LGPD nas licitações e contratos administrativos

A exigência de tratamento de dados pessoais de acordo com os limites e possibilidades fixados pelo ordenamento jurídico alcança não apenas o mercado, mas também a Administração Pública, incluídas as contratações públicas.¹

A coleta e o tratamento de dados pela Administração Pública e pelo mercado são essenciais para eficiente prestação de serviços públicos e de atividades econômicas. Contudo, revela-se necessária a regulação jurídica para estabelecer as condições, os limites e as responsabilidades para o uso adequado e proporcional dos dados pessoais, com o intuito de evitar práticas atentatórias ao ordenamento jurídico. Aliás, a Administração Pública é um dos maiores agentes de tratamento de dados pessoais, diante da sua inevitável e diuturna interlocução com os cidadãos. Do nascimento à morte de um indivíduo, os respectivos dados são coletados, com intensidades distintas, pela Administração Pública que, inclusive, confere informações e documentos que passarão a constituir, eles próprios, dados pessoais da pessoa natural (ex: RG, CPF etc).

No campo da Administração Pública, a relevância da coleta e tratamento dos dados pessoais é justificada pela própria necessidade de celebração de contratos administrativos, implementação de políticas públicas e prestação eficiente os serviços públicos. A formalização de contratos administrativos, invariavelmente, demandará a coleta de dados pessoais dos representantes legais das pessoas jurídicas envolvidas na avença. Ademais, a identificação dos usuários e dos respectivos dados pessoais, inclusive aqueles considerados sensíveis (origem racial, saúde etc), podem ser fundamentais para implementação de políticas públicas. Exemplos: a definição do local de construção de um novo hospital público e das respectivas especialidades depende, em alguma medida, da coleta de informações sobre a renda, endereço e dados de saúde das pessoas de determinada bairro ou cidade; a elaboração de política de cotas para ingresso nas faculdades públicas ou no serviço público pressupõe a coleta de dados relacionados à origem racial.

Com o intuito de avançar na proteção de dados pessoais, conferindo tratamento concentrado em diploma legal específico sobre o tema, foi elaborada a lei 13.709/18 (LGPD - Lei Geral de Proteção de Dados Pessoais) que dispõe, nos termos do art. 1º, sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

De acordo com o art. 5º, I, da LGPD, dado pessoal é conceituado como "informação relacionada a pessoa natural identificada ou identificável". Trata-se de conceito amplo que vincula a noção de dado pessoal aos respectivos titulares que devem ser pessoas naturais identificadas ou que possam ser identificadas. É possível inserir na noção de dado pessoal exemplos variados de informações, tais como: nome, estado civil, profissão, endereço, filiação, CPF, RG, número do passaporte, título de eleitor, número de telefone, endereço de e-mail, hábitos, perfil comportamental etc). Destaca-se, ainda, a noção de dados pessoais sensíveis, apresentada pelo art. 5º, II, da LGPD que engloba os dados pessoais "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural".

Conforme assinalado, a noção de dado pessoal é ampla e relaciona-se à pessoa natural identificada ou identificável, o que não impede a subtração de determinados dados do referido conceito, notadamente: a) dados de pessoas jurídicas (exs: razão social, nome fantasia, balanço patrimonial, endereço, número de telefone etc) que não são tratados na LGPD, mas recebem a proteção jurídica em outros diplomas legais (exs: lei 9.279/1996 - lei de propriedade industrial; lei 9.610/1998 - lei de direitos autorais etc); e b) dados anonimizados que são os dados do titular que não possam ser identificados, "considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento" (art. 5º, III, da LGPD).²

O tratamento de dados pessoais engloba "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 5º, X, da LGPD). Frise-se que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses (bases legais) indicadas no art. 7º da LGPD (consentimento do titular; cumprimento de obrigação legal ou regulatória pelo controlador; etc). É preciso destacar, ainda, que todas as hipóteses mencionadas no referido dispositivo legal constituem bases legais suficientes para autorizar o tratamento de dados pessoais, inexistindo hierarquia entre elas. Dessa forma, ressalvada a primeira base legal, que indica o consentimento do titular, as demais bases legais não necessitam do referido consentimento para o tratamento dos dados pessoais.³

No âmbito do tratamento de dados pessoais pela Administração Pública, verificam-se bases legais específicas que não dependem do consentimento dos respectivos titulares.⁴ Assim, por exemplo, é autorizado o tratamento de dados para cumprimento de obrigações legais ou regulatórias pelo controlador (art. 7º, II, da LGPD). Da mesma forma, o tratamento de dados pessoais pode ser realizado pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (art. 7º, III, da LGPD). Quanto aos contratos, públicos ou privados, é admitido, ainda, o tratamento de dados pessoais para execução de contratos ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados (art. 7º, V, da LGPD).

A Administração Pública recebe tratamento jurídico destacado no Capítulo IV da LGPD (arts, 23 a 32), o que é justificado, em grande medida, pela sua relevância no tratamento de dados das pessoas naturais, constituindo-se em um dos principais agentes de tratamento de dados pessoais de pessoas naturais, desde o momento em que adquirem a personalidade civil, com o nascimento, até o fim da personalidade, com a morte. O tratamento dados pessoais pela Administração Pública revela-se essencial para o reconhecimento e concessão de direitos, bem como para formulação e implementação de políticas públicas.

É relevante mencionar que a compatibilidade entre a lei 12.527/11 (LAI - Lei de Acesso à Informação) e a LGPD tem sido objeto de debate na doutrina e na jurisprudência.

De um lado, a LAI regula, no âmbito infraconstitucional, o direito fundamental à informação disposto no art. 5º, XXXIII, da CRFB, com a finalidade de concretizar os princípios da publicidade e da transparência. A LAI assegura que qualquer interessado, devidamente identificado e independente de motivação, pode solicitar informações de interesse público perante as entidades públicas ou privadas. Contudo, a LAI excepciona o acesso à informação em duas hipóteses: a) informações classificadas como sigilosas, consideradas imprescindíveis à segurança da sociedade ou do Estado (art. 23); e b) informações pessoais relacionadas à intimidade, vida privada, honra e imagem.

De outro lado, a divulgação pública de dados pessoais deve ser realizada também em conformidade com a LGPD, que reforça e amplia as normas que garantem a proteção integral dos dados pessoais (consistindo estes em qualquer informação relacionada a pessoa natural ou identificável - conceito não restrito, portanto, às informações tão somente relacionadas à intimidade, vida privada, honra e imagem), incluindo a autodeterminação informativa⁵ e o respeito à privacidade dos titulares durante todo o ciclo do tratamento.

Não obstante a existência de controvérsias sobre o tema,⁶ entendemos que o acesso público a quaisquer informações pessoais deve observar tanto as restrições impostas pela LAI, como pela LGPD - esta com escopo mais amplo de proteção.⁷ Isso significa que a divulgação, a terceiros, de dados pessoais detidos pelas entidades estatais deve ocorrer, de forma geral e independente da natureza da informação, mediante o consentimento do titular (salvo as hipóteses legais excepcionais), consistente na sua manifestação livre, informada e inequívoca quanto a tal finalidade. Nas hipóteses, porém, em que a LGPD dispensa o consentimento, abre-se caminho para algumas medidas mitigadoras de possíveis danos decorrentes da divulgação de informações pessoais, tais como: a) maior cautela quando a divulgação envolver dados pessoais sensíveis (arts. 5º, II, e 11 da LGPD), que recebem proteção jurídica especial, a exemplo da vedação de serem revelados dados pessoais sensíveis por ocasião da divulgação de resultados de estudos em saúde pública (art. 13, § 1º, da LGPD); b) observância dos princípios da finalidade, adequação e necessidade, verificando-se a proporcionalidade do ato de divulgação em face da restrição gerada para a esfera privada de direitos do titular da informação. Nesse caso, uma possível salvaguarda a ser adotada consistiria na limitação da divulgação àqueles dados estritamente necessários para a finalidade pública pretendida.

É possível perceber a relevância da adequação da Administração Pública às exigências contidas na LGPD. Aliás, com o intuito de garantir que o tratamento de dados seja realizado dentro dos limites legais e éticos, com respeito aos direitos dos titulares, a LGPD, nos arts. 46 a 51, estabelece regras próprias voltadas à segurança, boas práticas e governança. Nesse sentido, nos termos do art. 46, caput e § 2º, da LGPD, os agentes de tratamento devem adotar, desde a fase de concepção do produto ou do serviço (privacy by design) até a sua execução, medidas de segurança, técnicas e administrativas aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

No âmbito das licitações e dos contratos administrativos, é inerente a utilização de dados pessoais, especialmente dos representantes legais da Administração Pública e da pessoa jurídica contratada, em razão da necessidade de identificação e controle dos poderes de representação das partes indicadas no contrato.⁸ Frise-se, mais uma vez, que os dados das pessoas jurídicas não são objeto de proteção da LGPD, cuja incidência está relacionada aos dados pessoais das pessoas naturais identificadas ou identificáveis, na forma do art. 5º, I, da LGPD.

Contudo, o tratamento de dados pessoais não se resume aos dados dos referidos representantes das partes do contrato. Outros dados pessoais são tratados ao longo do processo de contratação, a saber: a) na fase preparatória da licitação, notadamente no momento da pesquisa para fixação do valor estimado da contratação, os dados pessoais dos representantes de outras sociedades empresárias deverão ser tratados em observância à LGPD; b) ao longo da execução contratual, a comprovação, pelo contratado, do cumprimento da reserva de cargos prevista em lei para pessoa com deficiência, para reabilitado da previdência social ou para aprendiz, pode envolver a indicação dos empregados que preencherem as referidas vagas, com fundamento no art. 116, parágrafo único, da lei 14.133/21, o que acarreta o tratamento de dados pessoais; c) nos contratos de serviços contínuos, com dedicação exclusiva de mão de obra, também ocorre o tratamento de dados pessoais relacionados aos empregados, especialmente para comprovação do cumprimento das obrigações trabalhistas e com o FGTS em relação aos empregados diretamente envolvidos na execução do contrato, na forma do art. 50 da lei 14.133/21; etc.

É possível perceber que o tratamento de dados pessoais nas licitações e contratações administrativas encontra fundamento, por exemplo, nas bases legais indicadas nos incisos III e V do art. 7º da LGPD que tratam, respectivamente: a) do tratamento, pela Administração Pública, de dados necessários à execução de políticas públicas respaldadas em contratos, convênios ou instrumentos congêneres; e b) do tratamento de dados pessoais necessários à execução de contrato ou de procedimentos preliminares relacionados a contrato, o que inclui, naturalmente, as licitações e os contratos administrativos.

Os dados pessoais exigidos nas licitações e contratações administrativas devem ser apenas aqueles que são necessários à participação nos certames e à celebração dos contratos administrativos. Assim, por exemplo, na contratação pública, é legítima a exigência de identificação do representante legal da pessoa jurídica que será contratada pela Administração, com a indicação do seu nome e CPF, para verificação dos poderes de representação da respectiva pessoa jurídica. Por outro lado, deve ser considerada irregular a exigência de dados pessoais do representante legal da pessoa jurídica contratada que não possuem relevância para a contratação pública, tais como o endereço pessoal, origem racial, convicção religiosa, opinião política, filiação a sindicato etc.

Afigura-se relevante a previsão no estudo técnico preliminar, termo de referência ou projeto básico de disposições relacionadas ao cumprimento da LGPD, bem como a inclusão de cláusula nos contratos administrativos, convênios e instrumentos congêneres, incluídas as minutas padronizadas, relacionadas à aplicação da LGPD.⁹ Igualmente, admite-se que a Administração Pública exija declaração da contratada de que seu pessoal cumpre adequadamente a LGPD.¹⁰

Na publicização dos atos praticados nas licitações e dos contratos administrativos, notadamente no PNCP, entendemos que devem ser anonimizados ou suprimidos, ainda, que parcialmente, os dados pessoais que possam ser utilizados indevidamente por terceiros, com prejuízos aos respectivos titulares dos dados. Assim, por exemplo, deve ser conferida publicidade do nome do representante legal da pessoa jurídica contratada, mas não do CPF que deve ser anonimizado. Quanto ao representante legal da Administração Pública, o servidor público deve ser indicado a partir do seu nome e matrícula funcional, afastando-se a utilização do respectivo CPF.¹¹

Imprescindível que se destaque, nas minutas contratuais formuladas pelo Poder Público, a necessidade de que os profissionais vinculados às contratadas recebam treinamento adequado sobre o tratamento de dados pessoais, com especial ênfase nos riscos associados à inobservância da LGPD.

Caso a Administração Pública se valha de sistemas computacionais inteligentes para o gerenciamento de suas contratações ou, até mesmo, para a sua política de controle interno, com o escopo de possibilitar maior eficiência e higidez do gasto público, é fundamental que as aplicações de Inteligência Artificial atendam aos critérios de governança de dados, para que não se vulnerem os direitos dos titulares, a exemplo das informações pertinentes a possíveis sócios de sociedades empresárias contratadas pelos entes estatais.  

Essencial, nessa linha argumentativa, que a infraestrutura de segurança informacional atenda aos parâmetros estabelecidos pelos arts. 46 a 51 da LGPD.

Quanto ao término do tratamento de dados pessoais, os dados fornecidos pelos licitantes não contratados e pelos contratados devem ser conservados, mesmo após o encerramento do contrato, com o cumprimento de obrigação legal, na forma do art. 16, I, da LGPD.

Em suma, a preocupação com a correta aplicação da LGPD no âmbito das contratações públicas deve abranger as fases pré-contratual, contratual e pós-contratual.

Adequar-se à LGPD não é uma opção, mas um dever intransponível que a Administração Pública há de assumir, a partir de uma mudança cultural profunda e responsável.

__________

1 Para aprofundamento do tema, vide: VALE, Luís Manoel Borges do; OLIVEIRA, Rafael Carvalho Rezende. LGPD na Administração Pública, Rio de Janeiro: Forense, 2025. As ideias centrais apresentadas no presente artigo foram apresentadas em outra oportunidade: OLIVEIRA, Rafael Carvalho Rezende. Licitações e contratos administrativos: teoria e prática, 14 ed. Rio de Janeiro: Forense, 2025, item 3.17.

2O caráter anônimo do dado relaciona-se com a impossibilidade de identificação do seu titular, o que pode ocorrer por meio de técnicas diversas de anonimização, assim considerada a "utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo", na forma do art. 5º, XI, da LGPD (exs: supressão de informações, randomização, generalização etc.). A LGPD apresenta, ainda, a noção de pseudonimização que é considerada "o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro". Existem diversas técnicas de pseudoanonimização, tais como: a) criptografia, permitindo que apenas o destinatário ou o detentor da chave criptográfica tenha acesso e compreendam a informação; b) tokenização, no qual o token gera um código específico, aleatório e temporário para permitir o acesso aos dados protegidos; etc.

3VALE, Luís Manoel Borges do; OLIVEIRA, Rafael Carvalho Rezende. LGPD na Administração Pública, Rio de Janeiro: Forense, 2025, p. 25/26.

4De acordo com o guia orientativo do tratamento de dados pessoais pelo Poder Público, elaborado pela ANPD: "Diante dessas características, em muitas ocasiões, o consentimento não será a base legal mais apropriada para o tratamento de dados pessoais pelo Poder Público, notadamente quando o tratamento for necessário para o cumprimento de obrigações e atribuições legais. Nesses casos, o órgão ou a entidade exerce prerrogativas estatais típicas, que se impõem sobre os titulares em uma relação de desbalanceamento de forças, na qual o cidadão não possui condições efetivas de se manifestar livremente sobre o uso de seus dados pessoais." ANPD, Guia Orientativo: Tratamento de dados pessoais pelo Poder Público, versão 2.0, junho de 2023, p. 11. Disponível: . Acesso em: 19/03/2025.

5A autodeterminação informativa é um dos fundamentos da disciplina legal da proteção de dados pessoais (art. 2.º, II) e consiste em garantir ao titular os meios necessários ao exercício do controle sobre seus próprios dados pessoais.

6Para ilustrar a controvérsia em questão, o STF, em decisão polêmica e paradigmática, decidiu, em sede de recurso extraordinário, que é constitucional a publicação, em sítio eletrônico mantido pelo Município de São Paulo, do nome de seus servidores e do valor dos correspondentes vencimentos. Nesse sentido, a Tese de Repercussão Geral no Tema 483 do STF: "É legítima a publicação, inclusive em sítio eletrônico mantido pela Administração Pública, dos nomes dos seus servidores e do valor dos correspondentes vencimentos e vantagens pecuniárias."

7 A respeito do tema, Miriam Wimmer afirma: "Apesar de adotarem lógicas distintas e, inclu­sive, terminologias distintas, observa-se que tanto a LAI como a LGPD buscam materializar seus princípios orientadores de modo a construir uma narrativa que permita aliar a lógica de transparência e a lógica de proteção. A LAI, por exemplo, introduz a ideia de consentimento para viabilizar a divulgação de informações pessoais; a LGPD faz referência explícita à LAI para operacionalizar o exercício de direitos nela previstos perante o Poder Público; além disso, indica que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. A ideia de qualidade dos dados está presente em ambas as normas, assim como a preocupação com a segurança". WIMMER, Miriam. O regime jurídico do tratamento de dados pessoais pelo poder público. In: MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfgang; RODRIGUES JR., Otavio Luiz (coord.). Tratado de proteção de dados pessoais. 2. ed. Rio de Janeiro: Forense, 2023, p. 291.

8 Sobre o tema: OLIVEIRA, Rafael Carvalho Rezende. Licitações e contratos administrativos: teoria e prática, 14 ed. Rio de Janeiro: Forense, 2025, p. 399/411.

9 De forma semelhante: Parecer 00001/2024/CNCIC/CGU/AGU. Disponível em: . Acesso em: 19/03/2025.

10 Nesse sentido: Parecer 04/2022/CNMLC/CGU/AGU. Disponível em: . Acesso em: 19/03/2025.

11 Nesse sentido: Parecer 04/2022/CNMLC/CGU/AGU. Disponível em: . Acesso em: 19/03/2025. Posteriormente, a AGU, por meio do Parecer 00001/2024/CNCIC/CGU/AGU, concluiu "pela supressão de números de documentos pessoais das pessoas físicas (RG e CPF), além de dados como estado civil e endereço residencial dos representantes dos partícipes nos convênios e instrumentos congêneres, bem como em atos de designação de fiscais. (...) Em relação aos representantes da Administração Pública, que sejam identificados com a matrícula funcional ou indicação do ato de nomeação/designação (Portaria)." Disponível em: . Acesso em: 19/03/2025.