Todos sabemos que o Poder Público também está submetido às legislações de proteção da privacidade. E é nesta hora que temos de falar sobre contratação pública e proteção de dados.
Pensando sobre o tema, a CNIL (Autoridade de Proteção de Dados da França) publicou, no último dia 2 de junho, um documento intitulado “A responsabilidade dos atores no contexto das compras públicas”. O objetivo do documento é deixar claros os papéis de controlador, operador e controlador conjunto, no contexto do Regulamento Geral sobre a Proteção de Dados (RGPD).
Ainda que existam diferenças entre o RGPD e a LGPD brasileira, nomeadamente o fato de que a LGPD não exige que sejam feitos contratos entre controladores e operadores, o documento é referência interessante para todos os profissionais de proteção de dados, em especial para aqueles que trabalham no setor público. O documento tem 13 páginas e pode ser baixado por este link (em francês).
A CNIL também publicou uma breve apresentação do guia, que traduzi e disponibilizo abaixo para vocês. Confira!
Compras públicas: qual ator é responsável sob o RGPD?
A fim de ajudar os profissionais envolvidos a identificar suas responsabilidades em diferentes contextos de compras públicas, a CNIL esclarece os elementos a serem levados em conta e as consequências legais a serem tiradas da qualificação de “controlador”, “operador” ou “controlador conjunto”.
Administrações, prestadores de serviços: uma responsabilidade a ser determinada
As administrações muitas vezes confiam a outra organização (operador econômico) a tarefa de atender suas necessidades em termos de obras, suprimentos ou serviços, por exemplo, para a gestão de serviços pós-escolares, água, transporte ou estacionamento.
Para executar estes contratos públicos ou contratos de concessão, os operadores econômicos são obrigados a coletar e utilizar dados pessoais que podem dizer respeito ao pessoal ou usuários do serviço público: estes tratamentos de dados devem estar em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD).
O papel desempenhado por cada ator tem influência sobre a natureza e a extensão de suas responsabilidades com relação aos dados. A este respeito, a qualificação dos atores como “controlador”, “operador” ou “controlador conjunto” deve ser feita o mais rápido possível e deve ser realizada à luz de elementos factuais e levando em conta cada contexto contratual. Isto permitirá, em particular, identificar o nível de responsabilidade de cada parte e definir as cláusulas relativas à proteção de dados que devem ser incluídas no contrato (por exemplo, levando em conta todas as cláusulas obrigatórias previstas no Artigo 28 do RGPD no caso em que a administração deve ser qualificada como “controlador” e o operador econômico como “operador”).
Uma etapa fundamental para a aplicação efetiva de todas as obrigações previstas pelo RGPD
A qualificação dos atores ao redigir o contrato é um primeiro passo essencial: permite determinar quem terá de garantir o respeito dos principais princípios do RGPD, em particular:
- A existência de um objetivo (finalidade) explícito e legítimo para cada uso de dados;
- A coleta de dados relevantes e não excessivos;
- A segurança dos dados;
- Um período limitado de retenção de dados;
- A devida consideração dos direitos dos titulares.
Para auxiliar os profissionais na identificação de suas responsabilidades, a CNIL publicou um guia contendo detalhes dos critérios legais a serem levados em consideração, as diferentes qualificações que podem ser utilizadas dependendo da finalidade dos contratos e da natureza do tratamento que envolvem, bem como as consequências a serem tiradas na elaboração dos documentos contratuais.
Embora este documento não seja um guia completo do RGPD para as administrações e operadores econômicos a que recorrem, ele deve permitir-lhes caracterizar melhor a existência e o alcance de suas respectivas obrigações em termos de proteção de dados, iniciar com clareza os passos para o cumprimento do RGPD e, assim, reforçar sua segurança jurídica.
E você, já atuou na intersecção da contratação pública e proteção de dados? Tem alguma experiência sobre o tema que possa compartilhar conosco? Deixe abaixo seus comentários!
Excelente conteúdo, Matheus. A grande preocupação são os contratos- padrão nos quais as contratações públicas se fundam, em regra formulados com cláusulas mínimas e genéricas, sendo anexos aos Editais de licitação, também padronizados pelos portais de compras oficiais. É imperioso que os órgãos jurídicos dos poderes se preparem tecnicamente para confeccionar minutas aderentes à LGDP, prevendo cláusulas de PPD, além de capacitar os servidores públicos da área de licitações e contratos.
Os Editais brasileiros já contemplam as regras mínimas da LGPD – ao menos tentam! Interessante é sim observar o Governo e as empresas públicas brasileiras comprando adequação à LGPD! Muito interessante esses editais sob muitos aspectos! Vale a leitura deles!