A lei geral de proteção de dados e as contratações públicas

A lei 14.133/21, nova Lei de Licitações e Contratos Públicos (NLL), está prestes a entrar em vigor e todas as atenções dos agentes públicos estão nos projetos de adequação e nas adaptações necessárias das estruturas da administração para as disposições da nova lei. Talvez tal circunstância possa levar à inobservância de outro ponto diretamente ligado às contratações públicas e que é igualmente importante, tanto em impacto quanto na dificuldade de implementação, qual seja: a adequação à Lei Geral de Proteção de Dados (LGPD).

A LGPG foi publicada em 2018, mas teve a sua vigência prorrogada até 2021, muito em razão da pandemia. De 2021 até recentemente, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização da LGPD, adotou uma postura mais educativa do que fiscalizadora.

A justificativa, comemorada por todos os especialistas na matéria, era o fato de que a LGPD instituiu um microssistema jurídico inteiramente novo no ordenamento e tal inovação implicava a necessidade de conhecimento, adaptação e, principalmente, formação de um corpo de profissionais aptos a garantir o cumprimento da lei. Além da dificuldade inerente à inovação temática no ordenamento, ainda houve toda a complexidade jurídica oriunda das inúmeras demandas e necessidades de adaptação deflagradas em razão da pandemia, o que culminou por atrasar a aplicação da norma.

Assim, desde a sua instalação até fevereiro de 2023, a ANPD tratou de agir educativamente e publicou diversos materiais orientativos sobre como seria a atuação da Autoridade em face da fiscalização da aplicação da LGPD. Um dos materiais orientativos publicados é o Manual de Tratamento de Dados Pessoais pelo Poder Público, com última versão publicada em janeiro/2022.

Em 24/2/23, a ANPD publicou a Resolução CD/ANPD 04/23, que trata do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, no âmbito de competência da ANPD. A partir desta publicação, o período educativo foi ultrapassado e a ANPD ingressou na sua fase de fiscalização punitiva.

A primeira sessão de deliberação sobre denúncias e abertura de processo administrativo punitivo da ANPD ocorreu no dia 3/3/23 e surpreendeu a todos os profissionais que acompanham as atividades da ANPD. Isto porque a expectativa era que a ANPD voltasse a sua estrutura (que ainda é pequena para o tamanho da sua demanda) para as grandes empresas que tratam dados pessoais e para as empresas que mais vulneram os dados pessoais, em razão do número de reclamações em órgãos como os de proteção e defesa do consumidor.

Entretanto, contrariando as expectativas, o maior volume de demandas julgadas se referia a denúncias contra o Poder Público. Assim, além das plataformas digitais (como as redes sociais e sistemas de marketsharing), restou claro que a ANPD dará especial atenção para o Setor Público, o que adiciona este elemento como um dado de preocupação para as autoridades responsáveis pela adaptação da NLL nos diversos órgãos e entidades da Administração Pública.

Ocorre que, de forma um tanto quanto surpreendente, a NLL não traz um único dispositivo sobre proteção de dados, nem mesmo em referência indireta. Não obstante, é preciso destacar que a Administração Pública é, por excelência, a maior detentora de dados pessoais do país, mormente porque colhe compulsoriamente dados pessoais dos cidadãos.

No curso da execução das suas competências, a Administração precisa contratar produtos e serviços que se interrelacionam diretamente com seus bancos de dados. Atualmente há muitas contratações para digitalização de documentos para instituição de sistemas de serviço público digital; há a contratação de sistemas de gestão para a Administração Pública; há a contratação para gestão de bancos de dados e armazenamento, assim como para emissão de documentos; dentre inúmeras outras hipóteses.

Veja-se que em todas estas situações a Administração Pública contratará um fornecedor privado que, direta ou indiretamente, terá acesso aos dados pessoais constantes nestes bancos de dados. Em contratações desta natureza, a observância da NLL apenas não será suficiente, pois desde a concepção da contratação até a sua execução, a LGPD precisará nortear a atividades dos servidores e agentes privados envolvidos.

Apenas a título de amostra, será irregular qualquer contratação desta natureza pela Administração com empresa privada que não tenha implementado e em pleno funcionamento programa de adequação à LGPD. Ou seja, trata-se de requisito de contratação que deve ser expresso desde a elaboração da requisição da contratação, até a publicação do edital e exigível em todo o curso da contratação.

Além disso, o curso de tais contratações estarão sujeitos à fiscalização tanto dos órgãos de fiscalização externa "convencionais", como os tribunais de contas e o Ministério Público, mas agora também pela ANPD. E neste caso específico, onde se trata de grandes contratações e que envolvem relevantes volumes orçamentários, a inobservância destas regras fatalmente gerará denúncias e medidas preventivas por parte da ANPD, conforme preconiza o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD.

Na hipótese menos gravosa, a inobservância das normas em questão pode gerar atrasos relevantes na conclusão das contratações de interesse da Administração. Logo, a conformidade à NLL pela Administração Pública deve ser norteada juntamente com a nova realidade para a Administração Pública frente à observância da Lei Geral de Proteção de Dados.

Ao contrário de diversos agentes privados, como os agentes de tratamento de pequeno porte, o Poder Público não tem qualquer fundamento ou hipótese para minimizar seus esforços à adequação à LGPD. Além disso, é obrigatório que todos os entes públicos nomeiem Encarregados de Proteção de Dados, de modo que o ente público sem o encarregado já está irregular.

No contexto de adequação da Nova Lei de Licitações, o Encarregado de Proteção de Dados é agente fundamental para garantir a observância da LGPD e evitar que as atividades administrativas seja atrasadas ou prejudicadas por inadequação do tratamento de dados pessoais envolvidos na contratação. Atualmente, com o encerramento da fase educativa da ANPD, mais do que nunca esta observância por parte da Administração se torna necessária.