O art.

8º determina, ainda, que caso o consentimento seja dado por escrito, o texto deverá
ser uma cláusula destacada das demais (art. 8º, § 1º), dando ênfase e clareza, para que o
titular não tenha dúvidas de que está dando seu consentimento espontâneo.  O MCI, em seu
art. 7º, IX, vai na mesma toada, indicando que o consentimento deverá ocorrer de forma
"destacada das demais cláusulas contratuais". Isso é importante, pois cabe ao controlador o
ônus da prova de que o consentimento foi obtido de acordo com as regras da LGPD (art. 8º,
§ 2º).

Epa! Vimos que você copiou o texto. Sem problemas, desde que cite o link:
https://www.migalhas.com.br/depeso/360877/lgpd-no-setor-publico-bases-legais-para-o-
tratamento-de-dados

Por isso, é recomendável que, em geral, órgãos e entidades públicos evitem recorrer ao
legítimo interesse, preferindo outras bases legais, a exemplo de execução de políticas
públicas e cumprimento de obrigação legal, para fundamentar os tratamentos de dados
pessoais que realizam nessas condições.

7. Portanto, com base nessa definição de administração pública, pode-se afirmar que a base
legal referida nos artigos 7º, III e 11, II, b, da LGPD, é aplicável a órgãos e entidades dos
três Poderes e entes federativos, inclusive das Cortes de Contas e do Ministério Público,
desde que estejam atuando no exercício de suas funções administrativas, com vistas à
execução de políticas públicas.

Em relação aos dados disponíveis publicamente, a LGPD autoriza o seu tratamento, desde
que observadas a finalidade, a boa-fé e o interesse público que justificaram a sua
disponibilização (art. 7º, § 3º).

Necessidade 52. O princípio da necessidade estabelece que o tratamento deve ser limitado
ao “mínimo necessário para a realização de suas finalidades”, abrangendo apenas os “dados
pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de
dados” (art. 6º, III LGPD). O princípio da necessidade impõe, portanto, que a coleta se
atenha à menor quantidade possível de dados para o alcance da finalidade proposta. Da
mesma forma, esse princípio desaconselha o próprio tratamento de dados pessoais quando a
finalidade que se almeja pode ser atingida por outros meios menos gravosos ao titular de
dados. 53. No que tange a esse princípio, entidades e órgãos públicos devem verificar se as
informações usualmente coletadas de cidadãos – a exemplo de cópias de documentos de
identidade ou de dados solicitados em formulários-padrão – são, efetivamente, necessárias
para as finalidades para as quais serão utilizadas, não se admitindo a prática de coleta
indistinta de dados pessoais, em particular de dados para os quais não se tenha identificado
uma finalidade específica e legítima para o tratamento. Mesmo após a coleta de dados
pessoais, o princípio da necessidade ainda é importante no sentido de avaliar a necessidade
de outros tratamentos, como o armazenamento e processamento. 54. É importante, ainda,
que entidades do Poder Público exerçam cautela em eventuais tratamentos discriminatórios
injustificados que possam ocorrer em decorrência do tratamento de dados pessoais
desnecessários. Transparência e livre acesso 55. O princípio da transparência (art. 6º, VI)
garante ao titular a disponibilização de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento de seus Exemplo 8. Política pública de vacinação A
Secretaria de Saúde de um município coleta dados de casos confirmados de uma doença
infecciosa para fins de desenho, implementação e monitoramento de uma política pública
de vacinação. Os dados são compartilhados com um órgão de pesquisa, para a finalidade
específica de realização de estudos em saúde pública. Neste caso, o tratamento posterior
dos dados é compatível com a finalidade original da coleta, em conformidade com o
princípio da finalidade. Por se tratar de dados sensíveis, relativos à saúde, o órgão deve ter
cautela ao compartilhá-los ou divulgá-los, sempre observando o art. 13 e o Capítulo IV da
LGPD. Nesse sentido, é preferível que o compartilhamento dessas informações inclua,
sempre que possível, a pseudonimização ou a anonimização dos dados. Exemplo 9. Dados
coletados para elaboração de contrato administrativo A Secretaria de Educação de um
Município contrata, por licitação, uma empresa para fornecer merenda nas escolas. Para
firmar o contrato com a Secretaria, tanto o representante da empresa quanto o servidor
público que assinará o contrato fornecem os seus dados, como nome, profissão, CPF, RG,
estado civil e endereço residencial. Para atender a outros dispositivos legais e dar
publicidade à contratação da empresa, o contrato é divulgado no sítio eletrônico da
Secretaria de Educação. É possível que dados como estado civil e endereço residencial não
sejam necessários para a identificação dos responsáveis pela contratação e para viabilizar o
exercício do controle social sobre a atividade do órgão público. Assim, a fim de limitar o
tratamento ao mínimo necessário para a realização de suas finalidades, o ideal é não coletar
esses tipos de dados.

68. Por sua vez, a finalidade deve ser específica, com a indicação precisa, por exemplo, de
qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será
cumprida mediante o compartilhamento dos dados pessoais. Nessa linha, o art. 26 da LGPD
estabelece que “o uso compartilhado de dados pessoais pelo Poder Público deve atender a
finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e
pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados
no art. 6º desta Lei.” Finalidades descritas de forma genérica ou indeterminada contrariam
as disposições da LGPD, além de precedentes firmados pelo Supremo Tribunal Federal
(STF) em casos similares. 17 69. Deve ficar claro, em suma, quais dados pessoais serão
compartilhados, bem como por que e para que serão compartilhados. Por exemplo, o ato
formal pode prever que “serão compartilhados com a Entidade Pública X os dados pessoais
que constam da base de dados do Órgão Público Y, consistentes em nome, CPF e endereço
residencial, para a finalidade específica de realização de cadastro e identificação de
cidadãos aptos ao recebimento do benefício social de que trata a Lei nº XYZ”.

(d) Duração do tratamento 72. O tratamento de dados pessoais é um processo com duração
definida, após o qual, em regra, os dados pessoais devem ser eliminados, observados as
condições e os prazos previstos em normas específicas que regem a gestão de documentos e
arquivos. Vale ressaltar que o art. 16 da LGPD estabelece hipóteses gerais em que é
autorizada a conservação de dados pessoais. 73. A delimitação do período de duração do
uso compartilhado dos dados também é relevante para o fim de reavaliação periódica do
instrumento que autorizou o compartilhamento, incluindo a possibilidade de sua adequação
a novas disposições legais e regulamentares ou a previsão de novas medidas de segurança,
de acordo com as tecnologias disponíveis.
 74. Portanto, o instrumento que autoriza ou formaliza o compartilhamento deve estabelecer,
de forma expressa, o período de duração do uso compartilhado dos dados, além de
esclarecer, conforme o caso, se há a possibilidade de conservação ou se os dados devem ser
eliminados após o término do tratamento.

VI. DIVULGAÇÃO DE DADOS PESSOAIS 84. No setor público, o processo de

adequação às disposições da LGPD tem suscitado muitas dúvidas a respeito dos parâmetros
a serem observados para a disponibilização pública de informações pessoais. De forma
geral, a análise dessas situações envolve uma ponderação entre direitos: de um lado, o
direito à privacidade e o direito à proteção de dados pessoais e, de outro, o direito de todos
os indivíduos à informação sobre as atividades do Poder Público. Este último se traduz, por
exemplo, na divulgação, com base no interesse público, de informações relativas à
execução de políticas públicas e ao exercício de competências legais pelos órgãos e entes
públicos que permitam aos cidadãos o exercício do controle social sobre as atividades do
Poder Público. Frequentemente, todavia, para atender ao princípio da publicidade, o Estado
é obrigado a divulgar dados pessoais. 85. Enquanto o primeiro conjunto de direitos
demanda uma posição de cautela e de análise de riscos a respeito da divulgação de
informações pessoais, o segundo espelha a determinação Exemplo 11. Compartilhamento
de dados de servidores com entidade financeira Uma autarquia federal trata dados pessoais
de seus servidores, como nome, telefone e e-mail para fins de gestão de pessoas. Uma
entidade financeira privada solicita ao setor de recursos humanos dessa autarquia os dados
de contato dos servidores para oferecer empréstimo consignado. O pedido foi negado pela
autoridade competente, com base em análise técnica e jurídica, que concluiu pela
impossibilidade de realização do compartilhamento dos dados, tendo em vista: (i) a
incompatibilidade entre a finalidade original da coleta e a finalidade proposta para o
compartilhamento; (ii) a inexistência de base legal válida a amparar o uso compartilhado
dos dados, em particular a inexistência de consentimentos dos titulares, de obrigação legal
ou de qualquer vínculo com a execução de políticas públicas na hipótese; e (iii) a vedação
prevista no art. 26, § 1º, da LGPD e o não enquadramento do caso em uma das exceções
previstas nos incisos do mesmo dispositivo. 21 legal de que a publicidade é a regra,
admitindo-se o sigilo apenas em hipóteses excepcionais, nos termos da Lei de Acesso à
Informação (Lei nº 12.527, de 17 de novembro de 2011 – LAI).18

---

Lei geral de proteção de dados e

contratações públicas
CONTRATOS ADMINISTRATIVOSLICITAÇÃOPLANEJAMENTO
Publicado em 18 de novembro de 2020 
por Equipe Técnica da Zênite
 COMPARTILHAR



 Informações são fundamentais para o pleno desenvolvimento do potencial humano em
qualquer das áreas do conhecimento ou da vida pessoal. A facilidade que hoje se tem
para obter informações é uma causa espetacular de grandes avanços pessoais e sociais
e de otimização de tempo.  Porém, a par das vantagens, esta facilitação e universalização
de obtenção de informações tem nítidas consequências negativas também, que devem
ser moduladas e controladas, de modo a garantir direitos fundamentais individuais, como
a privacidade. Num mundo globalizado, conectado e digitalizado é preciso garantia
mínima de um núcleo intangível de privacidade e proteção contra divulgação de dados ou
informações pessoais que pode ser utilizada em prejuízo do seu titular.

Com esse propósito de proteção de dados pessoais foi editada a Lei Geral de Proteção
de Dados. A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios
digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o
objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.

Diversos dispositivos da Lei Geral de Proteção de Dados –  Lei nº 13.709/2018 – entraram

em vigor em agosto de 2020, o que suscita nos operadores do direito esforços
hermenêuticos para identificar com precisão o alcance das novas normas no plano geral,
e, em especial, como se pretende, no plano das licitações e contratações públicas.

O primeiro aspecto elementar a se destacar é que o objeto da Lei são os dados pessoais
de pessoa natural. Não contempla a norma a proteção de dados relativos a pessoas
jurídicas, o que se subsome a regime jurídico diverso.

São fundamentos da norma: I – o respeito à privacidade; II – a autodeterminação

informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento
econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a
defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da
personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Você também pode gostar

 CONTRATOS ADMINISTRATIVOS
Quem irá atuar na gestão e fiscalização dos contratos de acordo com a IN nº 05/17?
 PLANEJAMENTO
Decisões do TCU sobre: Termo de Referência e Estudo Técnico Preliminar
Os dados tutelados pela Lei se distribuem em 3 espécies: o dado pessoal: informação
relacionada a pessoa natural identificada ou identificável; o dado pessoal sensível: dado
pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural; e o dado anonimizado: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento.

Em abordagem introdutória, destaque-se, ainda, que tratamento é toda operação

realizada com dados pessoais, como as que se referem a coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.

O processo licitatório e de contratação pública implica tratamento de dados pessoais, na

forma da Lei, o que não significa que todas as disposições de proteção de dados nela
previstas tenham aplicação pelo Poder Público quando de suas relações licitatórias e
contratuais.

No processo da contratação pública há o tratamento – na acepção legal – de dados

pessoais (da pessoa natural) e de dados relativos às pessoas jurídicas. Reitere-se que os
dados relativos à pessoa jurídica não são alcançados pela Lei Geral de Proteção de
Dados, ao menos de modo direto. Pode-se, contudo, cogitar de tratamento de dados de
pessoa jurídica que mediata ou indiretamente impliquem tratamento de dados de pessoa
natural.

Dados pessoais informados como condição para participar de licitações ou ser

contratado
Como condição para participar de licitações e serem contratados, os interessados  devem
fornecer para a Administração Pública diversos dados pessoais, como por exemplo (i)
aqueles inerentes a documentos de identificação; (ii) referentes a participações
societárias; (iii) informações inseridas em contratos sociais; (iv) endereços físicos e
eletrônicos; (v) estado civil; (vi) eventuais informações sobre cônjuges; (vii) relações de
parentesco; (viii) número de telefone; (ix) sanções administrativas que esteja cumprindo
perante a Administração Pública; (x) informações sobre eventuais condenações no plano
criminal ou por improbidade administrativa; dentre outros.

Essas informações constarão do processo administrativo e serão objeto de tratamento por

parte da Administração Pública.

O tratamento dos dados pessoais relacionados aos processos de contratação presume-se

válido, legítimo e, portanto, juridicamente adequado.

Primeiro porque ao participar de processo licitatório ou de contratação direta o titular dos

dados manifesta seu inequívoco consentimento[1] para tratamento dos dados pessoais
pela Administração Pública (art. 7º, I).
Em segundo lugar, os dados pessoais exigidos nos processos licitatórios ou de
contratação direta se destinam a cumprimento de obrigação legal pelo controlador (art. 7º
II).

Por terceiro, o tratamento dos danos, nesta hipótese em exame é “necessário para a
execução de contrato ou de procedimentos preliminares relacionados a contrato do qual
seja parte o titular, a pedido do titular dos dados (art. 7º V).

Tem-se, então, que o tratamento de dados pessoais informados pelo titular no processo
da contratação pública tem autorização legal prevista em, no mínimo, 3 dispositivos da
LGPD.

Sob outro ângulo, a norma prevista no art. 3º § 3º da Lei nº 8.666/1993 disciplina que “a
licitação não será sigilosa, sendo públicos e acessíveis ao público os atos de seu
procedimento, salvo quanto ao conteúdo das propostas, até a respectiva abertura”. Esta
disposição normativa, fundada no princípio da publicidade previsto no art. 37 da
Constituição Federal implica que todos os dados pessoais informados pelos licitantes e
pelos contratados também serão acessíveis e disponíveis ao público.

Não se trata de disposição normativa geral que possa ser afastada por norma especial, no
caso a LGPD. A Lei Geral de Proteção de Dados não determina, como regra, o sigilo de
informações, mas tão somente o cuidado exigível com o tratamento de dados pessoais de
modo a não violar direitos e garantias fundamentais do seu titular.

Em primeira conclusão, pode-se deduzir que os dados pessoais que forem fornecidos
pelos interessados em participar de licitações ou ser contratados pela Administração
Pública poderão receber o tratamento legítimo por parte do controlador ou do operador[2],
sem que se possa cogitar de violação da Lei.
Do uso compartilhado de dados pessoais pelo Poder Público
Uso compartilhado de dado é “a comunicação, difusão, transferência internacional,
interconexão de dados pessoais ou tratamento compartilhado de bancos de dados
pessoais por órgãos e entidades públicos no cumprimento de suas competências legais,
ou entre esses e entes privados, reciprocamente, com autorização específica, para uma
ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes
privados”[3].
O uso compartilhado de dados pessoais pode ocorrer quando do cadastramento de
sanções aplicadas pela Administração Pública nos sistemas de cadastro legalmente
instituídos, como o CEIS – Cadastro de Empresas Inidôneas e Suspensas, o CNEP –
Cadastro Nacional de Empresas Punidas; ou quando do cadastramento em sistemas de
registro cadastral como o SICAF – Sistema de Cadastramento Unificado de
Fornecedores, ou sistemas similares.

A divulgação ou comunicação da aplicação de sanções ou de informações cadastrais,

ainda que contenham dados pessoais é legítima e regular, desde que feitas na forma da
Lei.

Irregular seria, por exemplo, o compartilhamento pela Administração de documento ou

informação que contivesse dados pessoais, eventualmente até sensíveis, sem que isto
ocorra para o cumprimento de uma finalidade de interesse público, amparada em Lei.

Condutas vedadas à Administração Pública quando do tratamento de dados

pessoais em licitações e contratações públicas
Antes dito que todos os dados pessoais informados pelos titulares em processos
licitatórios e de contratação pública podem ser objeto do tratamento legítimo de que trata
a LGPD.

A legitimidade do tratamento dos dados pessoais, nesta hipótese, pressupõe a

legitimidade das informações e documentos contendo dados pessoais que serão exigidos
como condição para participar de licitações ou de ser contratado pela Administração
Pública.

Nesta medida, não devem ser exigidas informações ou documentos que contenham
dados pessoais quando referidas informações ou documentos não forem indispensáveis à
satisfação de algum imperativo de interesse público relacionado à licitação ou ao contrato.

 Assim, documentos e informações somente podem ser exigidos, se contiverem dados

pessoais, se, de modo justificado forem absolutamente necessários em relação ao objeto
da licitação ou do contrato. Em sentido contrário, caso um documento ou informação que
contenham dados pessoais forem dispensáveis por não se mostrarem necessários à
prova de situação de fato relacionada com o objeto da contratação, não podem ser
exigidos.

É vedada também a divulgação de documentos e informações que contenham dados

pessoais fora dos limites da Lei.

Vedado também o compartilhamento de informações de licitantes e contratados que

contenham dados pessoais fora dos limites de Lei.

Deveres da Administração Pública relacionados à implementação da LGPD nos

processos de licitação e de contratação
Primeiro dever: instituir processos e sistemas de capacitação de agentes públicos para
operar as normas previstas na LGPD quando das licitações e contratações.

Segundo dever: elaborar normas internas e manuais versando sobre a aplicação da

LGPD em processos licitatórios e contratações públicas.

Terceiro dever: no planejamento das licitações e das contratações diretas, avaliar o

conteúdo de documentos e informações que serão exigidos como condição para participar
do certame ou ser contratado – no que diz respeito a dados pessoais que serão
apresentados.

Quarto dever: avaliar a efetiva necessidade de obter, pela via indireta, dados pessoais de
interessados em participar de licitações ou de serem contratados.

Quinto dever: deixar de exigir documentos que não sejam de apresentação obrigatória ou
necessária, a depender do objeto da contratação, que contenham dados pessoais.

Sexto dever: justificar a exigência de documentos que não sejam de apresentação

obrigatória por força de Lei, em licitações ou quando da contratação direta, caso
contenham dados pessoais.

Sétimo dever: implementar sistema de gestão dos riscos de tratamento de dados

pessoais no processo da contratação pública.

Oitavo dever: implementar regras de boas práticas e de governança que estabeleçam as

condições de organização, o regime de funcionamento, os procedimentos, incluindo
reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as
obrigações específicas para os diversos envolvidos no tratamento, as ações educativas,
os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos
relacionados ao tratamento de dados pessoais.

Da gestão dos riscos e responsabilidade pelo tratamento de dados pessoais pela

Administração no processo da contratação pública
O Gerenciamento de Riscos é um processo que consiste nas seguintes atividades: I –
identificação dos principais riscos a que está sujeita a conduta administrativa;  II –
avaliação dos riscos identificados, consistindo da mensuração da probabilidade de
ocorrência e do impacto de cada risco; III – tratamento dos riscos considerados
inaceitáveis por meio da definição das ações para reduzir a probabilidade de ocorrência
dos eventos ou suas consequências; IV – para os riscos que persistirem inaceitáveis após
o tratamento, definição das ações de contingência para o caso de os eventos
correspondentes aos riscos se concretizarem; e V – definição dos responsáveis pelas
ações de tratamento dos riscos e das ações de contingência. No que tange ao tratamento
de dados pessoais, a Administração Pública deve identificar todos os riscos envolvidos no
tratamento de dados pessoais quando da licitação e da contratação, avaliá-los e tratá-los
de modo a evitar o cometimento de seu uso abusivo ou ilegal, e, por consequência, a
responsabilização pessoal ou institucional.

Há um dever jurídico genérico previsto no art. 46 da LGPD: “os agentes de tratamento

devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado
ou ilícito”. Dever jurídico, quando descumprido, pode gerar a responsabilidade por ação
ou por omissão, estatal ou pessoal.

Acompanhe também novidades sobre contratações públicas no instagram:

joseanacleto.abduch.

[1] Nos termos da norma contida no art. 5º, XII consentimento é a “manifestação livre,
informada e inequívoca pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade determinada”.
[2] Art. 5º (…)
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;

[3] Art. 5º, XVI da Lei nº 13.709/2018.