2018.

Para preparar e firmar um contrato público, é mais do que cediço que a administração deve estabelecer uma série de condições sine qua non para os licitantes interessados em participar do certame. Também há exigências implícitas que decorrem das normas aplicáveis às contratações, inclusive para garantir o exercício do direito de defesa das contratadas. São meios de afiançar o atingimento daquelas finalidades previstas no artigo 11, da Lei nº 14.133/2021, observando sempre os princípios insculpidos no caput do artigo 37, da Constituição, além dos direitos e garantias fundamentais previstos, sobretudo, em seu artigo 5º.

Entre essas condições e exigências, previstas explícita ou implicitamente pela Lei nº 14.133/2021 para as diversas fases da licitação e da almejada contratação, as mais básicas são: (1) apresentação de informações da empresa para a formação de cadastro, como telefones, e-mails, endereços etc.; (2) fornecimento de documentos pessoais dos sócios; (3) entrega de dados presentes no contrato social, inclusive com a participação societária de cada sócio; (4) disponibilização de informações sobre estado civil e endereço dos sócios; (5) apresentação do quadro de funcionários da empresa; (6) eventualmente, declaração sobre relações de parentesco; (7) disponibilização de contratos anteriores, muitas vezes com informações delicadas que permitam a apreensão das estratégias empresariais e de dados de pessoas de outras empresas relacionadas, para fins de habilitação pela comprovação de acervo; (8) demonstração de faturamento e fornecimento de balancetes; (9) declaração de sanções administrativas, criminais; (10) juntada de documentos para se defender em processos de aplicação de penalidades; dentre outras.

Em resumo, a todo instante, a administração lida com uma enorme quantidade de informações não apenas dos licitantes que concorrem em uma determinada licitação, daqueles que constam em cadastros nacionais ou regionais e dos contratados (que prestam contas, apresentam medições, defendem-se em processos administrativos), mas também, e principalmente, lida com informações de terceiros, os quais, muitas vezes, não intervieram de nenhum modo no processo licitatório ou na contratação pública, tampouco fazem parte de cadastros de licitantes, como o previsto pelo artigo 87, da Lei 14.133/2021.

Sob a ótica da Lei de Proteção de Dados, em tais situações, a administração nada mais faz do que tratar todos esses dados, segundo o caput e o parágrafo único do artigo 1º, da Lei nº 13.079/2018, em que resta claro que as normas de proteção de dados pessoais são “de interesse nacional” e se aplicam, por conseguinte, às pessoas de direito público de todas as esferas da federação: União, estados, Distrito Federal e municípios.

Para conferir conteúdo ao direito fundamental incluído no rol do artigo 5º da Constituição pela Emenda nº 115/2022, através do inciso LXXIX (“é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”), em seus artigos 7º e seguintes, a LGPD estabelece uma série de deveres e cuidados para o tratamento de dados de pessoas naturais, seja pelo poder público, seja por entidades privadas. Basta que estes atores figurem como controladores ou operadores de dados nos termos do artigo 5º, ou seja, basta que detenham o poder de decisão referente ao tratamento dos dados (inciso VI) ou que realizem o tratamento de dados (inciso VII).

É curioso que o artigo 5º, I, da LGPD, tenha intentado restringir a aplicação de todo o sistema de defesa a dados pessoais apenas às pessoas físicas cujos dados constituam objeto de tratamento, não abrangendo os dados também sensíveis e igualmente relevantes das pessoas jurídicas, ao definir que dado pessoal é informação relacionada a pessoa natural identificada ou identificável”.

Embora tenha limitado a eficácia do direito fundamental à proteção de dados aos termos da legislação infraconstitucional, é absolutamente discutível se a intenção do Constituinte com a redação do novel inciso LXXIX era a de excluir do âmbito da proteção constitucional os dados sensíveis de pessoas jurídicas, como o fez o legislador nacional. Mas não se pretende, aqui e agora, adentrar nessa complexa discussão, que exigiria uma análise do contexto no entorno da General Data Protection Regulation (GDPR) europeia, que muito influenciou a LGPD.

Em todo caso, como visto, ao obter os dados fornecidos por licitantes e contratantes, a administração passa a tratar e controlar informações de pessoas físicas (sócios das licitantes, cônjuges de sócios, empregados, parentes etc.) e, consequentemente, a assumir o ônus de observar as obrigações legais impostas pela LGPD. No mais das vezes, esses dados são exigidos e fornecidos em decorrência de uma obrigação legal ou contratual explícita, que dispensa o consentimento geralmente exigido para tal pelo artigo 7º, I, da LGPD, o que não exclui a necessidade de se observar os demais deveres e cuidados previstos na lei, nos termos do § 6º do mesmo dispositivo.

É que uma das regras gerais para o tratamento de dados é a da obrigatoriedade do consentimento (artigo 7º, I), corriqueiramente exigido por empresas privadas que tratam dados e não pretendem ser multadas em até R$ 50 milhões pela Autoridade Nacional de Proteção de Dados (ANPD) por desrespeitar os termos impostos pela LGPD.

No processo licitatório e nas contratações públicas, todavia, o fornecimento dos dados exemplificados acima é peremptório para todos os interessados, que não podem participar do certame ou se defender adequadamente em processos penalizadores sem apresentá-los. Mas isso não isenta a administração do dever de informar, inequivocamente, os envolvidos sobre as finalidades, forma e duração do tratamento dos dados, tal como imposto pelo artigo 8º, § 4º, e pelo artigo 9º, I, II, da LGPD.

A adaptação do poder público a essa obrigação legal específica, aparentemente básica e simplória, já esconde um desafio, em especial para os pequenos municípios brasileiros: muitos já sofrem com pouca estrutura e corpo técnico limitados para desempenhar atividades corriqueiras exigidas pelo processo licitatório, tal como os deveres impostos aos agentes de contratação (artigo 8º, da Lei nº 14.133/2021). Em cenários como estes, lidar com conceitos como “tratamento de dados digitais” e “vazamento de dados” já se torna um grande desafio.

No escopo institucional de auxiliar a administração pública a contornar esse tipo de dificuldade, a ANPD tem elaborado e publicado guias orientativos com explicações relacionadas ao tratamento de dados pelo Estado, como o Guia de Tratamento de Dados Pessoais Pelo Poder Público e a Cartilha sobre Vazamento de Dados.

Outro desafio mais complexo para o adequado tratamento de dados pelo poder público, principalmente para entes e órgãos públicos com mais dificuldades estruturais, diz respeito a como tratar e compartilhar os dados fornecidos por licitantes e contratantes, isto é, quais práticas de segurança cibernética e de governança de dados adotar, em acordo com o disposto no artigo 46 e no artigo 50, da LGPD.

No atual cenário do país, a iniciativa privada tem se adaptado às exigências da LGPD com uma velocidade incomparável em relação à administração. Não se ignora que boa parte dessa velocidade de adaptação tenha sido alcançada pela necessidade de adequação de multinacionais e de seus colaboradores à GDPR europeia e às leis de proteção de dados estadunidenses. Mas fato é que, enquanto pequenos municípios, muitas vezes responsáveis por contratações de elevada monta, carecem de corpo técnico que compreenda o que é “vazamento de dados”, empresas de médio e pequeno porte correm para garantir certificações com exigências extensas para a segurança da informação e governança de dados, como a ISO 27001 e a ISO 27002.

São apenas alguns dos grandes e incontornáveis desafios que surgem a partir de uma intersecção normativa entre a Lei de Licitações, Lei nº 14.133/2021, e a Lei Geral de Proteção de Dados, Lei nº 13.079/2018. Parece igualmente incontornável o trabalho conjunto entre a iniciativa privada e o poder público para o compartilhamento de conhecimento e de inovações. É uma nobre maneira de viabilizar a capacitação e a conscientização dos diversos atores responsáveis por guiar e decidir sobre o tratamento de dados derivados de licitações e contratações públicas.